Gli incidenti informatici causati dal “fattore umano” sono di solito attribuiti a errori occasionali dei dipendenti, ma spesso viene trascurato un elemento più importante: il comportamento deliberatamente dannoso del personale. A conferma, un nuovo studio di Kaspersky ha rilevato che negli ultimi due anni il 77% delle aziende di tutto il mondo ha dovuto affrontare incidenti informatici, di cui un quinto causato da comportamenti intenzionali da parte dei dipendenti.
Quando si esamina il “fattore umano”, che può influire negativamente sulle performance di un’azienda, si possono individuare diversi elementi, che vanno dai normali sbagli dei dipendenti all’errata allocazione del budget da parte dei decision maker. Le azioni dolose del personale sono uno dei fattori più importanti, spesso trascurato. Questo dato è stato rivelato da un recente studio di Kaspersky, secondo il quale, negli ultimi due anni, il 20% delle aziende di tutto il mondo ha subito incidenti informatici a causa di comportamenti illeciti per scopi personali da parte dei dipendenti.
Un recente caso verificatosi presso l’azienda Tesla illustra i pericoli che le minacce interne rappresentano per le imprese. Due ex dipendenti hanno rivelato a un giornale tedesco nomi, indirizzi, numeri di telefono ed e-mail di 75.735 attuali ed ex dipendenti. Le autorità di regolamentazione del Maine sono state informate dell’incidente con una notifica di violazione dei dati il 18 agosto, dopo che la società era venuta a conoscenza della violazione il 10 maggio dall’organo di stampa tedesco Handelsblatt e aveva condotto un’indagine interna.
Minacce interne: cosa c’è da sapere
Cosa sono?
Esistono due tipi principali di minacce interne: intenzionali e non intenzionali. Le minacce non intenzionali, o accidentali, sono rappresentate da errori dei dipendenti, come cadere nel phishing e in altri metodi di social engineering, o inviare informazioni sensibili e riservate alla persona sbagliata, ecc.
Le minacce intenzionali, invece, sono perpetrate da personale malintenzionato che si introduce di proposito nei sistemi del proprio datore di lavoro. Generalmente agiscono per ottenere un guadagno economico dalla vendita di dati sensibili o come vendetta. Gli insider con propositi malevoli hanno l’obiettivo di interrompere o bloccare le regolari operazioni commerciali di un’organizzazione, rivelare i punti deboli dell’IT e ottenere informazioni riservate.
Gli insider con intenzioni malevole sono i più pericolosi tra i dipendenti che possono provocare incidenti informatici. Le conseguenze delle loro azioni sono complicate da diversi fattori:
- Hanno una conoscenza specifica dell’infrastruttura e dei processi di un’organizzazione, compresa la conoscenza degli strumenti di sicurezza informatica utilizzati.
- Sono già all’interno della rete aziendale e non hanno bisogno di introdursi nel perimetro dall’esterno tramite phishing, attacchi al firewall e così via.
- Hanno colleghi e amici all’interno dell’organizzazione, quindi è molto più facile per loro usare il social engineering.
- Hanno come unico obiettivo quello di danneggiare l’azienda.
Quali sono le ragioni delle azioni dolose degli insider?
Uno dei motivi principali che spinge i dipendenti a commettere azioni dannose contro il datore di lavoro è il guadagno economico. Spesso, infatti, rubano informazioni sensibili con l’intenzione di venderle a terzi: ai concorrenti o addirittura di metterle all’asta sul dark web, dove i cyber criminali acquistano dati per attaccare le aziende.
In caso di licenziamento di un dipendente, potrebbero verificarsi comportamenti spiacevoli per vendetta. Questo può avvenire anche attraverso contatti con il personale in servizio, ma lo scenario peggiore si verifica se i dipendenti possono ancora accedere al loro account di lavoro da remoto perché l’organizzazione non ha provveduto a rimuovere l’autorizzazione di accesso ai sistemi nel momento in cui il dipendente ha lasciato l’azienda.
I dipendenti possono anche agire con malizia quando non sono soddisfatti del loro lavoro o per “vendicarsi” di un datore di lavoro che non ha concesso loro un aumento o una promozione, ad esempio.
Un altro tipo interessante di azione malevola si verifica quando uno o più insider collaborano con un attore esterno per compromettere un’organizzazione. Questi incidenti comportano spesso il reclutamento da parte dei criminali informatici di uno o più insider per portare a termine diversi tipi di attacchi. Possono anche verificarsi casi in cui terze parti, come concorrenti o altre parti interessate, collaborano con il personale per ottenere i dati sensibili dell’azienda.
“Gli attori malevoli possono essere scoperti ovunque: nelle grandi aziende o nelle piccole imprese, non si sa mai. Ecco perché le aziende dovrebbero costruire un sistema di sicurezza informatica aggiornato, resiliente e trasparente, unendo soluzioni di protezione efficaci, protocolli di sicurezza smart e programmi di formazione per il personale IT e non IT per salvaguardarsi da questa minaccia. Inoltre, è fondamentale implementare prodotti e soluzioni che proteggano l’infrastruttura dell’organizzazione. Ad esempio, il nostro Kaspersky Endpoint Detection and Response Optimum contiene Advanced Anomaly Control che aiuta a rilevare e prevenire attività sospette e potenzialmente pericolose, sia da parte di un insider che lavora all’interno di un’azienda, sia da parte di un attore esterno all’organizzazione”, ha commentato Alexey Vovk, Head of Information Security di Kaspersky.