I modi più comuni in cui potresti essere indotto a compromettere i dati aziendali

I modi più comuni in cui potresti essere indotto a compromettere i dati aziendali

7 giugno 2018 0 Di Yuri Poletto

Mentre si fa un gran parlare di violazioni informatiche in cui vengono compromessi milioni di documenti e dati, una minaccia molto più pericolosa e insidiosa passa in gran parte inosservata: quella delle minacce interne. Un “insider accidentale” è un dipendente che, in buona fede, viene ingannato da hackers o competitors per rivelare password o installare involontariamente codice dannoso nelle reti aziendali. Un “insider malintenzionato” invece ruba i dati per un tornaconto economico o con l’intento di danneggiare il datore di lavoro.

Quanto è diffuso il problema delle minacce interne? Secondo uno studio condotto da Accenture e HFS Research*, “2 su 3 intervistati hanno riferito di aver sperimentato il furto o la corruzione dei dati all’interno delle loro organizzazioni.” Uno studio del Ponemon Institute** rivela che il 62% delle persone dichiara di poter accedere a dati aziendali ai quali probabilmente non dovrebbe poter accedere.
Ciò significa che la maggior parte dei dipendenti ha accesso a dati che, se ingannati da un hacker, potrebbero involontariamente rivelare. Tuttavia, ci sono alcuni modi relativamente semplici per proteggere la propria organizzazione dai trucchi comunemente usati dall’esterno per compromettere i dati con l’utilizzo di insiders:

Trucco # 1 – Phishing tramite email verosimili
Quando un’e-mail viaggia, attraverso un server, da un client a un destinatario, ci sono potenziali vulnerabilità della rete lungo tutto il suo percorso. Infatti, quando si riceve una e-mail, l’indirizzo sorgente del mittente non identifica in modo sicuro il soggetto da cui il messaggio proviene realmente. Queste informazioni possono essere facilmente falsificate, e i server di posta elettronica non fanno nulla per autenticare l’origine dell’e-mail. Anche se una e-mail potrebbe sembrare provenire da una fonte attendibile, gli hackers di oggi sono ingegneri sociali sofisticati e possono ingannare facilmente chiunque.
Molte organizzazioni impiegano software di filtraggio dello spam, e tutti ormai sappiamo che e’ meglio non aprire email provenienti da misteriosi generali Nigeriani che ci promettono qualche milione di Dollari se li aiutiamo a trovare una vecchia zia. Ma cosa succede se una e-mail sembra provenire da un collega o dal nostro capo? Questo scenario è si è realizzato recentemente quando un hacker del Regno Unito ha ingannato i funzionari della Casa Bianca per rivelare informazioni personali***.
Come puoi sapere se una email che ricevi è originale? Se un’e-mail è particolarmente ben fatta, potresti non essere in grado di dire immediatamente se proviene da una fonte attendibile. Una buona regola empirica è che se il mittente ti chiede un nome utente o una password, informazioni personali tue o di un tuo collega o altri dati proprietari, non rispondere e segnala immediatamente la cosa all’IT o al tuo team di cyber security. Una semplice telefonata al presunto mittente a volte e’ una buona precauzione. È facile chiedere “hey, mi hai appena mandato una e-mail chiedendo una password?”

Trucco # 2 – Iniezione di codice dannoso tramite allegati e link
Simile alla e-mail di phishing è il Trojan – un pezzo di codice dannoso nascosto in un allegato o in un link ricevuto tramite un’email. Mentre il messaggio stesso non è pericoloso, i collegamenti e gli allegati lo sono. Sembra strano non aprire un documento o un allegato proveniente da un collega, ma quei clic potrebbero aprire luna back door a un hacker.
A livello organizzativo, un’azienda può investire in prodotti per la sicurezza informatica che offrono una valutazione in tempo reale del malware di link e allegati. Se il sistema rileva qualcosa di sospetto, mette in quarantena un allegato o impedisce la connessione a un collegamento pericoloso.
Presta particolare attenzione a messaggi che ricevi sulla mail aziendale e che non sono correlate al lavoro, ad esempio da indirizzi e-mail di amici o familiari che normalmente non inviano email a tale indirizzo. È sempre una buona idea avere indirizzi email separati per lavoro e casa, e anche più indirizzi e-mail per diversi tipi di corrispondenza. Ad esempio, potresti voler mantenere un indirizzo email che utilizzi solo per la scuola dei tuoi figli, o per un club o gruppo a cui appartieni. Se ricevi un’e-mail al lavoro che sembra provenire dal tuo club di sci, saprai che è sospetto perché il tuo club non conosce la tua email di lavoro.

Trucco # 3 – Ottenere accesso alla rete tramite device personali
Non tutti i software sono sicuri, e le app stanno diventando un modo semplice per ottenere l’accesso illecito a dispositivi e computer. Molte organizzazioni hanno policy interne chiamate BYOD (Bring Your Own Device) studiate per gestire l’utilizzo di device personali sul luogo di lavoro. Questi dispositivi sono infatti vulnerabili ad attacchi che potrebbero poi diffondersi ai sistemi aziendali.
Per le organizzazioni che forniscono e controllano i computer portatili dei dipendenti, è relativamente facile impedire l’installazione di applicazioni non autorizzate. Questo può essere fatto rendendo l’individuo un “utente” della sua macchina e non un amministratore. Solo l’amministratore (normalmente il reparto IT) può installare le applicazioni.
I device devono essere controllati attraverso le policy interne e la formazione, dal momento che un team IT non può bloccare i dispositivi personali di migliaia di utenti. Tuttavia, possono richiedere l’uso di un’applicazione VPN (Virtual Private Network) per garantire una connessione sicura alle reti aziendali.

Le organizzazioni possono anche fornire servizi di protezione antivirus e antimalware per i dispositivi dei dipendenti, come quelli offerti da fornitori come Symantec e McAfee. Questi strumenti eseguono una scansione continua per garantire che un dispositivo non sia compromesso.

 

* How to secure your customers’ digital trust (Accenture-2016)
** Data Theft Rising Sharply, Insider Threats Cited as Leading Cause (Ponemon Institute-2016)
*** White House officials tricked by email prankster (CNN-2017)


Iscriviti alla nostra newsletter

Condividi il post