Le minacce interne sono insidiose e notoriamente difficili da individuare e prevenire. Uno dei motivi è che si tratta di colleghi, non di "hacker con il cappuccio". Ma le minacce interne non sono sempre dolose; gli insider accidentali sono una minaccia per la sicurezza dei dati tanto quanto i dipendenti malintenzionati che vogliono causare danni.
Kroll, società di consulenza sui rischi, produce regolarmente rapporti sullo stato della sicurezza: ad esempio, il rapporto Threat Landscape del terzo trimestre del 2022 di Kroll ha visto il picco massimo delle minacce insider; il rapporto ha rilevato che quasi il 35% di tutti gli incidenti di accesso non autorizzato avevano come fulcro le minacce insider.
Le minacce interne sono controllabili, ma richiedono una serie di strategie di gestione; ecco alcuni esempi di minacce interne e cinque strategie che potete utilizzare per mitigarle.
Come accennato, le minacce interne non sono sempre dovute ad attacchi di sicurezza dolosi; gli incidenti e la negligenza svolgono un ruolo significativo negli incidenti di sicurezza. Inoltre, anche le persone che si celano dietro le minacce insider sono diverse e comprendono dipendenti, fornitori, consulenti e liberi professionisti.
Ecco alcuni esempi del tipo di minacce interne che causano danni alle aziende:
Esempi di minacce interne
Dipendenti scontenti
Le persone che lasciano un'organizzazione possono farlo solo a volte felicemente. I dipendenti che hanno un problema con l'azienda possono causare danni esponendo dati o rubando informazioni proprietarie e riservate. Un recente rapporto di Unit 42 research ha rilevato che il 75% degli incidenti di sicurezza da loro gestiti è riconducibile a dipendenti scontenti. Tuttavia, non tutti i dati sono concordi. Secondo molti studi, gli insider accidentali o negligenti sono altrettanto pericolosi.
Negligenza e incidenti
Essere consapevoli della sicurezza è qualcosa che deve essere inculcato come una seconda natura. L'alternativa è che gli addetti ai lavori dimentichino di ricontrollare le routine importanti; ad esempio, un dipendente negligente potrebbe inviare dati sensibili via e-mail alla persona sbagliata o lasciare documenti sensibili su una stampante. I dispositivi di lavoro non criptati sono un'altra area che può mettere a rischio i dati. Se un dipendente viaggia regolarmente, il rischio di lasciare un telefono o un computer portatile su un treno o in un aeroporto aumenta. Se il dispositivo cade nelle mani sbagliate, tutti i dati e l'accesso alle app aziendali sono a rischio.
Insider malintenzionati
I dipendenti scontenti sono una forma di dipendente che approfitta dell'abbandono di un'azienda per commettere un atto dannoso. Tuttavia, alcuni dipendenti sono intenzionalmente malintenzionati e cercano opportunità per rubare dati e vendere segreti aziendali. Il reclutamento di insider per svolgere attività dannose non è una novità; lo spionaggio industriale è vecchio come l'industria.
Tuttavia, il moderno reclutamento dei dipendenti da parte dei criminali informatici è ora digitale. I criminali informatici cercheranno spesso di contattare un dipendente specifico, come quelli che hanno un accesso privilegiato alla rete, oppure utilizzeranno strumenti come i social media o i forum online (compreso il dark web) per entrare in contatto con gli insider; al potenziale reclutatore verranno offerte ingenti somme di denaro per aiutarlo a installare ransomware o a rubare dati.
L'insider workaround
Alcune persone trovano scomode le pratiche di sicurezza. In tal caso, è probabile che si facciano beffe delle politiche di sicurezza e trovino soluzioni che consentano loro di continuare a praticare comportamenti di sicurezza inadeguati. Il risultato è sempre lo stesso: esposizione dei dati o utilizzo improprio delle credenziali di accesso, spesso condivise con i colleghi per comodità. Uno studio del 2022 ha dimostrato che il 62% dei dipendenti condivide le password via SMS o e-mail.
Insider della catena di approvvigionamento
Le catene di fornitura, i fornitori, i consulenti e altri soggetti possono essere fuori dal libro paga. Tuttavia, rappresentano comunque una minaccia insider, poiché spesso hanno accesso alle applicazioni aziendali e alle informazioni sensibili: gli attacchi di spear phishing prendono spesso di mira il personale della supply chain proprio per questo motivo. Inoltre, molti famigerati attacchi informatici sono stati ricondotti a un fornitore. Un esempio è l'attacco alla catena di fornitura di General Electric (GE); nel 2020, i criminali informatici hanno ottenuto l'accesso non autorizzato a un account di posta elettronica di un'azienda partner di GE; l'account ha esposto informazioni sensibili sui dipendenti di GE.
Cinque strategie per mitigare le minacce insider
Qualunque sia l'origine di una minaccia insider, esistono modi per prevenirla:
Creare una cultura in cui la sicurezza è importante
Una cultura della sicurezza è quella in cui la sicurezza diventa parte integrante della vita lavorativa. Se si raggiunge una cultura della sicurezza, si ridurranno al minimo i rischi associati a insider accidentali o negligenti. Una cultura della sicurezza modifica i comportamenti scorretti in materia di sicurezza, conferendo ai dipendenti le conoscenze necessarie per gestire i rischi di sicurezza, anziché affidarsi esclusivamente al team di sicurezza. Un'efficace consapevolezza della sicurezza significa porre le persone al centro del mantenimento di un ambiente sicuro; piuttosto che attribuire colpe, un'efficace cultura della sicurezza darà potere ai dipendenti e li aiuterà a identificare e gestire i dipendenti malintenzionati.
Costruire la fiducia della vostra base di dipendenti e non dipendenti
È difficile modificare il comportamento delle persone che non si preoccupano della sicurezza perché la considerano un'interferenza con il loro lavoro. Per contribuire a mitigare i rischi delle soluzioni di sicurezza, un'organizzazione dovrebbe lavorare per costruire un rapporto di fiducia con i dipendenti, i fornitori e altri soggetti. Ad esempio, i corsi di formazione sulla sicurezza dovrebbero essere concepiti in modo da creare relazioni che coincidano con i partecipanti, utilizzando contenuti incentrati su ruoli e rischi specifici. Inoltre, fornire strumenti di sicurezza ben progettati, basati su un'esperienza utente eccellente e semplici da usare, aiuterà a impedire ai dipendenti e agli altri di cercare soluzioni alternative.
Effettuare regolarmente corsi di formazione sulla sicurezza
Le persone tendono a dimenticare la formazione, a meno che non venga svolta regolarmente. Uno studio di USENIX sull'impatto della formazione regolare sull'efficacia del Security Awareness Training ha rilevato che la formazione iniziale dei dipendenti è durata circa quattro mesi; dopo sei mesi, i dipendenti non erano in grado di individuare le e-mail di phishing. La formazione sulla sicurezza delle informazioni può spesso aiutare a individuare le minacce interne prima che causino danni reali.
Avere un processo solido per l'uscita dei dipendenti
I dipendenti malintenzionati, compresi quelli che lasciano l'organizzazione, sono difficili da gestire. Uno dei modi più efficaci per includere questi dipendenti nelle strategie di mitigazione delle minacce interne è quello di disporre di processi solidi che garantiscano che i dipendenti che lasciano l'azienda vengano prontamente rimossi dall'accesso ai loro account.
Strumenti per la mitigazione dei dipendenti malintenzionati
I dipendenti malintenzionati copriranno attivamente le loro tracce, il che può essere difficile da rilevare. Utilizzate strumenti e processi che implementino un approccio "zero trust" alla sicurezza; questi processi utilizzeranno il principio del minimo privilegio per controllare l'accesso ai dati sensibili e alla rete aziendale. Gli strumenti di sicurezza, come le soluzioni di Data Loss Prevention (DLP), possono aiutare a mitigare le minacce insider, sia dolose che accidentali.
Ricordate la vostra catena di fornitura più ampia
Ricordate i vostri fornitori, appaltatori e altre terze parti quando fate corsi di sensibilizzazione sulla sicurezza e distribuite strumenti di sicurezza zero trust. Assicuratevi che la vostra base di utenti più ampia comprenda il proprio ruolo nella sicurezza e nella privacy; applicate una formazione sulla sicurezza basata sui ruoli e simulazioni di phishing che insegnino a fornitori e consulenti come individuare lo spear phishing e l'ingegneria sociale rivolta ai loro dipendenti.
La mitigazione delle minacce insider è impegnativa perché le minacce assumono diverse forme, da quelle accidentali a quelle dolose; per rilevare e prevenire questo spettro di attacchi è necessaria una combinazione di misure umane e tecnologiche. Queste soluzioni comprendono la formazione sulla consapevolezza della sicurezza incentrata sull'uomo, le simulazioni di phishing basate sui ruoli, i processi di sicurezza solidi e le soluzioni di sicurezza come lo zero trust. Tuttavia, se utilizzata come approccio a 360 gradi alla minaccia insider, questa combinazione di misure incentrate sull'uomo e sulla tecnologia rappresenta un modo efficace per mitigare queste minacce insidiose.