Ma quali Hacker… il cyber-pericolo più grande per le imprese siamo noi. Ecco perché il “fattore H” ci deve preoccupare e come stiamo cadendo in trappola

#SiamoSicuri  vol.2 – rubrica
Intervista a Giuseppe Dezzani
esperto in digital forensics e consulente delle forze dell’ordine

Volete conoscere gli hacker più pericolosi e dannosi della storia? Non c’è da fare molta strada, lavorano più o meno alle vostre spalle… Gli hacker più letali e dannosi siamo prima di tutto noi.

Il 90% circa delle vulnerabilità aziendali deriva da errori più o meno consapevoli dei dipendenti nell’uso di strumenti digitali… Non a caso il tema del “fattore H” (human) è diventato di strettissima attualità nei salotti buoni della security internazionale.

Non parliamo poi di quello che sta capitando in questi giorni, con le festività in arrivo e i soliti “attacchi” collegati “consegne natalizie”. Soliti ma, come al solito molto efficaci con migliaia di persone che proprio in queste ore stanno aprendo il link, malevolo, di fantomatiche email in cui si comunica che il regalo di natale è in ritardo o altro… capita da sempre e continua, incredibilmente, a capitare…

Un contro è dirlo però e un conto è capire cosa fare. Come ci si difende infatti da se stessi e cosa non sta funzionando nella comunicazione sui rischi del digitale? La risposta, per nulla banale, in una straordinaria guida pratica che Giuseppe Dezzani, esperto di Digital Forensics in Italia e consulente forense delle Procure della Repubblica di quasi tutta Italia ha accettato di sviluppare in occasione della seconda, attesa puntata, della nostra super rubrica #SiamoSicuri (qui la prima puntata dedicata alle multe legate al GDPR e, ancora una volta, alla scarsa formazione delle imprese)
 

Giuseppe… il fattore H, il fattore umano continua ad essere, dati alla mano, il più pericoloso Hacker per le imprese e i loro dati, ma perché? Che cosa non sta funzionando con la sicurezza e la percezion del rischio in azienda?

«Il problema deve essere analizzato sotto due punti di vista. Il primo è relativo alle “cattive abitudini” che possono mettere in difficoltà in modo inconsapevole la sicurezza aziendale. Il secondo invece è legato a veri e propri problemi di infedeltà aziendale, in cui gli utenti, sfruttando le funzioni a cui sono abilitati, trafugano informazioni per poi riutilizzarle contro l’azienda stessa, come per i casi di concorrenza sleale. Entrambi gli scenari sono molto più diffusi di quanto non si possa immaginare. 

Il primo è legato a quelle piccole cattive abitudini quali le password non sufficientemente sicure, ma anche l’errata custodia dei device. So che quando si parla di password tutti pensiamo “ancora questo discorso …” eppure vi assicuro che almeno nel 50% dei processi a cui partecipo emerge che tutti gli impiegati conoscono le password dei colleghi, oppure che vengono sostituite con troppa poca regolarità, oppure ancora si utilizzano sistemi che seppur ottemperanti alle misure minime imposte dalle regole aziendali, di fatto le eludono. Mi riferisco ad esempio a quelle password che vengono incrementate con un numero progressivo o banalmente modificate includendo  il nome del mese per cui è valida, o piccoli trucchi di questo tipo…che tuti ormai conoscono. Cose che paiono “intelligenti” per ricordare i codici di accesso, ma che poi si rivelano essere un problema di sicurezza. Su questo punto ritengo che le aziende non sensibilizzino abbastanza gli utenti.

Quando mi occupo di formazione tendo a non affrontare il problema come un problema aziendale, ma a far capire che è un’abitudine che deve essere compresa anche a livello personale. Quando perdiamo o si guasta il telefonino non è forse un trauma per tutti ? Allora significa che contiene una quantità di dati ormai essenziale per vita di ogni giorno. Allora perché non proteggerlo adeguatamente ?

Tutto questo vale nella vita quotidiana e, ancora di più, in quella professionale. Dove mettere a repentaglio la sicurezza dei dati può mettere a rischio il business e l’azienda, con una conseguenza anche sui posti di lavoro.  Forse uno scenario un po’ drammatico, ma credete tutt’altro che eccessivo.

