Secondo diversi studi, la quasi totalità degli attacchi informatici è riconducibile a un errore umano. Un click su un link infetto, la condivisione di credenziali, il download di allegati sospetti sono solo alcuni esempi. Un report di IBM ha fatto luce sull’origine delle principali minacce. Nel 2022 il 41% delle violazioni è stato causato da operazioni di phishing, attraverso truffe via mail che richiedono, ad esempio la condivisione di dati sensibili, o l’accesso a dati bancari. Il 6% ha avuto origine da mail aziendali compromesse: l’uso di password deboli, duplicate su più account o mal custodite, l’utilizzo di dispositivi personali non protetti per accedere alla posta, il collegamento a wi-fi pubbliche e altre simili situazioni possono essere facili porte d’ingresso per gli hacker.
“A NOI NON PUÒ SUCCEDERE”
Questo è quello che ci raccontiamo spesso, stupendoci quando qualcun altro subisce un attacco. In realtà, errori di questo tipo sono più frequenti (e probabili) di quanto non vogliamo credere. I casi eclatanti di hackeraggi subiti da istituzioni o aziende celebri non si contano. Vi ricordate il ransomware cryptolocker alla Regione Lazio un paio di anni fa? Un disastro partito dal pc di un dipendente in smart working, utilizzato di notte dal figlio. Per diverse ore era stato impossibile prenotare il vaccino anticovid, mentre i dati di migliaia di cittadini erano finiti nelle mani del gruppo Lockbit. Un altro esempio? Le esternazioni non proprio a tema “danza” ritwittate sull’account di Ballando con le Stelle nell’aprile 2021. La Rai dichiarò che si era trattato di un hackeraggio del profilo e fece denuncia contro ignoti, ma ormai il danno reputazionale era fatto.
D’altro canto, non dobbiamo cadere nella falsa convinzione che le piccole realtà non vengano prese di mira dai cyber criminali. Nel 2022, 51% delle aziende colpite erano PMI con meno di 100 dipendenti.
Se nessuno di noi è immune, è evidente che serva una maggiore consapevolezza a ogni livello di qualsiasi organizzazione. E questo si traduce in diverse azioni da mettere in pratica, in termini di prevenzione, aggiornamento e formazione.
Passare al cloud: il primo passo per “educare” i dipendenti
Non è possibile cambiare approccio alla cybersecurity, senza mettere in conto una migrazione in cloud. Se da una parte abbiamo un tema di maggiore sicurezza a livello di infrastrutture, dall’altra sono proprio i Cloud Provider ad imporci logiche più stringenti – come la Multifactor Authentication – per accedere ai dati aziendali.
Usando i Cloud Provider siamo anche implicitamente costretti a seguire un approccio più consapevole, anche perché sia Microsoft che AWS assegnano alle aziende uno score di sicurezza basato sull’accuratezza di applicazione delle policy.
Il presupposto da cui si parte, infatti, è che chiunque abbia accesso ai dati dell’organizzazione possa mettere a rischio i sistemi aziendali, anche solo per errore. E questo richiede l’attivazione di specifiche regole associate a ciascun utente. E’ il cosiddetto approccio “zero trust”, per intervenire a monte su chi, da quali device e a quali condizioni possa compiere determinate azioni nell’ “ambiente digitale” di un’azienda.
“In ELEVA accompagniamo da anni le imprese verso il passaggio dei propri sistemi in cloud. Microsoft 365 e i principali cloud provider, infatti, hanno introdotto un modello di responsabilità condivisa che fa sì che solo una minima parte dei fattori in gioco siano nelle mani degli utenti finali. La responsabilità per la sicurezza dell’infrastruttura in cui risiedono i dati è di Microsoft (o del cloud provider di rifermento), mentre l’azienda e i suoi membri restano responsabili della gestione di dati, device, account e accessi. Serve un’azione – deliberata o meno – da parte del dipendente per esporre i dati aziendali a rischi e, anche qualora questo avvenga, Microsoft 365 integra Defender, uno dei sistemi antivirus più avanzati sul mercato. In questo modo, siamo in grado di proteggere da attacchi che possono arrivare da fonti esterne, ad esempio sulla mail di un dipendente. Ma soprattutto riusciamo ad agire in modo proattivo, intervenendo sul sistema di autorizzazioni e accessi dai vari dispositivi – personali o aziendali – usati da diversi collaboratori, nell’era dello smart working e del lavoro fluido.” commenta Luca Formenti di ELEVA.
