GDPR, Privacy e Sicurezza /

Sicurezza: la dura vita del manager d’azienda

Sicurezza: la dura vita del manager d’azienda

17 Ottobre 2019 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
Stipendi o pensioni elevati, ricchezza e benessere esibiti, ruoli aziendali e accesso a informazioni riservate, visibilità ed esposizione pubblica, superficialità, mancanza di tempo e distrazione, tecno-dipendenza e scarsa percezione del rischio. Tanti elementi che caratterizzano la vita professionale e personale di molti manager d’azienda e che alimentano le motivazioni e le azioni criminali di cybercriminali, hacker cattivi e industrie del crimine online.

Tutti nel mirino 

Manager e dirigenti d’azienda sono diventati i target preferiti di cybercriminali e hacker vari, sempre più agguerriti e abili nel trarre vantaggi economici e finanziari da attività di ingegneria sociale e furti di identità, mirati a colpire singoli individui, aziende e organizzazioni. Lo sono diventati per il ruolo ricoperto in azienda, per i privilegi di cui godono all’interno delle loro organizzazioni che offrono loro un accesso ampio e privilegiato ai sistemi informativi aziendali, per l’esposizione pubblica che li caratterizza, per il ricorso necessario alla delega e per la maggiore conoscenza di cui dispongono dei processi, delle procedure e delle situazioni aziendali. 

I contatti di cui godono o che li vedono coinvolti li espongono più di altri dipendenti o loro collaboratori a rischi potenziali di attacco cybercriminale. Ogni contatto diventa per loro un potenziale agente di azioni di ingegneria sociale. 

Top manager e dirigenti d’azienda sono sotto mira anche quando hanno lasciato l’azienda e si godono i vantaggi acquisiti in termini finanziari e pensionistici. E’ di questi giorni l’intervista a Vito Gamberale (75 anni, top manager di Telecom e Autostrade) che racconta dei furti di identità subiti, sfruttando semplici meccanismi o servizi digitali come quelli Follow Me delle Poste Italiane e azioni di ingegneria sociale, che sono serviti a impossessarsi di dati sensibili (conti correnti, ecc.) e a dirottare flussi di denaro e pensione su conti correnti di comodo all’estero. Nella stessa intervista si fa riferimento ad altri topo manager italiani, come Massimo Sarmi (SIA), Pietro Ciucci (AD di ANAS) e Raffaele Bonanni (ex numero uno della CISL), anche loro vittime di cyber-truffe simili. 

Il contesto di riferimento 

Il contesto a cui si fa riferimento è caratterizzato da un numero crescente di aziende (+60%) che si sente sotto attacco informatico, da investimenti in sicurezza insufficienti e dal numero esiguo di aziende (12%) che si ritiene attrezzata per rilevare per tempo attacchi cybercriminali sofisticati.

Il problema non è solo l’insufficienza degli strumenti in uso o l’impossibilità di monitorare nel tempo potenziali rischi e vulnerabilità.  Preoccupano i comportamenti individuali, la negligenza dei dipendenti e la loro inconsapevolezza o scarsa comprensione dei fenomeni legati alla gestione dei dati e delle informazioni, la superficialità e l’esposizione crescente ad attacchi di ingegneria sociale sempre più sofisticati, intelligenti e vincenti. 

Danni potenziali e reali 

Il danno derivante dalla cybercriminalità è rilevante, valutato a livello mondiale in 5200 miliardi di dollari (costi addizionali e mancati ricavi) nell’arco dei prossimi cinque anni (Report Accenture: Securing the Digital Economy: Reinventing the Internet for Trust). Le sfide della criminalità informatica interessano una gamma ampia di attività aziendali, cavalcano l’onda della trasformazione digitale e dell’innovazione dei modelli di business e dei prodotti, rischiano di compromettere seriamente l’economia digitale futura. Nessuna soluzione sembra essere percepita come adeguata a vincere la sfida con la cybercriminalità, diffusa è la percezione che nessuna azienda possa riuscirci da sola, tutti vorrebbero una maggiore attenzione delle istituzioni e delle autorità governative e iniziative mirate a introdurre normative e legislazioni più restrittive. 

(In)sicurezza 

CONSIGLIATO PER TE:

Malware e infezioni virali

Un dato sempre più caratterizzante la (in)sicurezza aziendale è l’aumento degli attacchi diretti a dirigenti e figure apicali aziendali, vittime preferenziali di furti di identità e di azioni di ingegneria sociale. Lo testimoniano numerosi report pubblicati nel corso dell’anno 2019, come quello di Verison ( Data Breach Investigations Report 2019 - Dbir). Secondo questo report un dirigente d’azienda ha una probabilità elevata e crescente di diventare vittima potenziale di attacchi cybercriminali, motivati da finalità economiche e finanziarie. Attacchi facilitati dall’aumentata complessità dei sistemi informatici e delle reti aziendali, dall’uso crescente di applicazioni ”edge-based” e dispositivi personali, dalla dipendenza cognitiva dal terminale tecnologico utilizzato, da comportamenti abitudinari dettati dalla fretta e dall’urgenza (molti clic sono determinati da automatismi, scelte binarie e inconsapevoli), dalla difficoltà a comprenderne effetti collaterali e pericoli per l’azienda o individuali, da ambienti, eventi e situazioni lavorative caratterizzati da stress elevato e urgenze che impediscono scelte e decisioni responsabili, consapevoli e maggiormente meditate. Una sfida ulteriore è determinata dalla tendenza a condividere e archiviare informazioni sul Cloud, una sfida che sta esponendo molte aziende a rischi maggiori, legati alla violazione degli account individuali e all’uso delle credenziali a esse associate. 

