Vecchie tattiche e rischi moderni

Sicurezza

Recentemente McAfee ha messo in evidenza come le cattive abitudini dei
dipendenti possano creare gravi danni alla sicurezza aziendale

La maggior parte delle aziende vede le minacce alla sicurezza da una prospettiva esterno-interno, cercando di proteggere il proprio ambiente informatico dagli attacchi provenienti da Internet. In effetti è proprio dalla rete che provengono la maggior parte degli attacchi, ma è altrettanto vero che esistono delle minacce emergenti, che non sono introdotte da fonti sconosciute esterne, ma dai dipendenti stessi. Più volte abbiamo ribadito da queste pagine come l’anello debole di ogni struttura di sicurezza aziendale sia rappresentato proprio dall’elemento umano. I pericoli che sono dall’interno rappresentano una delle maggiori sfide per la sicurezza informatica che le aziende devono affrontare e una delle più difficili dalle quali proteggersi e a tale proposito, il noto produttore di soluzioni di sicurezza McAfee, ha commissionato lo studio ?La minaccia dall’interno? , realizzato da Icm Research, nel quale è analizzato il comportamento dei dipendenti in tutta Europa. Da questo studio è emerso che le aziende non stanno adottando le precauzioni necessarie per proteggersi contro i rischi posti dai loro dipendenti, e che sono proprio la scarsa conoscenza nell’utilizzo in modo corretto e sicuro delle risorse It a esporre le aziende a rischi elevati. Basti pensare che in tutta Europa, un lavoratore su cinque permette a familiari e amici di utilizzare laptop/computer per accedere a Internet esponendo pc e reti aziendali a un rischio elevato di diffusione di malware, virus, worm e trojan.

Proprietà privata

Pochi sanno che i laptop della loro azienda potrebbero non disporre degli ultimi aggiornamenti di sicurezza e sono sufficienti solo pochi secondi perché un dipendente colleghi un laptop o un Pda non protetto alla rete dell’ufficio ed esponga pericolosamente l’intero ambiente a un’infezione. Spesso infatti i portatili aziendali sono configurati in modo che il loro programma antivirus sia aggiornato automaticamente una volta collegati alla rete dell’ufficio. Normalmente infatti i laptop aziendali sono forniti per attività dimostrative, per la redazione di ordini, documenti e presentazioni quando si opera fuori ufficio. Operare su questi dispositivi appartenenti all’azienda per utilizzarli a fini privati è particolarmente dannoso, in quanto lavorando all’esterno di un ambiente controllato, il portatile potrebbe essere oggetto di un’attacco e trasformarsi in un vero e proprio Cavallo di Troia al rientro in azienda. Attenzione che anche altri dispositivi, come per esempio le chiavette di memoria Usb, i lettori Mp3 e i palmari sono soggetti agli stessi rischi e possono causare danni analoghi una volta utilizzati con i sistemi aziendali. I lavoratori, infatti, scavalcano le procedure di sicurezza della loro azienda e collegando i loro dispositivi personali, quali iPod, chiavette Usb e macchine fotografiche digitali, possono esporre l’azienda anche a problematiche legali oltre che di sicurezza. Se pensiamo che in media ogni incidente di sicurezza costa circa 45 mila euro ed è sufficiente un unico incidente per causare una devastazione diffusa, risulta allarmante che, nonostante ciò, il 66% delle società non disponga attualmente di piani per implementare contromisure adeguate! Ma le minacce provengono anche dall’esterno e si sono modificate nell’ultimo periodo. I vecchi virus sono soppiantati da worm, bachi e Trojan Horse che si diffondono velocemente tramite i messqaggi e-mail, e soprattutto nella rete diventando praticamente invisibili. Secondo McAfee Avert Labs (una delle principali organizzazioni di ricerca anti-virus e vulnerabilità), esistono oggi oltre 160 mila diverse tipologie di minacce su Internet, e altre migliaia che non sono ancora state identificate. Inoltre, oltre ai virus stanno mutando anche le professionalità, gli obiettivi e le tecniche di quelli che ormai potrebbero tranquillamente essere definiti i ‘delinquenti del Web’. Prima i creatori di virus erano spinti dal desiderio di mettersi alla prova e fare notizia. Oggi i malintenzionati sono spinti dal puro e semplice guadagno economico. Ecco il perchè di affermarsi di tecniche volte a impossessarsi prima dei dati identificativi degli utenti, e poi dei loro soldi. Purtroppo su questo fronte è da registrare l’affermarsi di un altro comportamento a rischio da parte dei dipendenti, i quali spesso e volentieri utilizzano la connessione Internet aziendale per consultare online i servizi della propria banca ed effettuare transazioni. Un’altra abitudine radicata negli uffici è quella di consultare il proprio account di posta personale tramite Internet. Purtroppo questa abitudine può vanificare le contromisure di sicurezza implementate in azienda. Spesso infatti le aziende adottano filtri e servizi Antispam e Antivirus che agiscono sul traffico postale in entrata e in uscita dall’azienda, controllando solo i messaggi appartenenti a determinati domini e/o che transitano per determinati canali. L’utilizzo della propria posta Internet attraverso la connessione Internet scavalca tutti i controlli aziendali e può aprire pericolose falle nella struttura di sicurezza.

Conclusioni

La tattica di usare infiltrati tra le linee nemiche per creare varchi sfruttabili nei successivi attacchi è storicamente affermata. Nelle aziende moderne purtroppo gli infiltrati, quasi spesso ignari di esserlo, sono gli stessi dipendenti. A mettere ancora una volta in guardia verso questo rischio è stato uno studio commissionato da McAfee, dal quale emerge che troppo spesso le aziende sono troppo concentrate a fronteggiare le minacce esterne per porre la debita attenzione a quelle interne, le quali non solo sono altrettanto pericolose, ma sono anche in grado di provocare danni maggiori. Ancora una volta quindi è da ribadire l’importanza di una corretta formazione del personale aziendale, magari supportata da un costante servizio interno di newsletter e/o messaggistica in modo da allertare tempestivamente sul profilarsi di particolari rischi e/o minacce che puntino dirette verso i dipendenti.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore