“C’è una talpa all’interno”, quante volte avrete sentito questa frase, specie tra i più veterani che leggono, magari attribuendola a qualche film o ad altri fatti di cronaca, per indicare che qualcuno all’interno di quell’ente o quella organizzazione ha fatto trapelare informazioni di carattere riservato fornendole al “nemico”. Storie di spionaggio e controspionaggio hanno popolato romanzi e film rendendo celebri tanti attori, dal grande schermo fino alle più recenti serie tv. Tra realtà e fantasia, chi oggi si trova ai vertici di un’azienda grande, media o piccola che sia non può non interessarsi all’aspetto della sicurezza. Tra le tante sfaccettature che riguardano questo termine c’è quella delle informazioni che ad oggi difficilmente si distaccherà dall’ambito informatico e tecnologico. Il perimetro di sicurezza aziendale può anche risultare impenetrabile dall’esterno, ma se la minaccia arriva dall’interno? Se all’interno del nostro perimetro di sicurezza avessimo un insider? Per i meno avvezzi ai tecnicismi, un insider non è altro che un dipendente o collaboratore infedele che per dolo o colpa, mette a rischio la sicurezza aziendale costituendo di fatto quell’anello debole della catena che gli addetti al settore hanno letto nei manuali ai tempi della formazione. L’estrema semplicità d’uso delle nuove tecnologie, unite all’enorme bacino di informazioni reperibili nella parte sommersa della rete agevola la preparazione dell’insider autodidatta. Basta un giretto tra i mercatini del dark web per entrare in contatto con utenti in cerca di informazioni e soprattutto di servizi che mai troverebbero in altri luoghi. Seppur il rischio di essere truffati è altissimo, anche il rischio di essere identificati non è poi così lontano, considerando che c’è sempre chi gira tra le bancarelle virtuali sotto copertura a caccia di criminali. Perché un dipendente dovrebbe diventare un insider? Magari per un’offerta allettante ricevuta da qualche competitor oppure per dar sfogo ad un malessere che silenziosamente è maturato in lui nel corso degli ultimi tempi. Sono solo alcuni esempi, le cause possono essere davvero molte di più. La figura dell’insider autodidatta può sembrare fantascienza agli occhi di chi ancora non si è reso conto dei rischi dell’evoluzione tecnologica ed allora parliamo di quella dell’insider inconsapevole ovvero che non curante del rischio, adotta delle condotte che espongono l’azienda al punto da renderla vulnerabile; dall’utilizzo di un dispositivo usb infetto al semplice click effettuato dallo smartphone aziendale in cui ha ricevuto quel messaggio promozionale o quel contenuto apparentemente innocuo tanto da passare quasi inosservato. Quest’ultima storia vi ricorda forse qualche vicenda della recente cronaca Cyber? Jeff Bezos, divenuto un insider inconsapevole nel momento in cui avrebbe scaricato il famoso video da Whatsapp sul proprio iPhone! Seppur in quella storia ci siano tanti punti ancora da chiarire, in questa versione l’esempio calza a pennello per descrivere meglio questa figura. L’inconsapevolezza può essere dovuta non solo alla mancanza di una cultura in ambito di sicurezza, ma anche alla superficialità con cui operiamo mediante i dispositivi aziendali e colpisce non soltanto i dipendenti ma anche i vertici, quindi nessuno è immune. Per rimanere sull’esempio appena descritto, non sarà sfuggito un dettaglio importante: ma se il telefono violato è quello personale e non aziendale perché insider? Una specificazione importante. Le informazioni personali, intime e più riservate di una figura di così alto livello possono compromettere anche la sicurezza della relativa azienda. Per essere più concreti voglio citare un rapporto pubblicato da CODE42 disponibile a questo link previa registrazione (Fonte data: https://www.code42.com/news-releases/code42-global-data-exposure-report/) dal quale si evince che la maggior parte delle organizzazioni ha adottato una sorta di strategia di prevenzione della perdita di dati. Tuttavia, tale strategia in genere ignora una delle maggiori minacce ai dati ovvero quella rappresentata dai dipendenti. La ricerca ha esaminato 1.028 leader della sicurezza delle informazioni, oltre a 615 responsabili delle decisioni aziendali, tutti con poteri decisionali o influenza sulla fornitura di soluzioni, prodotti e servizi di sicurezza, ai quali è stato sottoposto un sondaggio. Alla domanda: hai mai cliccato personalmente su un link che non avresti dovuto / non volevi aprire? Oltre i tre quarti ammettono di fare clic su quel collegamento.
La statistica è preoccupante considerando che il ruolo del CSO è anche quello di proteggere i dati aziendali.
Alla domanda “se la tua azienda ha subito un data breach negli ultimi 18 mesi, quali sono le cause di questa perdita di dati”, il 50% dei leaders della sicurezza ed il 53% di coloro che hanno incarichi decisionali nell’ambito del business, hanno risposto che la causa era dovuta ad azioni dei dipendenti.
Nel rapporto si parla anche di altri aspetti connessi alla perdita di dati, da intendere nel senso più ampio del termine: dal rischio nell’uso delle soluzioni cloud per la condivisione dei file, fino ad arrivare al know-how acquisito dal collaboratore.
Cosa fare per tutelarsi? Intanto cerchiamo di selezionare bene collaboratori e dipendenti prima di investirli del relativo incarico. Un tempo, durante una mia esperienza lavorativa lessi una targhetta appesa al di fuori dell’ufficio del capo con la dicitura “chi antepone i propri diritti ai propri doveri non entri”. Una frase che farà rabbrividire i più ma che invece trova applicazione nel contesto tecnologico, specie in questi ultimi anni quando sentiamo parlare di dipendenti infedeli, tecnicamente definiti col termine insider. Una volta arruolato il personale deve essere formato adeguatamente e messo nelle condizioni di lavorare al meglio, instaurando un serio rapporto di fiducia, accompagnato da una giusta remunerazione per il compito che è chiamato a svolgere. Nel contratto possiamo prevedere una clausola o addirittura si può far sottoscrivere un patto di non concorrenza appositamente stilato. Sufficiente? Purtroppo no. La struttura deve consentire a chi l’amministra di poter controllare tutte le attività che il collaboratore compie all’interno del perimetro, compreso quello cyber. Di soluzioni offerte nel mercato se ne trovano molte ma purtroppo sono anche abbastanza costose e non alla portata di tutti senza considerare il fatto che non basta acquistare l’ultimo modello di firewall, se poi non si ha una persona che lo gestisce e lo aggiorna. Detto questo ciascun lavoratore deve avere un accesso limitato alle mansioni che è chiamato a svolgere. Per fare ciò va impostato un sistema che attribuisca ad ognuno specifici permessi e che effettua un monitoraggio dei vari accessi sia fisici che virtuali. A tutto ciò sarebbe utile disporre di un’aliquota di personale che effettui dei controlli costanti in rete, sia per il monitoraggio della web reputation che per quello dell’analisi dei competitors ma anche per addentrarsi nel dark web e sentire le chiacchiere che girano sul conto dell’organizzazione… magari troviamo in vendita qualcosa che ci riguarda ed ecco individuata la pista per risalire alla talpa.
