Perché i governi hanno bisogno di formazione sulla sicurezza
Pubblicato su: 28 Ott 2021
Ultima modifica il: 30 Set 2025
Ci sono diversi motivi per cui le amministrazioni pubbliche hanno bisogno di corsi di formazione sulla sicurezza per ridurre il rischio di attacchi riusciti, proteggere le informazioni sensibili e mantenere la fiducia del pubblico nelle istituzioni governative. I governi e i dipartimenti del settore pubblico sono nel mirino dei criminali informatici. Una ricerca di Checkpoint conferma questa affermazione; un’indagine dell’azienda mostra che i settori governativo e militare nel Regno Unito e in Irlanda hanno subito una media di 352 attacchi informatici a settimana a metà del 2021.
Il Regno Unito nel suo complesso ha registrato un aumento del 20% degli attacchi informatici nel corso del 2020, con tipi di attacchi come il ransomware che sono aumentati di ben l’80% negli ultimi 3 mesi del 2020. Questo tsunami di attacchi informatici segue un modello tipico di manipolazione del fattore umano, di solito un dipendente o un fornitore.
Per contribuire ad attenuare l’assalto delle minacce informatiche, come il phishing, l’esposizione accidentale dei dati e l’ingegneria sociale, i dipartimenti governativi devono puntare sulla formazione di sensibilizzazione alla sicurezza.
Come avvengono le perdite di dati e gli attacchi informatici nelle amministrazioni pubbliche
Gli hacker sono avvantaggiati dal successo degli attacchi passati agli enti governativi.
Forse il più famoso è stato l’attacco ransomware WannaCry che è stato avvertito in tutto il mondo e in modo particolarmente acuto dall’NHS del Regno Unito. Come tutti gli attacchi ransomware, WannaCry è stato devastante, chiudendo gli ospedali ai nuovi pazienti ed esercitando un’enorme pressione su un servizio sanitario nazionale già in difficoltà. Il governo è un obiettivo per i criminali informatici perché ha dimostrato di essere un’opzione di successo, l’equivalente della frutta a portata di mano.
Gli attacchi come il ransomware iniziano spesso con la manipolazione di un dipendente che viene indotto a cliccare su un link dannoso in un’e-mail o a scaricare un allegato infetto.
Una richiesta di Freedom of Information (FoI) effettuata dal think tank Parliament Street ha rilevato che il Tesoro di Sua Maestà è riuscito a bloccare quasi 5 milioni di email di phishing, malware e spam nei tre anni fino a settembre 2021. Un altro rapporto di Parliament Street ha rilevato che la Camera dei Comuni ha bloccato 126 milioni di tentativi di email dannose.
Ma non sono solo gli attacchi informatici a dover preoccupare i responsabili della sicurezza e della conformità delle amministrazioni pubbliche.
Un rapporto del Ministero della Difesa (MoD), analizzato da Parliament Street, mostra un aumento del 18% degli incidenti di perdita di dati. La maggior parte di questi incidenti è stata causata dalla divulgazione non autorizzata di dati, mentre il resto è dovuto alla perdita di apparecchiature, dispositivi o documenti elettronici all’interno delle sedi governative o allo smaltimento non sicuro di documenti cartacei.
I criminali informatici giocano a lungo e migliorano continuamente le loro tecniche di evasione. Una singola e-mail dannosa che sfugge alla rete può diventare un altro incidente di livello WannaCry. Un singolo laptop perso su un treno può finire alle porte dei media, trattato come un problema di non conformità normativa dall’Information Commissioners Office (ICO).
La tempesta informatica perfetta, composta da un mix di crimini informatici ed eventi accidentali di insider, si sta addensando come una nube oscura sui dipartimenti governativi del Regno Unito.
In che modo la formazione di sensibilizzazione sulla sicurezza informatica può aiutare un dipartimento governativo a rimanere al sicuro dal punto di vista informatico
L’ICO del Regno Unito ha dichiarato che il 90% delle violazioni dei dati è causato da un errore umano: il ruolo del fattore umano nella perdita di dati e nelle violazioni informatiche è evidente dalla ricerca di Parliament Street. Tuttavia, il fattore umano nella sicurezza rappresenta anche un’opportunità per i dipartimenti governativi di ridurre i rischi.
