Formare i dipendenti perché riconoscano gli attacchi di Phishing è la strada giusta per difendere i dati aziendali
La tutela del business aziendale è oggi strettamente legata al tema della Cyber Security: dati e informazioni sono il cuore dell’azienda ed è fondamentale garantirne integrità, riservatezza e disponibilità .
Il rapporto sulla sicurezza ICT italiana del 2020, diffuso dal CLUSIT, mostra dati allarmanti: nel 2019 in Italia sono stati messi a segno 1.670 attacchi informatici, con un aumento del +7,6% rispetto al 2018 e del +92,2% sul 2014.
Da una rilevazione dell’Osservatorio Information Security & Privacy, che ha coinvolto 166 imprese, emerge inoltre che le finalità degli attacchi cui sono sottoposte le aziende sono principalmente truffe ed estorsioni. La maggior parte degli attacchi sono effettuati per ottenere denaro o per sottrarre informazioni allo scopo di monetizzare le informazioni stesse.
Nei prossimi 3 anni si prevedono nuovi rischi: le aziende dovranno fronteggiare una crescita delle intrusioni a scopo di spionaggio, ma anche di influenza e manipolazione dell’opinione pubblica e di acquisizione del controllo dei sistemi per gli impianti di produzione.
Per correre ai ripari e aumentare la sicurezza informatica aziendale, le organizzazioni devono attuare un nuovo approccio difensivo che prenda in considerazione processi, persone e tecnologie.
I DIPENDENTI, IL BERSAGLIO PREFERITO DAGLI HACKER
Gli hacker hanno modificato le loro strategie d’attacco e i dipendenti sono diventati uno dei principali bersagli per penetrare nei sistemi informativi aziendali e avere accesso ai dati sensibili delle organizzazioni. Firewall perimetrali, Antivirus, Antispam, Antimalware e altri dispositivi di protezione non possono più essere gli unici strumenti di difesa aziendali, ma devono divenire parte di un più ampio progetto di Cyber Security.
Ogni anno i criminali informatici perfezionano il loro utilizzo del social engineering, basandosi sull’interazione umana per svolgere attività fraudolente. E, come detto, anziché attaccare sistemi e infrastrutture informatiche, si concentrano sulle persone, sui dati aziendali a cui hanno accesso e sulle probabilità che seguano l’invito a cliccare su collegamenti a siti web dannosi, attraverso cui recepire dati sensibili, credenziali di accesso agli account e alle applicazioni aziendali.
Indipendentemente dallo strumento di attacco (email, applicazioni cloud, social media, web etc.) e dal fatto che si tratti o meno di campagne di attacco massive, gli aggressori riscontrano negli esseri umani l’anello debole che permette loro di penetrare nelle aziende.
Un attacco informatico mirato a rilevare informazioni personali, quali password o dati delle carte di credito o dei conti correnti bancari, prende il nome di Phishing.
GLI ATTACCHI DI PHISHING, LA PRINCIPALE MINACCIA PER TUTTI I DIPENDENTI
Il Phishing è una frode che ha come scopo quello di carpire, mediante il ricorso a tecniche di social engineering, informazioni riservate e sensibili quali, ad esempio, username e password dei dipendenti.
La principale tecnica utilizzata dagli hacker per portare a termine un attacco di Phishing consiste nell’inviare delle email malevoli, camuffate in modo tale che il destinatario le percepisca come comunicazioni affidabili di altre aziende, di istituti bancari o anche di altri colleghi.
Il messaggio fraudolento contiene spesso un allegato o un link a un sito internet in cui il malcapitato, se poco attento, inserirà le proprie credenziali o altre informazioni utili all’hacker per sferrare il suo attacco.
E, purtroppo, oggi i criminali informatici sono sempre più impegnati nell’ingannare le figure aziendali abilitate ai trasferimenti di denaro.
Uno dei casi di Phishing più conosciuti degli ultimi anni è quello accaduto alla Società Sportiva Lazio, squadra di calcio che milita nel campionato di Serie A e vittima di un attacco in cui i truffatori sono riusciti a estorcerle 2 milioni di euro.
Il tutto è avvenuto in occasione del pagamento per l’acquisto dal Feyenoord del giocatore olandese De Vrij. Le due società si erano messe d’accordo per il pagamento in quattro rate del cartellino del giocatore, ognuna da 2 milioni di euro.
Ed è in occasione dell’ultimo pagamento che la società Lazio è stata vittima di un attacco di Phishing: un’email, quasi in tutto e per tutto uguale a quelle che la società Lazio aveva già ricevuto dal Feyenoord, invitava l’addetto a eseguire l’ultimo transfer su un nuovo conto corrente apparentemente intestato alla società olandese.