Il secondo scenario è un problema enorme, statisticamente diffusissimo. Su questo i responsabili IT devono riflettere. Giusto fare i canonici test per verificare che la sicurezza perimetrale sia garantita. Ma è sempre più necessario adottare misure che permettano di tenere sotto controllo quanto accade all’interno della società. Questo si può ottenere con log applicativi che traccino l’accesso ai dati o con audit a livello di file system. Si tratta di misure estremamente sottovalutate»

Chiarissimo e altrettanto inquietante… ma quali sono i danni più gravi e gli errori più comuni che i dipendenti commettono nella gestione della security?

«L’incapacità di individuare le email truffa, ad esempio. Vero che sono sempre scritte meglio e sempre più accattivanti, ma è altrettanto vero che se le aziende formano il proprio personale, spesso si tratta di chlichè sempre ripetitivi ed individuabili. 

Danni incredibili dal punto di vista economico provengono dalle “email in the business” una truffa che va avanti da molto tempo, ma in cui le aziende cadono ancora oggi, con danni economici incredibili. Si tratta di email in cui viene chiesto a vario titolo di modificare l’ IBAN verso cui effettuare pagamenti, con giustificazioni più o meno credibili. E molti addetti amministrativi credono alla veridicità di queste comunicazioni e pagano su conti bancari diversi, che poi si rivelano di truffatori.

Potete capire che in questi casi, se si conosce il chichè della truffa, non appena perviene una richiesta di questo tipo, si procede con una verifica diretta (es. telefonata) e tutto si risolve.

Altro problema sono ancora di ransonware. Le email con cui vengono mandati gli “inneschi” alle email degli addetti delle aziende sono sempre più credibili. L’ultimo in ordine di tempo è stato MAZE (il ransomware nascosto dietro finte comunicazioni dell’Agenzia delle Entrate).

Come vitare di aprire gli allegati e/o i link in queste email fatteb così bene?

Ma questa è una regola che vale sempre !

Si deve andare sul sito dell’agenzia, attivarsi, e verificare se effettivamente esistono comunicazioni. Come nel caso di avvisi di recapito di corrieri. Tra poco è Natale, possiamo aspettarci – come è stato lo scorso anno – ransonware camuffati da false email di corrieri che non riescono a recapitarci un pacco di un acquisto fatto su un e-commerce. Noi siamo apprensivi  … e veniamo fregati. Perché non andare sul sito del corriere ed utilizzare il canale ufficiale prima di aprire un link in maniera impulsiva ?!?!»

Che cosa stanno facendo le aziende per reagire e difendersi da se stesse?

«La sensibilità sul fatto che il problema può essere interno è ancora poca, sembra che si abbia un po’ di timore. C’è quasi la sensazione di dover esprimere sfiducia nei confronti dei propri collaboratori. Non è però sfiducia, è necessità di regole ed è anche una questione di vita setssa per l’impresa e per il suo business. Un esempio concreto e semplice in questo senso è mettere un sistema di tracciamento dei dati interno alla rete garantisce tutti». 

Come e cosa dovrebbero fare subito?

«Quello che consiglio è di estendere il controllo perimetrale della rete, i soliti penetration test e vulnerability assesment, con un test che coinvolga anche la struttura interna della rete al fine di valutare se si è in grado di tracciare le informazioni»

Lan Service srl

Sede Legale e operativa

Via G. Brodolini, 80 . 15033 Casale M.to (AL)
Tel. +39 0142 330 500 . Fax +39 0142 330 600
P.Iva e C.F. 01562820066
Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00

POLITICA PER LA PROTEZIONE DEI DATI

In coerenza con la Missione e i Valori aziendali ed in linea con la propria politica, Lan Service Group, nelle sue attività pone in evidenza alcuni principi, in materia di protezione dei dati personali, ai quali le sue strategie e i suoi obiettivi devono far riferimento:

  • Impegno alla protezione dei dati personali di ogni individuo (Protezione);
  • Garanzia del rispetto della sfera personale e della vita privata di ogni persona (Riservatezza);
  • Rispetto dell’identità e della personalità, della dignità di ogni persona (Individualità e Dignità);
  • Rispetto delle libertà fondamentali garantite dalla Costituzione (Tutela). Questi principi, conformandosi alla normativa vigente, sono declinati in modo che i dati personali siano:
  • raccolti e trattati solo per finalità determinate, esplicite e legittime;
  • utilizzati limitatamente e in maniera proporzionale alle finalità per le quali sono trattati;
  • raccolti e trattati solo se attinenti al raggiungimento delle finalità esplicitate;
  • trattati con modalità e strumenti proporzionali alle finalità da raggiungere;
  • sempre verificati, una volta raccolti e trattati, per garantirne la loro correttezza e affidabilità;
  • una volta raccolti e trattati siano periodicamente aggiornati;
  • conservati per un periodo di tempo limitato al raggiungimento delle finalità dichiarate;
  • sempre raccolti e trattati ponendo in essere adeguate misure tecniche ed organizzative di al fine di salvaguardare la loro integrità e riservatezza;
  • trattati per finalità diverse da quelle dichiarate quando si sono raccolti oppure violando quanto previsto dalla disciplina in materia di protezione dei dati personali.

