Attacchi informatici famosi come quello ai sistemi della regione Lazio portano spesso alla ribalta il problema del social engineering, ma in prima battuta provocano dichiarazioni pubbliche da parte dell’azienda volte sempre a minimizzare i danni, soprattutto per non minare una reputazione già messa a repentaglio dalla natura stessa della notizia.
Quasi sempre il tono delle dichiarazioni recita “abbiamo subito un attacco informatico,ma nessun dato è stato rubato e nessun riscatto è stato pagato”, salvo poi addossare poco tempo dopo la colpa sul povero collaboratore dell’amministrazione o magari sul tecnico informatico interno. La persona viene quasi sempre accusata di non aver avuto sufficiente cura dei sistemi informatici o di essere caduto in trappole di phishing.
Cos’è il social engineering?
Il social engineering è l’insieme delle tecniche utilizzate dagli hacker più esperti che hanno l’obiettivo di spingere la persona a compiere azioni ad alto rischio informatico, facendo leva sul fattore umano e su emozioni come paura, avidità o curiosità.
Le tecniche di social engineering sono le più disparate, ad esempio:
- Phishing, dove l’hacker inganna l’utente con una mail invitandolo ad aprire un file dannoso o a visitare una pagina web in cui lasciare informazioni personali;
- Pretexting, che consiste nell’impersonare qualcuno per convincere la persona a rivelare informazioni personali;
- Baiting, l’offerta di una ricompensa a fronte del download di un file infetto.
Quanto pesa il social engineering in un attacco informatico?
Il caso dell’attacco informatico alla Regione Lazio ci insegna che il fattore umano è determinante, ma addossare la colpa a una sola persona può essere controproducente e fuorviante.
Se un hacker prende di mira un’azienda, difficilmente saranno resi noti i dettagli dell’attacco, se sono stati rubati dati o se è stato richiesto e pagato un riscatto, ma siamo quasi certi che sia la conseguenza di una serie di comportamenti superficiali.
Il rischio cyber crime purtroppo risiede in molteplici situazioni: in un click affrettato su un contenuto sconosciuto, in una email proveniente da una fonte apparentemente attendibile o nell’uso personale di device aziendali.
Sono episodi e situazioni a cui tutti noi siamo esposti, talvolta anche più volte al giorno.
L’importanza della cultura della sicurezza informatica
La sicurezza informatica in azienda passa senza dubbio attraverso vari livelli di protezione, che vanno dal monitoraggio preciso e non invasivo del Vulnerability Assessment, all’utilizzo di strumenti hardware e software aggiornati con costanza per applicare le patch di sicurezza rilasciate periodicamente dagli sviluppatori.
Purtroppo si sente parlare ancora troppo poco di un tema molto importante in relazione al social engineering: la formazione.
Per formazione non intendo l’insegnamento all’uso di un device informatico nella quotidianità, quanto piuttosto a trasmettere la consapevolezza dei rischi insiti nell’uso di questi dispositivi, delle conseguenze di comportamenti poco virtuosi e delle pratiche migliori per contenere i rischi stessi.
L’aspetto formativo del personale in azienda diventa quindi fondamentale: instaurare nuove abitudini, aiutare a cogliere i campanelli di allarme e come agire di conseguenza possono sembrare banalità, ma sono quelle su cui gli hacker fanno spesso leva durante i loro attacchi.
Come e quando fare cultura in ambito di sicurezza informatica
In qualsiasi realtà imprenditoriale, dalla micro alla grande impresa, al giorno d’oggi il digitale permea quasi tutte le attività e la carenza di competenze in questo ambito è fra le maggiori sfide per la cybersecurity, secondo l’ultima Davos Agenda del WEF.
Un programma di formazione efficace in azienda deve avere come obiettivo quello di mostrare lo stretto legame tra l’elemento umano e il rischio informatico, e dovrebbe essere calibrato nei contenuti considerando età e posizione lavorativa del collaboratori.
Cultura della sicurezza informatica e prevenzione tecnologica
Non dimentichiamoci però che la formazione del personale sul social engineering e i rischi informatici da sola non è sufficiente.
Gli hacker attaccano i sistemi informatici perchè sanno di trovare sempre informazioni rivendibili, indipendentemente dalla dimensione dell’azienda, e hanno competenze che superano di gran lunga la semplice consapevolezza dei rischi dei singoli utenti.
Per riuscire ad arrivare al cuore delle aziende, i criminali informatici cercano la presenza di vulnerabilità di sicurezza e le sfruttano per riuscire ad entrare nel sistema informatico.
Sono aspetti che in genere non hanno riscontro in competenze concrete all’interno delle aziende, anche quelle di grandi dimensioni, ed è per questo motivo che non possiamo pensare di difenderci da soli.
Sul questo argomento e in particolare sul social engineering riporto qualche interessante spunto di riflessione di Carola Ferdiani, Cybersecurity Awareness Manager:
