Il mese di settembre 2019 è stato dichiarato Mese Nazionale della Consapevolezza delle Minacce Insider dal National Counterintelligence and Security Center(NSCS) degli Stati Uniti e dalla National Insider Threat Task Force(NITTF).

L’iniziativa è stata creata appositamente per aumentare la consapevolezza dei gravi rischi posti dalle minacce interne, incoraggiando i dipendenti a riconoscere e segnalare gli incidenti di sicurezza in modo da poter intervenire tempestivamente.

È facile concentrarsi sulle minacce alla sicurezza informatica più pressanti, ma la realtà è che le minacce interne possono essere altrettanto dannose e richiedono la stessa vigilanza per essere prevenute e rilevate.

Questi tipi di attacchi sono più comuni di quanto si possa pensare e secondo il Verizon Insider Threat Report, il 20% degli incidenti di sicurezza informatica e il 15% delle violazioni di dati hanno origine da persone interne a un’organizzazione.

Gli attacchi possono anche essere estremamente costosi: l’incidente medio costa alle aziende più di 8 milioni di dollari. Tendiamo a pensare che questi attacchi siano premeditati e sinistri, e spesso lo sono, ma la  la maggior parte degli incidenti di insider threat sono il risultato di pratiche di sicurezza scorrette da parte dei dipendenti.

Che cos’è una minaccia interna?

Una minaccia insider è un incidente di sicurezza che ha origine all’interno dell’organizzazione stessa piuttosto che da una fonte esterna. Può trattarsi di un dipendente attuale o precedente, di un appaltatore, di un fornitore terzo o di qualsiasi altro collaboratore aziendale che abbia accesso ai dati e ai sistemi informatici dell’organizzazione.

Ogni organizzazione è vulnerabile, ma alcuni settori come quello manifatturiero, sanitario e finanziario tendono ad avere un profilo di rischio più elevato rispetto ad altri. Ciò può essere dovuto alla grande quantità di informazioni preziose che custodiscono.

Tipi di minacce interne

Gli attacchi insider possono essere particolarmente pericolosi perché, a differenza dei soggetti esterni che tentano di infiltrarsi in una rete, gli insider hanno in genere un accesso legittimo ai sistemi informatici di un’organizzazione. Possono accedere a dati sensibili senza destare sospetti e gli attacchi possono spesso passare inosservati per settimane o addirittura mesi.

Per fermare le minacce interne, le organizzazioni devono conoscere i diversi tipi di minacce e le motivazioni alla base degli attacchi.

  • Malicious Insider – Si tratta di un dipendente che sfrutta il proprio accesso privilegiato per rubare consapevolmente i dati o commettere altre azioni negative contro l’organizzazione. Un altro tipo di insider malintenzionato è il dipendente scontento. Questi cercheranno deliberatamente di trovare un modo per infliggere danni all’organizzazione se ritengono di essere stati maltrattati. Potrebbe modificare o cancellare grandi quantità di dati sensibili o interferire con i sistemi critici.
  • Insider compromesso – Questo può essere uno dei tipi di minacce insider più pericolosi, in quanto i dipendenti potrebbero non rendersi conto di essere stati compromessi. In genere, il loro computer viene infettato da  malware come risultato di un clic su un link di phishing o l’apertura di un allegato dannoso.
  • Insider negligente: un dipendente che non segue le corrette procedure informatiche è noto come insider negligente. Che lascino il computer aperto, che lascino i dati sensibili in bella vista o che facciano entrare nell’edificio una persona autorizzata, questi dipendenti mettono a rischio l’organizzazione con pratiche di sicurezza inadeguate.

Segnali di pericolo

Spesso ci sono diversi segnali di allarme che possono mettere in guardia le organizzazioni da una minaccia insider. Questi includono:

  • Scaricare o accedere a grandi quantità di dati sensibili
  • L’uso di dispositivi di archiviazione esterni come le chiavette USB
  • Accesso a dati non associati al ruolo lavorativo
  • Copia di file da cartelle sensibili
  • Inviare via e-mail dati sensibili all’esterno dell’organizzazione
  • Cambiamenti di personalità e di comportamento
  • Orari di lavoro insoliti

Esempi di alto profilo

Purtroppo non mancano esempi di organizzazioni che sono state vittime di minacce interne. Questi attacchi di alto profilo hanno evidenziato i danni finanziari e di reputazione che possono essere inflitti a seguito di minacce interne. Tra i casi più noti ricordiamo:

Punjab National Bank

In uno degli attacchi insider più costosi, un dipendente della Punjab National Bank ha utilizzato il sistema di comunicazione interbancario SWIFT per autorizzare l’emissione di denaro attraverso Lettere di impegno e Lettere di credito estere. Attraverso queste transazioni fraudolente, il dipendente è stato in grado di trasferire fondi per un totale di 1,5 miliardi di sterline.