La capacità di educare gli utenti sui problemi di sicurezza informatica e sul rischio dei dati è una parte importante di una politica e di una strategia di sicurezza globale. La formazione di sensibilizzazione alla sicurezza fornisce un programma formale per fornire questa formazione; i cinque fondamenti di una formazione di sensibilizzazione alla sicurezza efficace sono:
Prevenire le violazioni dei dati
Le violazioni di dati sono tipicamente legate a una campagna di phishing in una certa fase della violazione. Un dipendente o un’altra entità associata, come un appaltatore o un fornitore, cade vittima di un messaggio di phishing e il risultato può essere un’infezione da ransomware (o altro malware) o il furto di credenziali.
La formazione sulla sicurezza addestra il personale e gli altri dipendenti a riconoscere i segni rivelatori dei messaggi di phishing e di altre truffe di ingegneria sociale. Le simulazioni di phishing possono essere utilizzate per contribuire a questa formazione e per acquisire metriche che dimostrino l’efficacia della formazione. In un dipartimento IT governativo con un budget limitato, i programmi di formazione sulla sicurezza possono essere molto efficaci dal punto di vista dei costi.
Prevenire l’esposizione accidentale dei dati
L’esposizione accidentale dei dati copre una vasta gamma di eventi, dall’errata consegna delle e-mail al semplice abbandono di documenti sensibili su una stampante. Il corso di sensibilizzazione alla sicurezza istruisce il personale sugli elementi igienici della sicurezza online e su quelli più tecnologici. I dipendenti e le altre persone vengono istruiti sulle buone pratiche, come ad esempio il rispetto di una politica di pulizia della scrivania e la garanzia di non condividere le password.
Sicurezza continua
I criminali informatici sono sempre alla ricerca di modi per aggirare le misure di sicurezza tradizionali, tra cui la modifica delle tattiche per indurre i dipendenti a svolgere attività dannose per loro conto. La formazione di sensibilizzazione alla sicurezza non è un evento una tantum, ma si basa sul principio della formazione continua per garantire che un dipartimento governativo (e i suoi dipendenti) rimangano aggiornati sui cambiamenti del panorama delle minacce alla sicurezza informatica.
Sicurezza per tutti
Ogni dipendente, consulente e fornitore è un potenziale bersaglio di cui un criminale informatico può approfittare. Ogni dipendente e fornitore rappresenta inoltre un fattore umano nell’esposizione accidentale dei dati. Per questo motivo, i programmi di formazione sulla consapevolezza della sicurezza sono più efficaci quando vengono utilizzati in tutta l’organizzazione e includono anche i fornitori. Con i dipartimenti governativi che utilizzano servizi e personale in outsourcing, questo aspetto della formazione di sensibilizzazione alla sicurezza è importante per garantire che la mentalità orientata alla sicurezza sia universale.
Il firewall umano e il potenziamento delle misure tecniche
Il concetto di firewall umano è un’idea che si basa sull’educazione fornita da un programma di formazione sulla sicurezza. Se ben fatto, l’educazione alla sicurezza può responsabilizzare tutti i membri di un’organizzazione e garantire che il gruppo tragga beneficio da questa formazione.
Conformità alle normative, standard di protezione dei dati e governo
Un altro aspetto che emerge da un programma efficace di sensibilizzazione alla sicurezza è il rispetto dei requisiti normativi sulla sicurezza delle informazioni. Il governo dovrebbe dare l’esempio al resto del settore assicurandosi di rispettare le varie normative sui dati nel Regno Unito, oltre a quelle che possono avere un impatto al di fuori dei confini del Regno Unito. Molti standard e regolamenti sulla protezione dei dati, tra cui ISO27001 e DPA2018/UK GDPR, ora impongono o incoraggiano fortemente un’organizzazione a formare i propri dipendenti affinché siano consapevoli della sicurezza.
Sebbene le misure di sicurezza tradizionali, come l’autenticazione a due fattori e la crittografia, possano contribuire a ridurre le violazioni dei dati, non c’è niente di meglio che sensibilizzare i dipendenti sui rischi per un’organizzazione derivanti dal phishing e da altri attacchi di social engineering.
I dipartimenti governativi sono a rischio di perdita di dati e di attacchi informatici come qualsiasi altro settore. Fornendo ai dipendenti una formazione essenziale in materia di sicurezza, un dipartimento governativo può ridurre il rischio di esposizione e costituire un esempio e un precedente da seguire per altri settori.