A trasferimento ormai avvenuto, la Società Sportiva Lazio ha realizzato che il conto sul quale era stato richiesto di eseguire il bonifico non apparteneva alla squadra del Feyenoord. A quel punto, i 2 milioni di euro erano già stati trasferiti su conti correnti ormai irraggiungibili.
L'IMPORTANZA DI FORMARE I DIPENDENTI SUI RISCHI DERIVATI DAGLI ATTACCHI INFORMATICI
È quindi evidente che investire nella formazione dei dipendenti per renderli consapevoli dei rischi degli attacchi informatici è la principale arma di difesa che le aziende devono mettere in campo.
Il periodo storico impone a ogni organizzazione di prendere atto del fatto che la sicurezza informatica non può più essere gestita con l’acquisto di un insieme di tecnologie di protezione, ma deve diventare un processo critico per l’azienda.
Inoltre, la sicurezza informatica non può più essere appannaggio del solo ufficio IT: ogni reparto deve essere parte del processo e chiamato a formazione costante.
6 STEP DA SEGUIRE PER DIFFONDERE UNA CULTURA AZIENDALE IN AMBITO CYBER SECURITY
Step #1 - Pianifica i tuoi obiettivi
Quali sono i dati aziendali più importanti? Confrontati con i responsabili di tutti i reparti e rendili parte attiva nell’individuazione dei punti critici delle attività che i dipendenti svolgono quotidianamente e dei dati più sensibili a cui hanno accesso.
Step #2 - Svolgi attività di attacchi di Phishing simulati
Pianificare attacchi di Phishing simulati verso i dipendenti è il modo migliore per testare il livello di vulnerabilità della tua azienda. La simulazione funziona come un attacco vero e proprio, con la sola differenza che non produce danni all’infrastruttura informatica e non sottrae dati. Consiste nell’inviare, senza avvertimento, uno o più messaggi di Phishing ai dipendenti e vedere quanti di questi cadono vittima della trappola.
Sul mercato esistono software specifici che ti aiutano a impostare una campagna di Phishing simulata. Offrono un catalogo di modelli di email di Phishing pronti all’uso con inclusi allegati dannosi, collegamenti malevoli, richieste di dati personali e molto altro. Inoltre, ti permettono di settare i parametri chiave che desideri misurare e forniscono una reportistica dettagliata delle simulazioni.
Analizzando i report degli attacchi simulati sarà possibile programmare attività di formazione ad hoc per rendere i dipendenti in grado di riconoscere un attacco e segnalarlo al responsabile della sicurezza informatica.
Step #3 - Proponi corsi di formazione e test di valutazione
Lo ripetiamo ancora: la formazione dei dipendenti è tutto! Sviluppare corsi di formazione e aggiornamento regolari per fornire ai dipendenti nuovi metodi per evitare di rimanere vittime degli attacchi informatici renderà la tua azienda più sicura.
Il nostro consiglio è quello di pianificare anche attività di formazione mirate sulla base dei risultati delle campagne di Phishing simulate, per permettere ai dipendenti di migliorarsi sulla base degli errori commessi nei test.
I migliori software per la creazione di attacchi di Phishing simulati integrano moduli formativi che, attraverso un mix di attività pratiche, giochi e scenari ipotetici, consentono agli utenti di fare pratica nel riconoscere ed evitare un’ampia gamma di attacchi Phishing e altre truffe di social engineering. Puoi inoltre impostare test di valutazione da inoltrare ai dipendenti per verificare il loro apprendimento.
Step #4 - Pianifica attività continuative a lungo termine
Purtroppo sì, i criminali informatici sono sempre al lavoro per escogitare nuovi attacchi. Se vuoi rendere la tua azienda sicura devi pianificare attività di formazione a lungo termine, per tenere i dipendenti sempre in allerta, mantenerli allenati agli attacchi e renderli consapevoli delle nuove minacce che potrebbero trovarsi ad affrontare.
Step #5 - Creare un piano che coinvolga tutti i ruoli e repart aziendali
Come abbiamo visto in precedenza, non esiste reparto e/o carica aziendale immune agli attacchi informatici e molto spesso gli utenti interni con privilegi di accesso maggiori sono il bersaglio preferito degli hacker. Anche manager e dirigenti sono sotto il mirino e pertanto vanno coinvolti e resi parte del processo di trasformazione culturale dell’azienda in ambito Cyber Security.
Step #6 - Preparati adeguatamente in caso di errori umani
Nonostante i migliori sforzi, sarebbe ingenuo pensare di riuscire a rendere l’azienda immune da qualsiasi attacco informatico.
Tecnologie di Strong Authentication, come il Multi-Factor Authentication, sono quindi un valido supporto per limitare l’impatto di un attacco di Phishing volto a estorcere credenziali di accesso.
Allo stesso tempo è necessario prevedere un piano di Incident Response per un recupero in velocità della Business Continuity aziendale in caso di attacco.
Autore dell'articolo:
Errevi System
LinkedIn