I target preferiti 

A essere sotto tiro dentro l’azienda sono principalmente manager e dirigenti che hanno responsabilità finanziarie o capacità di spesa. Sono loro a essere destinatari di email compromesse e criminali (Business Email Compromise) finalizzate a sottrarre risorse finanziarie attraverso l’inganno e la frode. Le e-mail hanno generalmente mittenti conosciuti, tipicamente con ruoli aziendali apicali, che chiedono, spesso con motivazioni di urgenza, l’attivazione di bonifici e pagamenti su conti correnti che solo più tardi si riveleranno fasulli. L’inganno punta al fattore umano (human firewall), è frutto di pratiche di ingegneria sociale che nascono da una conoscenza dettagliata dell’organizzazione aziendale, dei suoi organigrammi, dei processi decisionali e delle persone in essi coinvolte, comportano il furto di identità e account di top-manager aziendali (CEO, ecc.) o di partner aziendali (ad es. fornitori), l’invio di una e-mail per sollecitare dei bonifici con tutte le motivazioni utili a determinare un’azione in forma di transazione (dati FBI indicano in  con danni per cinque miliardi di dollari40000 le aziende colpite da attacchi di questo tipo tra il 2013 e il 2016). 

Cosa fare? 

Difendersi da attacchi informatici non è mai facile, non lo è soprattutto quando si tratta di attacchi mirati e sofisticati come quelli ormai noti come “CEO Fraud” e solitamente condotti attraverso quello che l’FBI ha definito BEC (Busiess Email Compromise). Il primo passo da compere è comprendere le varie tipologie di attacco oggi praticate: Phishing (email inviate simultaneamente a molti utenti con l’obiettivo di rubare informazioni sensibili), Spear Phishing (attacco phishing mirato a target di persone sulle quali i cybercriminali hanno raccolto dati e informazioni), Executive Whaling ( attacchi personalizzati mirati a top manager, dirigenti d’azienda e figure apicali),  Social Engineering (manipolazione psicologica per indurre comportamenti, scelte e decisioni). Gli scenari del possibile attacco sono numerosi, sempre diversi ma tutti riconducibili a realtà, ambiti lavorativi, situazioni aziendali quali le attività con partner esterni, la necessità o l’urgenza di effettuare transazioni, la comunicazione frequente via e-mail, i processi e le procedure decisionali, ecc. La conoscenza dell’organizzazione e della realtà aziendale viene usata dal cybercriminale per trarre vantaggio delle relazioni lavorative e dei canali di comunicazione utilizzati, per compromettere account di posta elettronica per chiedere azioni legate a transazioni finanziarie, per l’invio di corrispondenza fraudolenta, per il furto di identità e di dati/asset aziendali sensibili. 

Tutti gli attacchi possono essere gestiti e molti sventati ma per ridurre il danno potenziale e il rischio sarebbe meglio che ogni azienda disponesse di una strategia per la sicurezza basata sul dogma della prevenzione. 

Una strategia di questi tipo dovrebbe riflettere e implementare tattiche, progetti, policy e azioni finalizzate a ridurre il rischio e le vulnerabilità, a facilitare la risoluzione dei problemi e a prevenire gli attacchi futuri. Per farlo la strategia dovrebbe prevedere interventi concreti in ambiti specifici quali i seguenti:

  • Identificazione degli utenti a rischio
  • Introduzione di controlli tecnologici
  • Implementazione di policy sulla sicurezza
  • Definizione e introduzione di procedure ad hoc
  • Pianificazione dei rischi informatici e digitali
  • Formazione
  • Simulazione di situazioni di attacco
  • Investire sulla tecnoconsapevolezza in termini di sicurezza
  • ….

Alcune considerazioni finali 

In termini di sicurezza informatica aziendale non esistono soluzioni o strategie vincenti diverse da quelle basate sulla prevenzione, sulla preparazione, sulla conoscenza del rischio e sulla disponibilità/capacità di pronto intervento in caso di tentato attacco. La prevenzione passa attraverso la conoscenza e la formazione. Il suo successo si basa sulla capacità di tenere sempre presente le potenziali cause del rischio e di sapere quali buone pratiche e comportamenti adottare per difendersi. Vale per il dipendente così come per il dirigente. Riguarda ogni singolo individuo ma anche l’organizzazione nel suo insieme. La disattenzione di un singolo individuo può causare danni per tutta l’organizzazione. L’attivazione di firewall tecnologici è essenziale ma nessuno di essi sarà efficace senza la presenza e attivazione di “firewall umani” basati sulla conoscenza e comprensione del rischio, sulla formazione e l’apprendimento, sul rispetto delle policy e sulle buone pratiche.

 

 

 

 

 

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


Mobile App

Mobile app offre una serie completa di apps per tablet e smartphone B2B e B2C, la sua b.u...

Vai al profilo

Diginet srl

Società di consulenza operativa di marketing, advertising e project management sui...

Vai al profilo

Startbusiness

SB un’azienda che fa scouting nel mondo ICT (Information Communication Technology...

Vai al profilo

mareatek

Vai al profilo