Vulnerabilità informatica: quando il maggior pericolo è il fattore umano!

01 giugno 2023 / Di Giorgia Dragoni / 0 Comments

Quando si parla di sicurezza informatica e protezione dei dati informativi, non si può tralasciare il cosiddetto fattore X, l’elemento di incertezza legato al comportamento umano. Spesso le aziende investono su sistemi di protezione sofisticati in grado di proteggere l’organizzazione da attacchi informatici esterni, ma non valutano il rischio legato al comportamento dei propri utenti. L'anello debole della catena potrebbe essere proprio l'uomo, la vulnerabilità informatica di un'azienda è quasi sempre legata all'errore umano. Come gestire, dunque, il fattore umano? La risposta è la formazione.

Vulnerabilità informatica e Social engineering

I casi più emblematici di crimine informatico legato agli errori umani, sono quelli di social engineering: gli hacker non sfruttano più soltanto le falle dei sistemi informatici, ma arrivano a manipolare la psicologia umana per ottenere informazioni sensibili dai dipendenti di un’azienda.

Fenomeni di questo tipo sono all'ordine del giorno: basti pensare alle tante mail di phishing che contengono link malevoli, che rimandano a pagine web clonate simili in tutto e per tutto ai siti originali e che spingono l’utente ad inserire le proprie credenziali o che inducono il destinatario a scaricare sul proprio dispositivo un allegato infetto.

In questo contesto, le persone costituiscono la vulnerabilità principale per la sicurezza informatica in azienda, a causa della mancata consapevolezza sui rischi cyber

Vuoi essere sempre aggiornato sui temi dell’Osservatorio Cybersecurity & Data Protection?

Scopri gli abbonamenti

Quali vulnerabilità per la sicurezza informatica?

A supporto di quanto detto, ecco qualche dato. Nonostante il tema della sicurezza informatica sia sempre più rilevante nelle aziende, continuano ad esserci diversi punti di debolezza nella sua gestione. In particolare, dalla Ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano emergono quattro tipologie di vulnerabilità che aumentano il rischio di esposizione delle aziende agli attacchi cyber:

  1. Sistemi informatici obsoleti o eterogenei
  2. Aggiornamenti e patch non effettuati regolarmente
  3. Esposizione a filiere aziendali strategiche
  4. Noncuranza e scarsa consapevolezza dei dipendenti

Significa che per proteggere le aziende dai criminali informatici occorre non solo investire in tecnologie di sicurezza adeguate, ma anche affrontare il problema della scarsa formazione dei dipendenti.

Come sensibilizzare i dipendenti alla sicurezza informatica

Per mitigare la vulnerabilità legata alle risorse umane, le aziende devono sviluppare programmi di sensibilizzazione mirata per formare i dipendenti sui temi della sicurezza informatica e della protezione dei dati.

Come si definisce, dunque, un piano strategico per la gestione del fattore umano? Innanzitutto è necessario definire un budget dedicato alla formazione, la quale deve essere in linea con la posizione e le esigenze dei dipendenti.

A questo punto occorre il supporto del top management, che deve considerare la sicurezza informatica come un tema strategico. Infatti, un potenziale danno alla sicurezza informatica può danneggiare gravemente l’azienda in termini economici e reputazionali e occorre una vera e propria cultura alla sicurezza per saperla gestire.

Gli obiettivi delle aziende

Quasi la totalità delle aziende italiane delle aziende ha già avviato un piano di formazione dei propri dipendenti sui temi della cyber security. Tali programmi di formazione vengono messi in atto con diversi obiettivi e offrono diverse linee guida e indicazioni per i dipendenti.

Per quanto riguarda gli obiettivi, le aziende perseguono principalmente:

  • la sensibilizzazione dei dipendenti per renderli consapevoli delle minacce cyber, cercando di ridurre l’incidenza degli errori umani e i costi legati a un eventuale danno reputazionale;
  • la conformità con le normative sulla sicurezza e la protezione dei dati, per evitare di subire sanzioni;
  • l’educazione dei dipendenti in merito alle policy e procedure già definite dall’organizzazione ma che non vengono rispettate adeguatamente.

Le linee guida per i dipendenti

Nelle aziende che offrono linee guida per gestire le situazioni di rischio informatico, le indicazioni più diffuse riguardano:

  • identità e accessi;
  • gestione delle password;
  • gestione e utilizzo di dispositivi aziendali;
  • risposta agli incidenti;
  • classificazione delle informazioni.

Tuttavia, proprio il mancato rispetto delle policy da parte dei dipendenti è uno degli elementi che contribuisce maggiormente alla vulnerabilità informatica dell’azienda.

Vulnerabilità informatica legata agli errori umani: i casi più eclatanti

Nell’era in cui il fenomeno del BYOD (Bring Your Own Device) è sempre più diffuso all’interno delle aziende, si sono moltiplicati i casi in cui il furto o lo smarrimento di un dispositivo (dal portatile, al telefono o tablet, alla chiavetta USB) provocano la conseguente esposizione di dati riservati o di informazioni che mettono a rischio la sicurezza dei sistemi aziendali.

Si calcola che circa il 95% dei reati informatici siano causati dal fattore umano. E ce ne sono anche di alcuni eclatanti, come riportato qui di seguito.

Motorizzazione californiana, vittima illustre del fattore umano

Nel marzo 2021 la motorizzazione californiana ha subito un data breach di 38 milioni dati di registrazione dei veicoli dello stato americano. Gli attori malevoli sono riusciti ad entrare nel database aziendale grazie ad una campagna di spear phishing verso un utente di un fornitore esterno della motorizzazione.

Trezor sotto attacco

Il famoso servizio di wallet per bitcoins è stato vittima di un attacco phishing verso i suoi utenti. Gli hacker hanno precedentemente compromesso il database di Mailchimp, l’operatore di mailing list, da cui sono stati estratti i nominativi e indirizzi email corretti per rendere più veritieri i messaggi di phishing verso gli utenti di Trezor.

Il caso WannaCry

Anche il caso “WannaCry”, avvenuto a maggio 2017 e declinatosi in una campagna di attacco massiva che ha infettato i sistemi di centinaia di migliaia di vittime in oltre 150 Paesi, ha avuto all’origine il fattore umano. L’attacco, che ha sfruttato una vulnerabilità di Windows per generare una diffusione di Ransomware, ha infatti utilizzato come strumento di ingresso nel perimetro delle organizzazioni alcune email di phishing.

Come viene gestita la cybersicurezza nelle grandi aziende e nelle PMI?

Scopri il Report

  • Autore

Direttore dell'Osservatorio Digital Identity e Ricercatrice dell'Osservatorio Cyber Security & Data Protection