Le minacce interne sono insidiose e notoriamente difficili da individuare e prevenire. Uno dei motivi è che si tratta di colleghi, non di “hacker con il cappuccio”. Ma le minacce interne non sono sempre dolose; gli insider accidentali sono una minaccia per la sicurezza dei dati tanto quanto i dipendenti malintenzionati che vogliono causare danni.

Kroll, società di consulenza sui rischi, produce regolarmente rapporti sullo stato della sicurezza: ad esempio, il rapporto Threat Landscape del terzo trimestre del 2022 di Kroll ha visto il picco massimo delle minacce interne; il rapporto ha rilevato che quasi il 35% di tutti gli incidenti di accesso non autorizzato avevano come fulcro le minacce interne.

Le minacce interne sono controllabili ma richiedono una serie di strategie di gestione; ecco alcuni esempi di minacce interne e cinque strategie che puoi utilizzare per mitigarle.

Come già accennato, le minacce interne non sono sempre dovute ad attacchi di sicurezza dolosi; gli incidenti e la negligenza giocano un ruolo significativo negli incidenti di sicurezza. Inoltre, anche le persone che si celano dietro le minacce insider sono diverse e includono dipendenti, fornitori, consulenti e liberi professionisti.

Ecco alcuni esempi del tipo di minacce interne che causano danni alle aziende:

Esempi di minacce interne

Dipendenti scontenti

Le persone che lasciano un’organizzazione possono farlo solo a volte felicemente. I dipendenti che hanno un problema con l’azienda possono causare danni esponendo dati o rubando informazioni proprietarie e riservate. Un recente rapporto di Unit 42 research ha rilevato che il 75% degli incidenti di sicurezza da loro gestiti sono riconducibili a dipendenti scontenti. Tuttavia, non tutti i dati sono concordi. Molti studi ritengono che gli insider accidentali o negligenti siano altrettanto pericolosi.

Negligenza e incidenti

Essere consapevoli della sicurezza è qualcosa che deve essere inculcato come una seconda natura. L’alternativa è che gli addetti ai lavori dimentichino di ricontrollare le routine importanti; ad esempio, un dipendente negligente potrebbe inviare dati sensibili via e-mail alla persona sbagliata o lasciare documenti sensibili su una stampante. I dispositivi di lavoro non criptati sono un’altra area che può mettere a rischio i dati. Se un dipendente viaggia regolarmente, il rischio di lasciare un telefono o un portatile su un treno o in un aeroporto aumenta. Se il dispositivo finisce nelle mani sbagliate, tutti i dati e l’accesso alle app aziendali sono a rischio.

Insider malintenzionati

I dipendenti scontenti sono una forma di dipendente che approfitta dell’abbandono di un’azienda per commettere un atto dannoso. Tuttavia, alcuni dipendenti sono intenzionalmente malintenzionati e cercano opportunità per rubare dati e vendere segreti aziendali. Il reclutamento di insider per svolgere attività dannose non è una novità; lo spionaggio industriale è vecchio come l’industria.

Tuttavia, il moderno reclutamento dei dipendenti da parte dei criminali informatici è ormai digitale. I criminali informatici cercheranno spesso di contattare un dipendente specifico, ad esempio chi ha un accesso privilegiato alla rete, oppure utilizzeranno strumenti come i social media o i forum online (compreso il dark web) per entrare in contatto con gli insider; al potenziale reclutatore verranno offerte ingenti somme di denaro per aiutarlo a installare un ransomware o a rubare dati.

L’insider workaround

Alcune persone trovano scomode le pratiche di sicurezza. In questo caso, è probabile che si facciano beffe delle politiche di sicurezza e trovino soluzioni che permettano loro di continuare a mettere in pratica comportamenti di sicurezza scorretti. Il risultato è sempre lo stesso: esposizione dei dati o utilizzo improprio delle credenziali di accesso, spesso condivise con i colleghi per comodità. Uno studio del 2022 ha dimostrato che il 62% dei dipendenti condivide le password via SMS o e-mail.

Insider della catena di approvvigionamento

Le catene di fornitura, i venditori, i consulenti e altri soggetti possono essere fuori dal libro paga. Tuttavia, rappresentano comunque una minaccia insider in quanto spesso hanno accesso alle applicazioni aziendali e alle informazioni sensibili: gli attacchi di spear phishing prendono spesso di mira il personale della supply chain proprio per questo motivo. Inoltre, molti famigerati attacchi informatici sono stati ricondotti a un fornitore. Un esempio è l’attacco alla catena di fornitura di General Electric (GE); nel 2020, i criminali informatici hanno ottenuto l’accesso non autorizzato a un account e-mail di un’azienda partner di GE; l’account ha esposto informazioni sensibili sui dipendenti di GE.