Dati al sicuro con prevenzione e formazione
Se da una parte progettare i sistemi aziendali con un approccio zero trust rappresenta un primo passo imprescindibile, altrettanto importante è accrescere la consapevolezza di tutti i membri dell’organizzazione. La formazione continua sui temi della cybersecurity dovrebbe entrare nei programmi di ogni azienda.
“Come diciamo sempre, oltre il 90% degli attacchi cyber può essere ricondotto ad un errore umano. Proprio per questo la scelta difensiva più importante deve riguardare la consapevolezza delle persone. Troppo spesso ci siamo trovati a dover gestire situazioni di attacchi informatici che partivano da un comportamento errato delle persone. Per questa ragione abbiamo deciso di proporre ai nostri clienti la piattaforma di Security Awareness più efficace presente sul mercato. Rappresenta un particolare percorso di training adattivo ed esperienziale che porta gli utenti ad un processo di trasformazione dei comportamenti. Inoltre, vere e proprie simulazioni di attacchi Phishing metteranno alla prova la resistenza della tua azienda agli attacchi informatici, per sviluppare la consapevolezza e le competenze necessarie per raggiungere una difesa davvero efficace” commenta Fabio Zambianchi di C2Compliance.
Come iniziare subito a proteggere i tuoi dati
Se è vero che serve un cambio “culturale” per orientare la propria azienda alla cybersecurity, i passaggi per un’organizzazione più consapevole sono pochi e semplici da attuare.
- Pianifica un assesment interno. Con un partner IT come ELEVA puoi valutare rischi, vulnerabilità e livello di competenza degli utenti che accedono ai dati della tua azienda. Una volta effettuata questa analisi, sarai guidato nelle azioni successive da intraprendere sui tuoi sistemi, nei dispositivi del tuo team e nelle buone pratiche da conoscere per non correre rischi inutili
- Realizza attacchi simulati. Per verificare i livelli di consapevolezza e competenze dei tuoi collaboratori, mettili alla prova con simulazioni di phishing o altre forme di attacchi. Programmi con Cyber Guru Phishing aiutano le aziende attraverso attività di simulazione che seguono dinamiche sempre aggiornate. Questo permette di ripetere i test nel tempo, proponendo le modalità di approccio più usate, introdotte di volta in volta dai gruppi di cybercriminali.
- Formazione mirata. In caso di esiti dei test sui collaboratori potenzialmente dannosi, potrai attivare programmi di formazione personalizzati su singoli utenti. Accrescendo la consapevolezza sulle più comuni tecniche di violazione e sulle situazioni di rischio più frequenti da evitare, sarà più semplice prevenire le conseguenze di un vero attacco.
- Formazione continua. Le tecniche di hackeraggio evolvono in continuazione e diventano sempre più accurate. Ecco perché è fondamentale che la formazione di tutto l’organico di un’azienda non avvenga una tantum, ma in modo continuativo, in parallelo alla diffusione di nuovi malware e pratiche dannose. Le opzioni sono tantissime. Da anni, ELEVA, in collaborazione con Microsoft365, realizza periodicamente webinar gratuiti su come prevenire e ottimizzare la sicurezza in azienda grazie al cloud computing. Cyber Guru offre un programma di e-learning a “rilascio continuo e graduale” e un Canale di video formativi, sullo stile delle serie TV, per illustrare le conseguenze di un attacco Cyber generato da un comportamento umano.
- Implementazioni “zero trust”. Con il tuo partner IT assicurati di trasferire tutti i dati della tua azienda in cloud e di gestire in modo sicuro app, device e identità attraverso strumenti come Microsoft Intune. Adottare politiche di Mobile Device Management (MDM), Mobile Application Management (MAM), autenticazione a più fattori e conditional access permette di arginare alla base i rischi causati da errori umani. Tutte pratiche di cui abbiamo spesso parlato in articoli come questo.