Author: Wired
La sicurezza informatica è una questione tecnica, certo, ma ad apportare un certo livello di rischio sono anche gli esseri umani, i loro errori e le loro debolezze. In un periodo in cui il rischio cyber è presente in molti aspetti della nostra vita, sia personale che professionale, come tenere conto del fattore umano?
Secondo un’indagine di Proofpoint, azienda di sicurezza IT, oltre il novanta per cento dei responsabili della cybersicurezza in azienda (comunemente conosciuti come CISO, Chief Information Security Officer) ritiene che gli errori dei dipendenti siano il fattore di rischio maggiore. Secondo uno studio di IBM, con la mitigazione dei rischi legati ai comportamenti umani, il numero di incidenti informatici potrebbe essere ridotto fino a venti volte.
I comportamenti digitali dei dipendenti
Il primo fattore di vulnerabilità digitale nelle organizzazioni riguarda i comportamenti dei dipendenti: il modo in cui lavorano, in cui proteggono i loro dati, i link e gli allegati su cui cliccano. Proofpoint ha condotto un test, nel corso del 2021, che ha evidenziato che il venti per cento dei lavoratori tende a cliccare su allegati malevoli inviati per email. Il dato varia a seconda dei dipartimenti aziendali. “Gli aggressori informatici lo sanno bene”, scrivono i ricercatori, “Scelgono obiettivi con lavori impegnativi o che lavorano in reparti dove la pressione è più alta. Sanno che queste vittime potrebbero non avere il tempo di esaminare a fondo un messaggio prima di cliccare su un link o scaricare un allegato”.
Vi è un fattore ulteriore, quello del lavoro da remoto. Lavorando da casa, le persone hanno iniziato a utilizzare maggiormente i loro dispositivi personali per ragioni professionali, e addirittura a far usare i loro device aziendali a membri della famiglia o amici. Va da sé che una persona non consapevole dei rischi cyber che maneggia un dispositivo contenente dati sensibili costituisce un fattore di vulnerabilità. I device personali sono in generale più esposti a minacce cyber: possono essere protetti da password meno forti, possono essere connessi a reti non sicure. I dipendenti da remoto, infine, sono più proni alla distrazione, alla fretta di concludere un compito e quindi meno attenti alle pratiche di sicurezza.
I computer smarriti
I lavoratori in smart working portano il computer di lavoro sui mezzi, nei bar, nei coworking. Anche coloro che sono tornati in ufficio dopo la fine della pandemia potrebbero non essere più abituati a trasportare con loro un dispositivo di valore. I computer persi o rubati costituiscono un rischio cyber per le aziende che alcuni quantificano come addirittura superiore a quello degli attacchi ransomware. Secondo quanto riportato dal Daily Telegraph, nel Regno Unito le aziende sono state multate fino a ventisei milioni di sterline a causa dei dispositivi smarriti dai dipendenti. “I dati sensibili in essi contenuti possono avere un valore reale per gli attori delle minacce”, ha commentato Sabrina Curti, manager della compagnia di sicurezza ESET Italia, “Per cui è fondamentale che il personale se ne prenda cura e si assicuri che questi dispositivi siano dotati di un sistema di crittografia completa del disco attiva nelle fasi di spostamento da una sede all’altra. Inoltre, le multe previste dall’autorità di regolamentazione sono applicabili anche in assenza di attacchi da parte di cybercriminali”.
I grandi eventi
Le minacce di cybersicurezza tendono ad aumentare in corrispondenza di grandi eventi come le Olimpiadi o i Mondiali di calcio. Gli hacker sfruttano l’aumento del traffico online, la distrazione e l’entusiasmo delle persone per colpire con attacchi di phishing e altre forme di cybercrime. Gli eventi di grande portata sono inoltre obiettivi interessanti per via della loro visibilità e della quantità di denaro e di dati sensibili coinvolti. Durante i Mondiali in Qatar, ad esempio, si sono moltiplicate le truffe online ai danni dei tifosi e dei viaggiatori: false pagine web che vendono biglietti, finte app ufficiali dei giochi, richieste di denaro che arrivano per email.
Lo stress
Il rischio umano riguarda anche gli stessi esperti di cyber sicurezza. I team di security, nel 2022, sono stati sottoposti a un notevole stress lavoro-correlato. Alcuni osservatori ritengono che il burnout, l’eccessivo carico di lavoro e la mancanza di flessibilità dei lavoratori costituiscano una delle minacce più ingenti alla sicurezza delle organizzazioni. “È fondamentale che i CISO diano l’esempio e impostino i loro team su un lavoro operativo sostenibile”, ha commentato a ZDNet, Josh Yavor, responsabile della sicurezza informatica di Tessian, compagnia specializzata in email security, “Assicurarsi che ci sia fiducia nei limiti stabiliti – quando si è fuori servizio, si è fuori servizio – e che l’intero team si senta supportato”.