Un report recente sulla sicurezza (DBIR di Verizon) evidenzia come i top manager e le figure apicali di aziende e organizzazioni rischiano dodici volte più di tutti gli altri di diventare obiettivo di attacchi sviluppati con tecniche di ingegneria sociale. Sono anche più soggetti di altri (nove volte di più) a furti di identità finalizzati a frodi e furti di tipo finanziario.
Malware e infezioni virali
La maggior parte degli attacchi e delle violazioni sono di tipo economico. All’origine di molti attacchi c’è il possesso di dati e informazioni che derivano dall’accesso a asset aziendali importanti e a risorse critiche ai quali solo i top manager possono avere accesso. L’attacco è spesso implementato con tecniche di ingegneria sociale che rendono più complicato alla potenziale vittima di comprendere cosa stia succedendo e del come sia successo. Un semplice click su un allegato o email sbagliato permette ai cybercriminali di avere accesso a informazioni utili per attacchi finanziari ed economici futuri. Spesso sfruttando caselle di posta o informazioni residenti su cloud computing o traendo vantaggio da vulnerabilità determinate sul cloud da errori di configurazione o gestioni inadeguate e poco accurate degli account.
Il report di Verison contiene dati interessanti sulle tipologie dei crimini di cybercriminalità, sul loro andamento e sulla loro incidenza corrente. Fa anche riferimento a un calo di attenzione da parte dei media verso alcune tipologie di attacchi come il ransomware che continua a mantenere percentuali elevate. Attenzione che al contrario va tenuta sempre alta e dovrebbe suggerire una conoscenza maggiore così come l’adozione di precauzioni particolari per evitare attacchi di ingegneria sociale.
Per le aziende e le organizzazioni la vulnerabilità del top management va sommata a quella dei dipendenti, sempre più spesso (60%) protagonisti, più o meno volontariamente, di attacchi informatici in grado di procurare danni economici o finanziari alle loro aziende. All’ingegneria sociale si sommano il malware e il phishing, tre modalità di attacco che continuano a mettere sotto pressione le difese per la sicurezza aziendale e i budget allocati per garantirne l’efficienza e l’efficacia.
Queste vulnerabilità tipicamente umane non aiutano a sentirsi sicuri. I molte aziende la sensazione di sicurezza rimane a livelli bassi e molti manager d’azienda ritengono di essere più a rischio che in passato e percepiscono di essere diventati un target ideale per tipologie diverse di minacce e potenziali attacchi cybercriminali. La sensazione diffusa è anche che aumentare i budget per la sicurezza non sia sufficiente, senza una maggiore e più diffusa comprensione e conoscenza fenomeni e dei rischi e consapevolezza del ruolo che ognuno potrebbe avere nell’essere causa del danno, per sé stessi e per l’azienda.
Le aziende si trovano a affrontare attacchi diversi e sempre più intelligenti, gli ambiti di azione criminale si stanno ampliando e le fonti di attacco stanno diversificandosi e aumentando. A rischio sono dati e informazioni, ma sempre più spesso risorse economiche e finanziarie. La causa del danno sono spesso dipendenti negligenti o inconsapevoli sui quali ogni organizzazione dovrebbe focalizzare attenzione, risorse e attività di formazione. Il tutto con strategie per la sicurezza di tipo difensivo ma soprattutto preventivo.