Parlando di cybercrime e furto di dati tutti pensiamo ad un solitario genio malvagio incappucciato o a vaste organizzazioni criminali internazionali. La realtà però non è proprio così: secondo le rilevazioni di Darktrace, azienda leader nell’AI per la Cyber Security, nel 65% dei casi le minacce informatiche partono (almeno in una prima fase) da persone interne all’organizzazione. Emerge che con un uso improprio di accessi legittimi chiunque può danneggiare il proprio datore di lavoro, sia in modo consapevole che non.

Un insider threat è un rischio di sicurezza che arriva direttamente dall’interno dell’organizzazione o azienda sotto attacco. Spesso si tratta di un impiegato o responsabile dell’organizzazione o dell’azienda. A volte il rapporto lavorativo si è già concluso e la violazione viene effettuata da ex impiegati o chiunque aveva, ad un certo punto, accesso ad informazioni confidenziali e private. Possono essere coinvolti anche associati, liberi professionisti o altri individui di terze parti che conoscono le security practice dell’azienda, oppure hanno accesso a reti protette o data base o altre informazioni confidenziali. Una minaccia interna non può essere evitata con le tradizionali misure di sicurezza informatica che si focalizzano sulla prevenzione di accessi non autorizzati dall’esterno.

A rendere la questione insidiosa è il fatto che possono passare periodi di tempo anche lunghi prima che la violazione venga scoperta, a volte anni. La difficoltà di identificare tempestivamente una minaccia di cyber security interna viene sottostimata nella maggior parte delle aziende. Il danno può essere immediato oppure graduale e minare a lungo termine la competitività dell’azienda. Spesso vengono copiate e vendute informazioni private, si condividono inavvertitamente file sensibili con dati personali, viene fatto insider trading. Ci sono molte sfaccettature di rischio per tutte le sfere dell’azienda: dall’operatività alla responsabilità degli amministratori alla reputazione dell’azienda.  

L’ESPOSIZIONE ALLA MINACCIA INTERNA

Mentre i programmi corporate di sensibilizzazione degli impiegati riducono il rischio di data breach casuali, non proteggono contro il dipendente che intende consapevolmente causare un danno all’azienda, ad esempio un amministratore del sistema corrotto. Questa figura implica il pericolo per la sicurezza più grande per l’azienda perché il suo accesso privilegiato e la profonda conoscenza dei sistemi e del network gli permettono di intraprendere attacchi informatici anche molto estesi oppure di estrapolare o manipolare dati sensibili coprendo le proprie tracce e quindi senza destare alcun sospetto. Essendo lui il supervisore ma non soggetto di controlli altrui, può operare in tutta tranquillità. Le ragioni di un comportamento criminale possono essere diverse: a volte i dati sensibili vengono utilizzati a fini di vendetta o di lucro, in altri casi l’hacker interno opera in sintonia con terze parti. A volte ex dipendenti alla loro uscita inseriscono “logic bombs”, software malevoli che, a seconda del tipo e del contesto e delle azioni intraprese, possono creare danni da lievi a gravi ai sistemi e tutta l’infrastruttura.

IL VALORE DELLA FORMAZIONE DEL PERSONALE

In un’azienda la giornata tipo è fatta di migliaia di processi, gesti, azioni quotidiane. Non è possibile monitorarli tutti e i comportamenti dannosi degli interni sono difficili da individuare. Per contrastare le azioni dannose occorre disporre di strategie corporate di prevenzione. Esistono ottimi programmi di formazione e consapevolezza che promuovono atteggiamenti e pratiche precise per la salvaguardia della Cyber Security. I dipendenti e tutti gli utenti sono incoraggiati e formati ad osservare precisi comportamenti salva rischio e di riferire casi sospetti.
In ogni caso non è facile creare la consapevolezza di dover agire proattivamente nei dipendenti. Spesso i segnali di allarme sono visibili ma i colleghi in un gruppo non osano riportarli per non danneggiare la persona che a loro sembra fidata.  Questa esitazione può portare a periodi lunghi in cui l’azione criminosa si protrae.
Indubbiamente le policy aziendali sul tema insider threat e cyber security possono migliorare sensibilmente la sicurezza, contemporaneamente non si può avere la certezza che tutte le persone osservino sempre le nostre direttive. Basta una chiavetta USB infetta inserita una sola volta per far crollare tutte le difese del sistema. E’  impossibile avere la certezza al 100% sul comportamento corretto dei dipendenti.

SOLUZIONI TECNOLOGICHE PER L’INSIDER THREAT

L’intelligenza artificiale e il machine learning stanno diventando un grande alleato in questa lotta contro le minacce interne. Con l’aiuto dell’AI e Machine Learning possiamo collegare tra loro più tracce sottili di un’attività nel lungo e breve periodo. Il ML può confrontare enormi moli di dati e scoprire inesattezze e cambiamenti di comportamento. Gli scostamenti anche lievi in paragone con il comportamento normale di ogni utente, dispositivo o rete viene immediatamente scoperto e flaggato. Inserito in un contesto strategico a più livelli con l’inclusione di un livello di “umano competente” la soluzione diventa estremamente efficace.

Se vuoi approfondire le possibilità di proteggere la tua azienda in ambito Cyber Security contro le minacce interne, puoi contattarci per parlare con un nostro esperto. Ti aspettiamo.