Vulnerabilità informatica, esempi e linee guida per le aziende

Aggiornato il / Creato il / Di Giorgia Dragoni / 0 Commenti

Quando si parla di vulnerabilità informatica in Cybersecurity si parla, soprattutto, di un altro fattore, il cosiddetto fattore X. Questo fattore è l’elemento di incertezza legato al comportamento umano. A oggi, le aziende, investono molto su sistemi di protezione sofisticati in grado di proteggere l’organizzazione da attacchi informatici esterni. Ciò che però sottovalutano è la vulnerabilità informatica causata dal comportamento dei propri dipendenti.

Come gestire, dunque, le vulnerabilità informatiche legate al fattore umano? La risposta a questa domanda è: la formazione. Scopriamo, all'interno di questo articolo realizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, cos’è la vulnerabilità informatica, il legame con il social engineering e come sensibilizzare i propri dipendenti affinché si limiti il fattore umano come rischio alla Cybersicurezza.

Cosa si intende con vulnerabilità nel contesto della sicurezza informatica

Il concetto di vulnerabilità informatica in sé può avere diversi significati. Può essere una debolezza o un difetto riguardante il sistema informatico (come un bug), potenzialmente sfruttabile da un hacker per causare danni o per ottenere accesso non autorizzato a informazioni o risorse. In questo caso la vulnerabilità è causata da problema di programmazione, come configurazioni errate o mancanza di aggiornamenti di sicurezza o altre lacune nella progettazione del sistema.

Tuttavia, la vulnerabilità informatica può anche essere dovuta al fattore umano, ossia dagli errori compiuti dalle persone. I cybercriminali infatti sfruttano la debolezza, la curiosità, l’ingenuità e l’ignoranza delle persone per sferrare attacchi, noti come social engineering (in italiano “ingegneria sociale”).

Vulnerabilità informatica e Social engineering

I casi più emblematici di Cyber Crime legato agli errori umani e che espongono le aziende alle vulnerabilità informatiche sono quelli di social engineering. Mediante questa tecnica di attacco informatico gli hacker non sfruttano più soltanto le falle dei sistemi informatici, ma arrivano a manipolare la psicologia umana per ottenere informazioni sensibili dai dipendenti di un’azienda.

Rischi causati da questa tipologia di vulnerabilità sono all'ordine del giorno. Un esempio sono le tante mail di phishing che contengono link malevoli, che rimandano a pagine web clonate simili in tutto e per tutto ai siti originali. All'interno di tali pagine l'utente viene spinto a inserire le proprie credenziali o a scaricare sul proprio dispositivo un allegato infetto.

In questo contesto, le persone costituiscono la vulnerabilità principale per la sicurezza informatica in azienda, a causa della mancata consapevolezza sui rischi cyber.

Le tipologie di vulnerabilità informatica

A supporto di quanto detto finora sulle vulnerabilità informatiche, ecco qualche dato. Nonostante il tema della sicurezza informatica sia sempre più rilevante nelle aziende, continuano a esserci diversi punti di debolezza nella sua gestione. In particolare, dalla Ricerca dell’Osservatorio Cybersecurity & Data Protection emergono quattro tipologie di vulnerabilità informatica che aumentano il rischio di esposizione delle aziende agli attacchi cyber:

  1. sistemi informatici obsoleti o eterogenei;
  2. aggiornamenti e patch non effettuati regolarmente;
  3. esposizione a filiere aziendali strategiche;
  4. noncuranza e scarsa consapevolezza dei dipendenti.

Significa che per proteggere le aziende dai criminali informatici occorre non solo investire in tecnologie di sicurezza adeguate, ma anche affrontare il problema della scarsa formazione dei dipendenti.

Come sensibilizzare i dipendenti per ridurre la vulnerabilità informatica

Per mitigare la vulnerabilità informatica legata alle risorse umane, le aziende devono sviluppare programmi di sensibilizzazione mirata per formare i dipendenti sui temi della Cyber Security e della protezione dei dati.

