A nessuno piace pensare che nella propria azienda esistano minacce interne che mettano l’organizzazione a rischio di violazione dei dati o che siano la causa di una multa per mancata conformità del valore di migliaia di euro. Tuttavia, la minaccia insider è fin troppo reale. Secondo diversi rapporti, le minacce interne sono alla base di molti dei problemi di sicurezza che dobbiamo affrontare oggi. Il “Cybersecurity Insiders Insider Threat Report“, ad esempio, ha rilevato che il 68% delle organizzazioni ritiene che le minacce interne stiano aumentando di frequenza. In un sondaggio di Egress, “2020 Insider Data Breach Survey“, quasi tutti i leader IT che hanno risposto hanno dichiarato che il rischio di violazione da parte di insider è una “preoccupazione significativa”.

Nel settore della sicurezza informatica si dice spesso che le minacce interne sono le più difficili da affrontare; dopo tutto, come si può individuare un’azione malevola o una fuga di dati accidentale? Ecco la nostra guida alle minacce interne e a come prevenirle.

Tipi di minacce interne

Un insider è chiunque lavori attualmente o abbia lavorato in precedenza per la tua organizzazione. Questa definizione comprende i dipendenti e i non dipendenti, come gli appaltatori. Gli insider possono essere estesi anche a un socio d’affari o a un’azienda del tuo ecosistema di fornitori. Anche i lavoratori a distanza aumentano le preoccupazioni di un’azienda per quanto riguarda la sicurezza degli insider: un’indagine di IBM ha rilevato che i problemi di sicurezza sono aggravati dal fatto che le aziende non garantiscono l’applicazione delle politiche di sicurezza per il lavoro a distanza.

L’insider accidentale

In un articolo dell’EC-Council si legge che il 64% degli eventi di perdita di dati è attribuibile a insider che “avevano buone intenzioni”, in altre parole, gli incidenti capitano. Il termine “minacce interne accidentali” copre un’ampia gamma di possibili “incidenti o contrattempi”. Alcuni di questi incidenti sono dovuti alla semplice mancata comprensione dei rischi per la sicurezza durante l’esecuzione di un compito; altri, come il phishing o l’ingegneria sociale, sono dovuti alla manipolazione degli individui da parte di forze esterne. L’errata configurazione dei sistemi informatici è un’altra area che è accidentale ma che permette a forze esterne di sfruttare un sistema. L’insider accidentale è spesso riconducibile a quattro aree problematiche principali:

  • Il fattore oops: Incomprensione o mancanza di conoscenza dei processi di sicurezza e dei rischi. Lo studio Egress ha rilevato che il 31% delle violazioni è stato causato da un dipendente che ha inviato informazioni via e-mail alla persona sbagliata.

  • Inganno: Manipolazione da parte di forze esterne, ad esempio il phishing. Lo studio di Egress ha rilevato che il 41% dei dati trapelati accidentalmente era dovuto a un’e-mail di phishing.

  • Postura inadeguata: Una scarsa posizione di sicurezza da parte dell’azienda e una mancanza di applicazione e di educazione alla sicurezza.

  • Mancanza di competenze in materia di sicurezza: Configurazione errata dei sistemi a causa della scarsa formazione o della mancanza di comprensione della sicurezza a livello di amministrazione IT.

Insider malintenzionati

I dipendenti e i non dipendenti che intendono intenzionalmente danneggiare i sistemi IT o rubare i dati sono definiti malintenzionati. A differenza degli insider accidentali, le minacce di insider malintenzionati sono tipicamente motivate da motivi di denaro o vendetta. Un rapporto di Fortinet sulle minacce interne ha rilevato che il 60% delle aziende è preoccupato per la minaccia di una violazione dei dati causata da un insider malintenzionato. L’indagine ha anche analizzato le motivazioni degli insider malintenzionati: le tre ragioni principali sono:

  1. Frode (55%)

  2. Denaro (49%)

  3. Furto di proprietà intellettuale (44%)

Gli insider malintenzionati vengono persino reclutati sul dark web: un rapporto ha segnalato un annuncio sul dark web per un dipendente di una banca che avrebbe dovuto agire come insider malintenzionato, pagando 370.000 rubli (4.400 sterline) al mese per un’ora di lavoro al giorno.

Esempi di minacce interne

Indipendentemente dal fatto che la violazione dei dati o altri eventi di sicurezza siano causati in modo doloso o accidentale, le ripercussioni sono le stesse. Le violazioni dei dati e altri problemi di sicurezza comportano ingenti multe per mancata conformità, la perdita di fiducia dei clienti nella capacità di un’organizzazione di proteggere le informazioni sensibili e persino un calo del valore delle azioni dell’azienda. Di seguito sono riportati tre esempi in cui gli attacchi di insider hanno causato danni all’azienda:

Il dipendente scontento: Un’azienda che si occupa della distribuzione di dispositivi di protezione (DPI) durante la pandemia di Covid-19 ha sofferto per mano di un dipendente arrabbiato. L’ex dipendente, “Dobbins“, ha creato due account utente falsi prima di perdere il lavoro. Una volta licenziato, Dobbins è entrato nel sistema utilizzando gli account falsi. Ha quindi modificato quasi 12.000 record, cancellandone oltre 2.000. Infine, ha disattivato gli account falsi. Apportando queste modifiche, Dobbins ha seriamente compromesso la fornitura di DPI agli operatori sanitari.