 

OBIETTIVI

Miglioramento continuo della Tutela dei dati personali mediante:

  • l’adozione di un adeguato sistema documentale integrato (procedure, istruzioni operative, modelli documentali standard);
  • l’identificazione di delegati dotati di adeguati requisiti e poteri per garantire il corretto funzionamento del sistema di gestione privacy;
  • la definizione di un modello organizzativo adeguato al presidio del trattamento dei dati personali inerenti ad ogni processo di trattamento;
  • l’adozione di pareri di conformità normativa nella definizione, integrazione, modifica e/o revisione di processi aziendali che prevedano un trattamento di dati personali;
  • l’adozione di misure di sicurezza idonee a prevenire e ridurre al minimo i rischi inerenti il trattamento di dati personali;
  • l’adozione delle migliori tecniche disponibili ed economicamente sostenibili per limitare i danni in caso di incidenti o eventi negativi in materia di trattamento di dati personali;
  • l’adozione di opportuni criteri e modalità di ripristino dei dati in caso di danneggiamento e perdita accidentale. Coinvolgimento degli stakeholder e protezione dei dati personali con azioni mirate a:
  • sensibilizzare dipendenti, fornitori, allievi e famiglie su obiettivi e impegni assunti in materia di protezione dei dati personali;
  • motivare e coinvolgere il personale dipendente affinché vengano raggiunti gli obiettivi prefissati e sviluppato, ad ogni livello, il senso di responsabilità verso la tutela dei dati personali e la sicurezza delle informazioni;
  • formare informare ad un lecito e corretto trattamento dei dati personali e sicurezza delle informazioni;
  • promuovere il dialogo e il confronto con tutti i portatori d’interesse (P.A., Autorità , clienti, fornitori, Associazioni, lavoratori, ecc.), tenendo conto delle loro istanze, in materia di trattamento di dati personali, in coerenza con gli strumenti di partecipazione e comunicazione adottati da Lan Service Group .

 

Aggiornata al 18.12.2019

Gestione Cookies

Questo documento spiega “cosa sono i cookie” e come vengono usati si siti web di LANSERVICE S.r.l., ACKTEL S.r.l. e E-EVOLUTION S.r.l. (contitolari del trattamento).

Cosa sono i cookie?

Un “cookie” è un file di testo che il sito invia al computer o altro dispositivo connesso a internet per identificare in modo univoco il browser dell´utente o per salvare informazioni o configurazioni nel browser.

Usate cookie su questo sito?

Sì, vengono usati cookie per migliorare il sito e fornire servizi e funzionalità ai suoi utilizzatori.

è possibile limitare o disabilitare l´uso dei cookie tramite il browser web; tuttavia, senza alcuni cookie o tutte le funzionalità del sito potrebbero essere inutilizzabili.

 

Che tipo di cookie sono presenti su questo sito?

Cookie strettamente necessari

Questi cookie sono essenziali per portare a termine attività richieste dall´utente. Per esempio, per memorizzare informazioni fornite dall´utente mentre naviga nel sito o per gestire lo stato di “login” durante la visita.

Cookie funzionali

Questi cookie permettono al sito di memorizzare scelte effettuate dall´utente, successivamente riutilizzabili. Per esempio permettono al sito di memorizzare le impostazioni di ricerca, l´autenticazione e altre funzioni personalizzate.

Cookie di Google Analytics

Questi cookie permettono di raccogliere dati relativi all´uso del sito, come i contenuti visitati e le funzionalità utilizzate, con l´obbiettivo di migliorare le performance e il layout del sito. Questi cookie possono essere inviati dal fornitore dello strumento di Analytics, ma sono utilizzati solo per scopi legati al sito.

Cookie pubblicitari e di terze parti

Questi cookie memorizzano informazioni legate all´uso del sito per fornire informazioni personalizzate a scopo promozionale, sia all´interno che all´esterno del sito. Tali cookie sono disabilitabili dall´apposito banner o dalla sezione apposti del proprio browser .