La prima minaccia alla sicurezza informatica aziendale? L’errore umano, ovviamente! Questa notizia non è certo una novità, ma i dati che emergono dall’analisi delle minacce cyber negli ultimi anni rimangono preoccupanti. Da uno studio portato avanti da IBM delle minacce informatiche in 130 paesi in tutto il mondo, il 95% delle violazioni è stato reso possibile dall’errore umano. Per dirlo in parole povere: 19 attacchi su 20 si sarebbero potuti evitare con la giusta formazione del personale e il supporto di esperti in materia di cyber security.
Numeri che fanno pensare, soprattutto in un momento storico in cui la maggioranza delle persone lavora in smartworking. Il lavoro da remoto porta per forza di cose ad un numero considerevolmente più alto di scambi di informazioni attraverso la rete, spesso non adeguatamente protetta, e all’utilizzo sempre maggiore di chat di messaggistica online e e-mail per lo scambio di dati aziendali, anche sensibili. Non è un caso che le principali minacce informatiche degli ultimi mesi/anni abbiano sfruttato tecniche di phishing e malware. Tutti ricordiamo l’epidemia di Wannacry del 2017 costata 4 miliardi ad aziende in tutto il mondo e la truffa via e-mail di CEO Fraud che ha sottratto, solo in UK, 14,8 milioni di sterline nel 2018.
Il fattore comune di queste violazioni è sempre lo stesso: il fattore umano. Errore che può manifestarsi in una moltitudine di modi, che sia la mancata installazione di un aggiornamento, una password debole o l’invio di informazioni sensibili alle e-mail di phishing. I cyber criminali sanno perfettamente che l’efficacia delle misure tecniche di sicurezza si ferma dove gli utenti smettono di utilizzarle in maniera corretta. È proprio questo il fattore che li spinge ad attacchi sempre più sofisticati e difficili da individuare per l’utente medio.
Quali sono i rischi del lavoro da remoto e come si possono mitigare? Dando per scontato che tutti i software e i sistemi operativi vengano periodicamente aggiornati dagli utenti (cosa non sempre vera, ma fingiamo per un secondo di sì), da soli i sistemi anti-malware, i filtri antispam, i software per la creazione di password sicure etc.etc. non possono bastare. Chiaramente possono dare un grande aiuto nella lotta alle minacce informatiche, ma senza una adeguata formazione del personale in cyber security, e soprattutto, senza esperti che monitorino 24/7 tutti i sistemi informativi aziendali, diventa davvero difficile intervenire tempestivamente in caso di brecce o violazioni per mitigarne le conseguenze.
Alle soluzioni tecniche vanno sempre affiancati team di esperti in grado di agire immediatamente non appena individuata una minaccia. Sebbene la security awareness degli utenti sia fondamentale (anche solo una base per non usare come password il nome dell’azienda o non scaricare allegati di e-mail da mittenti sconosciuti), dall’altra parte non è neppure pensabile che il dipendente medio, per quanto formato, possa essere in grado di riconoscere determinati scam in completa autonomia, visto che non è quello il suo lavoro.
Come disse Bruce Schneier, security evangelist di fama mondiale, “If you ask amateurs to act as front-line security personnel, you shouldn’t be surprised when you get amateur security”.
https://thehackernews.com/2021/02/why-human-error-is-1-cyber-security.html