Cinque strategie per mitigare le minacce interne

Qualunque sia l’origine di una minaccia insider, ci sono modi per prevenire le minacce insider:

Crea una cultura in cui la sicurezza è importante

Una cultura della sicurezza è quella in cui la sicurezza diventa parte integrante della vita lavorativa. Se si raggiunge una cultura della sicurezza, si ridurranno al minimo i rischi associati a insider accidentali o negligenti. Una cultura della sicurezza modifica i comportamenti scorretti in materia di sicurezza, mettendo i dipendenti in condizione di gestire i rischi della sicurezza, anziché affidarsi esclusivamente al team di sicurezza. Un’efficace consapevolezza della sicurezza significa porre le persone al centro del mantenimento di un ambiente sicuro; piuttosto che attribuire colpe, una cultura della sicurezza efficace darà ai dipendenti la possibilità di identificare e gestire i dipendenti malintenzionati.

Costruisci la fiducia della tua base di dipendenti e non.

È difficile cambiare il comportamento di chi non si preoccupa della sicurezza perché la vede come un’interferenza con il proprio lavoro. Per contribuire a mitigare i rischi delle soluzioni di sicurezza, un’organizzazione dovrebbe lavorare per costruire un rapporto di fiducia con i dipendenti, i fornitori e altri soggetti. Ad esempio, i corsi di formazione sulla sicurezza dovrebbero essere pensati per creare relazioni in sintonia con i partecipanti, utilizzando contenuti incentrati su ruoli e rischi specifici. Inoltre, fornire strumenti di sicurezza ben progettati, basati su un’esperienza utente eccellente e semplici da usare, aiuterà a evitare che i dipendenti e gli altri cerchino soluzioni alternative.

Effettua regolarmente corsi di formazione sulla sicurezza

Le persone tendono a dimenticare la formazione se non viene svolta regolarmente. Uno studio di USENIX sull’impatto della formazione regolare sull’efficacia del Security Awareness Training ha rilevato che la formazione iniziale dei dipendenti è durata circa quattro mesi; dopo sei mesi, i dipendenti non erano in grado di individuare le e-mail di phishing. La formazione sulla sicurezza informatica può spesso aiutare a individuare le minacce interne prima che causino danni reali.

Avere un processo solido per l’uscita dei dipendenti

I dipendenti malintenzionati, compresi quelli che lasciano l’organizzazione, sono difficili da gestire. Uno dei modi più efficaci per includere questi dipendenti nelle tue strategie di mitigazione delle minacce interne è quello di avere processi solidi che garantiscano che i dipendenti che lasciano l’azienda vengano prontamente rimossi dall’accesso ai loro account.

Strumenti per la mitigazione dei dipendenti malintenzionati

I dipendenti malintenzionati copriranno attivamente le loro tracce, il che può essere difficile da individuare. Utilizza strumenti e processi che implementino un approccio alla sicurezza di tipo “zero trust”; questi processi utilizzeranno il principio del minimo privilegio per controllare l’accesso ai dati sensibili e alla rete aziendale. Gli strumenti di sicurezza, come le soluzioni di Data Loss Prevention (DLP), possono aiutare a mitigare le minacce interne, sia dolose che accidentali.

Ricorda la tua catena di fornitura più ampia

Ricorda i tuoi fornitori, appaltatori e altre terze parti quando fai formazione sulla sicurezza e quando utilizzi strumenti di sicurezza zero trust. Assicurati che la tua base di utenti più ampia comprenda il proprio ruolo nella sicurezza e nella privacy; applica una formazione sulla sicurezza basata sui ruoli e simulazioni di phishing che insegnino a fornitori e consulenti come individuare lo spear phishing e l’ingegneria sociale rivolta ai loro dipendenti.

Mitigare le minacce insider è una sfida perché le minacce assumono diverse forme, da quelle accidentali a quelle dolose; per individuare e prevenire questo spettro di attacchi è necessaria una combinazione di misure umane e tecnologiche. Queste soluzioni comprendono la formazione alla consapevolezza della sicurezza incentrata sull’uomo, le simulazioni di phishing basate sui ruoli, i processi di sicurezza solidi e le soluzioni di sicurezza come la fiducia zero. Tuttavia, se utilizzata come approccio a 360 gradi alla minaccia insider, questa combinazione di misure incentrate sull’uomo e sulla tecnologia rappresenta un modo efficace per mitigare queste minacce insidiose.

Consapevolezza della sicurezza informatica per principianti