Morrisons

Nel 2017, Morrisons, una delle principali catene di supermercati del Regno Unito, è stata chiamata a rispondere dopo che un revisore interno scontento ha pubblicato i dati di oltre 100.000 dipendenti. Questi includevano dati sensibili come numeri di previdenza nazionale, date di nascita e coordinate bancarie. 5.518 dipendenti hanno citato Morrisons in tribunale sostenendo che la fuga di notizie li aveva esposti al rischio di  furto d’identità e potenziali perdite finanziarie. Morrisons è stato ritenuto responsabile e ha sostenuto costi fino a 2 milioni di sterline.

Obiettivo

La violazione di Target del 2014 si è verificata quando un dipendente di terze parti ha cliccato su un link di phishing che ha permesso agli aggressori di entrare nella rete dei fornitori HVAC e infine nella rete di Target. L’attacco ha compromesso i nomi, gli indirizzi, i numeri di telefono, gli indirizzi e-mail e i dati delle carte di credito di oltre 70 milioni di persone. In questo caso particolare, l’insider non aveva intenzioni malvagie, ma l’attacco ha causato un significativo danno alla reputazione ed è costato all’azienda 300 milioni di dollari.

Come possono le organizzazioni difendersi dalle minacce interne?

Formazione sulla sicurezza – La formazione è fondamentale per istruire i dipendenti sulle politiche di sicurezza e sulle minacce che potrebbero incontrare nel loro ruolo quotidiano. Può trattarsi di qualsiasi cosa, da un’e-mail di phishing all’importanza della sicurezza fisica sul posto di lavoro. Piccoli errori di valutazione possono causare gravi danni a un’organizzazione, quindi il personale deve ricevere una formazione regolare per assicurarsi di sapere come identificare e rispondere in modo appropriato alle minacce in evoluzione.

Usa un’autenticazione forte – Se gli account di un’organizzazione possono essere compromessi, gli insider possono muoversi lateralmente nelle reti rubando dati sensibili. I dipendenti dovrebbero evitare di condividere  e devono essere previsti processi di autenticazione forti per l’accesso alle applicazioni e ai sistemi sensibili.

Monitorare il comportamento online dei dipendenti – Le organizzazioni devono monitorare periodicamente il comportamento dei dipendenti per individuare eventuali attività sospette. Potrebbe trattarsi di accessi casuali, accesso a dati sensibili o tentativi di copiare dati da cartelle che non sono autorizzati a visualizzare. L’analisi comportamentale può svolgere un ruolo importante nell’individuare gli utenti che si comportano in modo anomalo. Quanto prima le organizzazioni riescono a individuare questi comportamenti, tanto più velocemente potranno risolvere eventuali problemi.

Stabilire il processo di segnalazione degli incidenti – Le organizzazioni devono disporre di una procedura chiara per la segnalazione degli incidenti. segnalazione e registrazione di tutti gli incidenti di sicurezza. La capacità di segnalazione affronterà l’intera gamma di incidenti che potrebbero verificarsi e definirà le risposte appropriate. Questo aiuterà a segnalare qualsiasi comportamento sospetto e a fornire tutte le informazioni necessarie per la segnalazione alle autorità.

MetaCompliance è specializzata nella creazione dei migliori corsi di formazione sulla sicurezza informatica disponibili sul mercato. I nostri prodotti affrontano direttamente le sfide specifiche che derivano dalle minacce informatiche e dalla governance aziendale, rendendo più facile per gli utenti impegnarsi nella sicurezza informatica e nella conformità.  Contattaci per avere maggiori informazioni su come possiamo aiutarti a trasformare la formazione sulla sicurezza informatica all’interno della tua organizzazione.