#SiamoSicuri vol.2 – rubrica
Intervista a Giuseppe Dezzani
esperto in digital forensics e consulente delle forze dell’ordine
Volete conoscere gli hacker più pericolosi e dannosi della storia? Non c’è da fare molta strada, lavorano più o meno alle vostre spalle… Gli hacker più letali e dannosi siamo prima di tutto noi.
Il 90% circa delle vulnerabilità aziendali deriva da errori più o meno consapevoli dei dipendenti nell’uso di strumenti digitali… Non a caso il tema del “fattore H” (human) è diventato di strettissima attualità nei salotti buoni della security internazionale.
Non parliamo poi di quello che sta capitando in questi giorni, con le festività in arrivo e i soliti “attacchi” collegati “consegne natalizie”. Soliti ma, come al solito molto efficaci con migliaia di persone che proprio in queste ore stanno aprendo il link, malevolo, di fantomatiche email in cui si comunica che il regalo di natale è in ritardo o altro… capita da sempre e continua, incredibilmente, a capitare…
Un contro è dirlo però e un conto è capire cosa fare. Come ci si difende infatti da se stessi e cosa non sta funzionando nella comunicazione sui rischi del digitale? La risposta, per nulla banale, in una straordinaria guida pratica che Giuseppe Dezzani, esperto di Digital Forensics in Italia e consulente forense delle Procure della Repubblica di quasi tutta Italia ha accettato di sviluppare in occasione della seconda, attesa puntata, della nostra super rubrica #SiamoSicuri (qui la prima puntata dedicata alle multe legate al GDPR e, ancora una volta, alla scarsa formazione delle imprese)
Giuseppe… il fattore H, il fattore umano continua ad essere, dati alla mano, il più pericoloso Hacker per le imprese e i loro dati, ma perché? Che cosa non sta funzionando con la sicurezza e la percezion del rischio in azienda?
«Il problema deve essere analizzato sotto due punti di vista. Il primo è relativo alle “cattive abitudini” che possono mettere in difficoltà in modo inconsapevole la sicurezza aziendale. Il secondo invece è legato a veri e propri problemi di infedeltà aziendale, in cui gli utenti, sfruttando le funzioni a cui sono abilitati, trafugano informazioni per poi riutilizzarle contro l’azienda stessa, come per i casi di concorrenza sleale. Entrambi gli scenari sono molto più diffusi di quanto non si possa immaginare.
Il primo è legato a quelle piccole cattive abitudini quali le password non sufficientemente sicure, ma anche l’errata custodia dei device. So che quando si parla di password tutti pensiamo “ancora questo discorso …” eppure vi assicuro che almeno nel 50% dei processi a cui partecipo emerge che tutti gli impiegati conoscono le password dei colleghi, oppure che vengono sostituite con troppa poca regolarità, oppure ancora si utilizzano sistemi che seppur ottemperanti alle misure minime imposte dalle regole aziendali, di fatto le eludono. Mi riferisco ad esempio a quelle password che vengono incrementate con un numero progressivo o banalmente modificate includendo il nome del mese per cui è valida, o piccoli trucchi di questo tipo…che tuti ormai conoscono. Cose che paiono “intelligenti” per ricordare i codici di accesso, ma che poi si rivelano essere un problema di sicurezza. Su questo punto ritengo che le aziende non sensibilizzino abbastanza gli utenti.
Quando mi occupo di formazione tendo a non affrontare il problema come un problema aziendale, ma a far capire che è un’abitudine che deve essere compresa anche a livello personale. Quando perdiamo o si guasta il telefonino non è forse un trauma per tutti ? Allora significa che contiene una quantità di dati ormai essenziale per vita di ogni giorno. Allora perché non proteggerlo adeguatamente ?
Tutto questo vale nella vita quotidiana e, ancora di più, in quella professionale. Dove mettere a repentaglio la sicurezza dei dati può mettere a rischio il business e l’azienda, con una conseguenza anche sui posti di lavoro. Forse uno scenario un po’ drammatico, ma credete tutt’altro che eccessivo.
Il secondo scenario è un problema enorme, statisticamente diffusissimo. Su questo i responsabili IT devono riflettere. Giusto fare i canonici test per verificare che la sicurezza perimetrale sia garantita. Ma è sempre più necessario adottare misure che permettano di tenere sotto controllo quanto accade all’interno della società. Questo si può ottenere con log applicativi che traccino l’accesso ai dati o con audit a livello di file system. Si tratta di misure estremamente sottovalutate»
Chiarissimo e altrettanto inquietante… ma quali sono i danni più gravi e gli errori più comuni che i dipendenti commettono nella gestione della security?
«L’incapacità di individuare le email truffa, ad esempio. Vero che sono sempre scritte meglio e sempre più accattivanti, ma è altrettanto vero che se le aziende formano il proprio personale, spesso si tratta di chlichè sempre ripetitivi ed individuabili.
Danni incredibili dal punto di vista economico provengono dalle “email in the business” una truffa che va avanti da molto tempo, ma in cui le aziende cadono ancora oggi, con danni economici incredibili. Si tratta di email in cui viene chiesto a vario titolo di modificare l’ IBAN verso cui effettuare pagamenti, con giustificazioni più o meno credibili. E molti addetti amministrativi credono alla veridicità di queste comunicazioni e pagano su conti bancari diversi, che poi si rivelano di truffatori.
Potete capire che in questi casi, se si conosce il chichè della truffa, non appena perviene una richiesta di questo tipo, si procede con una verifica diretta (es. telefonata) e tutto si risolve.
Altro problema sono ancora di ransonware. Le email con cui vengono mandati gli “inneschi” alle email degli addetti delle aziende sono sempre più credibili. L’ultimo in ordine di tempo è stato MAZE (il ransomware nascosto dietro finte comunicazioni dell’Agenzia delle Entrate).
Come vitare di aprire gli allegati e/o i link in queste email fatteb così bene?
Ma questa è una regola che vale sempre !
Si deve andare sul sito dell’agenzia, attivarsi, e verificare se effettivamente esistono comunicazioni. Come nel caso di avvisi di recapito di corrieri. Tra poco è Natale, possiamo aspettarci – come è stato lo scorso anno – ransonware camuffati da false email di corrieri che non riescono a recapitarci un pacco di un acquisto fatto su un e-commerce. Noi siamo apprensivi … e veniamo fregati. Perché non andare sul sito del corriere ed utilizzare il canale ufficiale prima di aprire un link in maniera impulsiva ?!?!»
Che cosa stanno facendo le aziende per reagire e difendersi da se stesse?
«La sensibilità sul fatto che il problema può essere interno è ancora poca, sembra che si abbia un po’ di timore. C’è quasi la sensazione di dover esprimere sfiducia nei confronti dei propri collaboratori. Non è però sfiducia, è necessità di regole ed è anche una questione di vita setssa per l’impresa e per il suo business. Un esempio concreto e semplice in questo senso è mettere un sistema di tracciamento dei dati interno alla rete garantisce tutti».
Come e cosa dovrebbero fare subito?
«Quello che consiglio è di estendere il controllo perimetrale della rete, i soliti penetration test e vulnerability assesment, con un test che coinvolga anche la struttura interna della rete al fine di valutare se si è in grado di tracciare le informazioni»