Come si definisce, dunque, un piano strategico per la gestione del fattore umano per ridurre la vulnerabilità informatica? Innanzitutto, è necessario definire un budget dedicato alla formazione, la quale deve essere in linea con la posizione e le esigenze dei dipendenti.

A questo punto, per limitare i rischi legati alla vulnerabilità informatica, occorre il supporto del top management, che deve considerare la sicurezza informatica come un tema strategico. Infatti, un potenziale danno alla sicurezza informatica può danneggiare gravemente l’azienda in termini economici e reputazionali e occorre una vera e propria cultura alla sicurezza per saperla gestire.

Gli obiettivi delle aziende per limitare la vulnerabilità informatica

Per contrastare la vulnerabilità informatica, quasi la totalità delle aziende italiane delle aziende ha già avviato un piano di formazione dei propri dipendenti sui temi della Cyber Security. Tali programmi di formazione vengono messi in atto con diversi obiettivi e offrono linee guida e indicazioni per i dipendenti.

Per quanto riguarda gli obiettivi, le aziende perseguono principalmente:

  • la sensibilizzazione dei dipendenti, per renderli consapevoli delle minacce cyber, cercando di ridurre l’incidenza degli errori umani e i costi legati a un eventuale danno reputazionale;
  • la conformità con le normative sulla sicurezza e la protezione dei dati, per evitare di subire sanzioni;
  • l’educazione dei dipendenti in merito alle policy e procedure già definite dall’organizzazione, ma che non vengono rispettate adeguatamente.

Le linee guida per i dipendenti per contrastare la vulnerabilità informatica

Nelle aziende che offrono linee guida per gestire le situazioni di rischio informatico, le indicazioni più diffuse riguardano:

  • identità e accessi;
  • gestione delle password;
  • gestione e utilizzo di dispositivi aziendali;
  • risposta agli incidenti;
  • classificazione delle informazioni.

Tuttavia, proprio il mancato rispetto delle policy da parte dei dipendenti è uno degli elementi che contribuisce maggiormente alla vulnerabilità informatica dell’azienda.

Vulnerabilità informatica legata agli errori umani, alcuni esempi

Nell’era in cui il fenomeno del BYOD (Bring Your Own Device) è sempre più diffuso all’interno delle aziende, si sono moltiplicati i casi in cui il furto o lo smarrimento di un dispositivo (dal portatile, al telefono o tablet, alla chiavetta USB), provocano la conseguente esposizione di dati riservati o di informazioni che mettono a rischio la sicurezza dei sistemi aziendali.

Si calcola che circa il 95% dei reati informatici siano causati dal fattore umano. Tra questi ve ne sono anche di eclatanti, come riportato qui di seguito.

Motorizzazione californiana, vittima illustre del fattore umano

Nel marzo 2021 la motorizzazione californiana ha subito un data breach di 38 milioni dati di registrazione dei veicoli dello stato americano. Gli attori malevoli sono riusciti a entrare nel database aziendale grazie a una campagna di spear phishing verso un utente di un fornitore esterno della motorizzazione.

Trezor sotto attacco

Il famoso servizio di wallet per bitcoins è stato vittima di un attacco phishing verso i suoi utenti. Gli hacker hanno precedentemente compromesso il database di Mailchimp, l’operatore di mailing list, da cui sono stati estratti i nominativi e indirizzi e-mail corretti per rendere più veritieri i messaggi di phishing verso gli utenti di Trezor.

Il caso WannaCry

Anche il caso “WannaCry”, avvenuto a maggio 2017 e declinatosi in una campagna di attacco massiva che ha infettato i sistemi di centinaia di migliaia di vittime in oltre 150 Paesi, ha avuto all’origine il fattore umano. L’attacco, che ha sfruttato una vulnerabilità di Windows per generare una diffusione di Ransomware, ha infatti utilizzato come strumento di ingresso nel perimetro delle organizzazioni alcune e-mail di phishing.

Vuoi comprendere come viene gestita la cybersicurezza?

Scopri il Programma

  • Autore

Direttore dell'Osservatorio Digital Identity e Ricercatrice dell'Osservatorio Cyber Security & Data Protection