Sono diversi i motivi per cui le amministrazioni pubbliche hanno bisogno di corsi di formazione sulla sicurezza per ridurre il rischio di attacchi riusciti, proteggere le informazioni sensibili e mantenere la fiducia del pubblico nelle istituzioni governative. I governi e i dipartimenti del settore pubblico sono nel mirino dei criminali informatici. Una ricerca di Checkpoint conferma questa affermazione; un'indagine della società mostra che i settori governativo e militare nel Regno Unito e in Irlanda hanno affrontato una media di 352 attacchi informatici a settimana a metà del 2021.
Il Regno Unito nel suo complesso ha visto un aumento del 20% degli attacchi informatici nel corso del 2020, con tipi di attacchi come il ransomware che sono aumentati di un enorme 80% negli ultimi 3 mesi del 2020. Questo tsunami di attacchi informatici segue un modello tipico di manipolazione del fattore umano, di solito un dipendente o un fornitore.
Per contribuire ad alleviare l'assalto delle minacce informatiche provenienti dal phishing, dall'esposizione accidentale dei dati e dall'ingegneria sociale, i dipartimenti governativi devono rivolgersi alla formazione sulla consapevolezza della sicurezza.
Come avvengono le perdite di dati e gli attacchi informatici nei governi
Gli hacker sono avvantaggiati dal successo degli attacchi passati agli enti governativi.
Forse il più infame è stato l'attacco ransomware WannaCry che è stato sentito in tutto il mondo, e particolarmente acutamente dal NHS del Regno Unito. Come tutti gli attacchi ransomware, WannaCry è stato devastante, chiudendo gli ospedali a nuovi pazienti e mettendo una pressione enorme su un NHS già teso. Il governo è un obiettivo per i criminali informatici perché ha dimostrato di essere un'opzione di successo, l'equivalente del crimine informatico di un frutto a basso rendimento.
Attacchi come il ransomware, spesso iniziano con un dipendente manipolato a cliccare su un link dannoso in una e-mail o a scaricare un allegato infetto.
Una richiesta di Freedom of Information (FoI) effettuata dal think tank Parliament Street, ha scoperto che il Tesoro di Sua Maestà è riuscito a bloccare quasi 5 milioni di email di phishing, malware e spam nei tre anni fino a settembre 2021. Un altro rapporto di Parliament Street ha scoperto che la Camera dei Comuni ha bloccato 126 milioni di tentativi di email malevole.
Ma non sono solo gli attacchi informatici che dovrebbero preoccupare i responsabili della sicurezza e della conformità del governo.
Un rapporto del Ministero della Difesa (MoD), e analizzato da Parliament Street, mostra un aumento del 18% degli incidenti di perdita di dati. La maggior parte di questi incidenti sono stati causati dalla divulgazione non autorizzata di dati, il resto è dovuto alla perdita di attrezzature elettroniche, dispositivi o documenti, all'interno dei locali del governo, o lo smaltimento insicuro di documenti cartacei.
I criminali informatici giocano a lungo e migliorano continuamente le loro tecniche di evasione. Una singola e-mail dannosa che scivola attraverso la rete può diventare un altro incidente del livello di WannaCry. Un singolo portatile perso su un treno può finire alle porte dei media, trattato come un problema di non conformità normativa dall'Information Commissioners Office (ICO).
La cyber-tempesta perfetta composta da un mix di crimini informatici ed eventi accidentali di insider si sta raccogliendo come una nuvola scura sui dipartimenti governativi del Regno Unito.
In che modo la formazione di sensibilizzazione sulla sicurezza informatica può aiutare un dipartimento governativo a rimanere al sicuro dal punto di vista informatico
L'ICO del Regno Unito ha dichiarato che il 90% delle violazioni dei dati è causato da un errore umano: il ruolo del fattore umano nella perdita di dati e nelle violazioni informatiche è evidente dalla ricerca di Parliament Street. Tuttavia, il fattore umano nella sicurezza rappresenta anche un'opportunità per i dipartimenti governativi di ridurre i rischi.
La capacità di educare gli utenti sui problemi di sicurezza informatica e sul rischio dei dati è una parte importante di una politica e strategia di sicurezza globale. Il Security Awareness Training fornisce un programma formale per fornire questa educazione; i cinque fondamenti di un efficace Security Awareness Training sono:
Prevenire le violazioni dei dati
Le violazioni dei dati sono tipicamente legate a una campagna di phishing in qualche fase della violazione. Un dipendente o un'altra entità associata, come un appaltatore o un fornitore, cadrà vittima di un messaggio di phishing e il risultato può essere un'infezione da ransomware (o altro malware) o un furto di credenziali.
L'addestramento sulla consapevolezza della sicurezza allena il personale e gli altri a individuare i segni rivelatori dei messaggi di phishing e di altre truffe di ingegneria sociale. Le simulazioni di phishing possono essere utilizzate per aiutare in questa formazione e per catturare metriche per mostrare quanto sia efficace la formazione. In un dipartimento IT governativo con un budget limitato, i programmi di formazione sulla sicurezza possono essere molto efficaci dal punto di vista dei costi.
Prevenire l'esposizione accidentale dei dati
L'esposizione accidentale dei dati copre una vasta gamma di eventi, dall'errata consegna delle e-mail al semplice abbandono di documenti sensibili su una stampante. La formazione sulla consapevolezza della sicurezza istruisce il personale sugli elementi igienici della sicurezza online e su quelli più tecnologici. I dipendenti e le altre persone vengono istruiti sulle buone pratiche, come ad esempio il rispetto di una politica di pulizia della scrivania e la garanzia di non condividere le password.
Sicurezza continua
I criminali informatici sono sempre alla ricerca di modi per aggirare le misure di sicurezza tradizionali, questo include il cambiamento delle tattiche per ingannare i dipendenti ad eseguire attività dannose per loro conto. Il Security Awareness Training non è un evento una tantum, ma lavora sul principio della formazione continua per garantire che un dipartimento governativo (e i suoi dipendenti) rimanga in cima ai cambiamenti nel panorama delle minacce alla sicurezza informatica.
Sicurezza per tutti
Ogni dipendente, consulente e fornitore è un potenziale bersaglio di cui un criminale informatico può approfittare. Ogni dipendente e fornitore rappresenta inoltre un fattore umano nell'esposizione accidentale dei dati. Per questo motivo, i programmi di formazione sulla consapevolezza della sicurezza sono più efficaci quando sono utilizzati in tutta l'organizzazione e includono i fornitori. Con i dipartimenti governativi che utilizzano servizi e personale in outsourcing, questo aspetto della formazione di sensibilizzazione alla sicurezza è importante per garantire che la mentalità orientata alla sicurezza sia universale.
Il firewall umano e l'aumento delle misure tecniche
Il concetto di firewall umano è un'idea che si basa sull'educazione fornita da un programma di formazione sulla consapevolezza della sicurezza. Se fatta bene, l'educazione alla sicurezza può responsabilizzare tutti all'interno di un'organizzazione, assicurando al tempo stesso che il gruppo tragga beneficio nel suo insieme da questa formazione.
Conformità normativa, standard di protezione dei dati e governo
Un altro aspetto che emerge da un programma efficace di sensibilizzazione alla sicurezza è il rispetto dei requisiti normativi sulla sicurezza delle informazioni. Il governo dovrebbe dare l'esempio al resto del settore, assicurandosi di rispettare le varie normative sui dati nel Regno Unito, nonché quelle che possono avere un impatto al di fuori dei confini del Regno Unito. Molti standard e regolamenti sulla protezione dei dati, tra cui ISO27001 e DPA2018/UK GDPR, ora impongono o incoraggiano fortemente un'organizzazione a formare i propri dipendenti per renderli consapevoli della sicurezza.
Mentre le misure di sicurezza tradizionali come l'autenticazione a due fattori e la crittografia possono aiutare ad alleviare le violazioni dei dati, non c'è niente di meglio che rendere i dipendenti consapevoli dei rischi per un'organizzazione dal phishing e altri attacchi di ingegneria sociale.
I dipartimenti governativi sono a rischio di perdita di dati e attacchi informatici tanto quanto qualsiasi altra industria. Fornendo una formazione essenziale sulla sicurezza ai dipendenti, un dipartimento governativo può ridurre il rischio della propria esposizione e stabilire un esempio e un precedente da seguire per altre industrie.