Intenzione dolosa a scopo di lucro: Un dipendente di BUPA ha causato una violazione che ha interessato 547.000 clienti, con il risultato che l’ICO del Regno Unito ha multato Bupa per 175.000 sterline. Il dipendente ha utilizzato il sistema CRM dell’azienda per inviarsi i dati personali dei clienti BUPA prima di cercare di vendere gli account compromessi sul dark web.

Gli incidenti capitano, ma spesso sono imperdonabili: La “Independent Inquiry into Child Sex Abuse” (IICSA) è stata messa sotto esame dopo che un dipendente ha inviato una serie di e-mail a 90 possibili vittime di abusi sessuali su minori. Il dipendente ha semplicemente utilizzato il campo cc invece del campo bcc per inserire gli indirizzi e-mail. L’ICO del Regno Unito ha multato l’IICSA per 200.000 sterline ai sensi del Data Protection Act (DPA2018).

Come individuare e mitigare le minacce interne alla tua organizzazione

Sebbene possa essere difficile individuare e prevenire gli attacchi insider, esistono dei modi per ridurne al minimo l’impatto. Ecco cinque modi per aiutare la tua organizzazione a controllare le minacce interne:

Formazione sulla sicurezza

Poiché molte minacce interne sono accidentali, la formazione sulla sicurezza può svolgere un ruolo importante nel mitigare questo rischio informatico. La formazione di sensibilizzazione alla sicurezza deve riguardare aspetti delle minacce interne accidentali come:

  • Igiene della sicurezza: ad esempio, insegnare ai dipendenti a prestare attenzione all’invio di dati in modo sicuro.

  • Phishing: assicurati che i dipendenti siano aggiornati sulle e-mail e su altri trucchi di phishing e che siano consapevoli del furto di credenziali attraverso i siti di phishing.

  • Consapevolezza della conformità: garantire che i dipendenti siano consapevoli del loro ruolo nel garantire il rispetto della conformità normativa.

Fiducia zero

Molte minacce insider sono causate dall’uso improprio o dall’abuso di privilegi e dallo scarso controllo dell’accesso ai dati sensibili. La fiducia zero si basa sul principio “mai fidarsi, sempre verificare”. Ciò significa che i dipendenti e/o i dispositivi utilizzati devono essere messi alla prova quando tentano di accedere alle risorse.

Queste sfide riflettono la sensibilità delle risorse, quindi i dati o le applicazioni più sensibili richiedono una maggiore garanzia che la persona che vi accede sia chi dice di essere. Un’architettura a fiducia zero è un mix di tecnologie appropriate e un approccio architettonico che aiuta a compartimentare le aree di una rete. Le tecnologie a supporto di un’architettura zero trust includono il Security Information and Event Management (SIEM) e un Cloud access security broker (CASB).

Autenticazione e autorizzazione

Il principio dell’autenticazione e dell’autorizzazione solida è alla base di un’architettura a fiducia zero. L’autenticazione e l’autorizzazione consapevoli del contesto aggiungono un importante livello di controllo sull’accesso ai dati sensibili. L’uso di 2FA/MFA per l’accesso alle app aziendali, soprattutto quando si lavora da remoto, dovrebbe essere imposto. Insieme al monitoraggio, questi processi creano un solido livello di sicurezza.

Alla ricerca di segnali di comportamento insolito

Le minacce interne dannose possono essere difficili da individuare, ma alcune tecnologie basate sull’apprendimento automatico (ML) possono aiutare a rilevare le minacce e ad avvisare il team di sicurezza di qualsiasi attività insolita. Una di queste è il monitoraggio dei dipendenti sotto forma di UEBA (User and Entity Behaviour Analytics). L’UEBA serve a rilevare comportamenti insoliti utilizzando il ML per individuare modelli di comportamento anomali quando gli esseri umani interagiscono con dispositivi e reti.

Controllo Anti-Phishing e Spam

Le tecnologie che impediscono alle e-mail di phishing di entrare nelle caselle di posta dei dipendenti possono aiutare a prevenire le violazioni accidentali degli insider. Le soluzioni possono essere utilizzate per impedire ai dipendenti di navigare verso URL dannosi. Questi servizi software sono in genere forniti come piattaforme basate sul cloud. Il filtraggio delle e-mail e la scansione dei contenuti degli URL sono utili per fornire una rete di sicurezza che integri la formazione sulla sicurezza.

I nostri dipendenti sono la nostra risorsa più grande e dobbiamo assicurarci che lo rimangano, responsabilizzandoli attraverso la formazione e proteggendo loro e la nostra azienda con il meglio delle tecnologie di sicurezza.

Consapevolezza della sicurezza informatica per principianti