La rilevanza del fattore umano nella sicurezza informatica
Le recenti notizie relative ad attività di phishing su utenze NoiPA ed alla effettiva rilevazione di limitati e circoscritti casi (15 su un totale di oltre due milioni di amministrati) di modifiche dell’IBAN non confermati dal dipendente beneficiario hanno indubbiamente generato un grande allarme sociale richiamando l’attenzione, ancora una volta, alle problematiche di sicurezza che nell’ambito informatico sono continue, specie con riferimento alla pubblica amministrazione.
Al momento Sogei, la società in house del MEF che ha in conduzione il sistema NoiPA, sta analizzando e monitorando i dati al fine di garantire un puntuale presidio. Da quanto emerso, la stessa Sogei ha assicurato che non sono riscontrabili violazioni del sito NoiPA.
In effetti sul fronte della sicurezza informatica si tende sempre a realizzare sofisticati controlli tecnici anche con l’aiuto dell’IA, ma gli stessi possono rivelarsi inutili se non vengono gestite al meglio le risorse umane. Diventa, quindi, necessario ridurre la naturale vulnerabilità della propria forza lavoro trasformando il personale in una forte risorsa di sicurezza.
Diventa, quindi, fondamentale sviluppare un’attività di formazione servendosi di professionisti dotati di buone capacità comunicative che abbiano familiarità con i concetti di apprendimento e conoscenza di una varietà di strumenti e tecniche.
Non bisogna, difatti, dimenticare che:
- La consapevolezza fornisce le basi. Esempi comuni di argomenti di sensibilizzazione includono le password, buone pratiche, processi di autenticazione, phishing/spear phishing, come rispondere al ransomware e privacy. In un approccio globale al cambiamento comportamentale, la consapevolezza è quindi la base piuttosto che l'obiettivo finale.
- La formazione fornisce competenze di sicurezza specifiche. La formazione in materia di sicurezza insegna alle persone come intraprendere un compito specifico. I corsi possono includere la codifica sicura per gli sviluppatori di software, la valutazione del rischio informatico e la formazione per i dipendenti del call center su come gestire i dati sensibili.
- L'istruzione è di natura strategica. Mentre la formazione riguarda abilità e pratica, l'educazione riguarda la promozione di una specifica mentalità.
Tutti i programmi di sicurezza iniziano con obiettivi ben definiti ed al fine di chiarire gli obiettivi è necessario:
- identificare eventuali requisiti esterni. Ad esempio, l’ISO/IEC 27001 richiede che tutto il personale (e, dove pertinenti, appaltatori e utenti terzi) ricevano un'adeguata formazione di sensibilizzazione e aggiornamenti periodici come rilevante per la loro funzione lavorativa. Requisiti simili esistono anche per altre certificazioni.
- Accertare le lacune e le vulnerabilità di controllo. Bisogna utilizzare i risultati degli audit e controllare l'analisi delle lacune per identificare carenze di fattori umani nel proprio ambiente di sicurezza.
- Identificare e quantificare i rischi. Bisogna dare priorità ai rischi per la sicurezza umana che minacciano le iniziative strategiche aziendali.
- Classificare e indirizzare opportunamente i ruoli interni che hanno esigenze di sicurezza diverse. Bisogna creare dei logici raggruppamenti di ruoli ciascuno dei quali richiede diversi livelli e tipi di educazione alla sicurezza, formazione e consapevolezza.
Si ricorda che nell’ottica del regolamento europeo n. 2016/679 (GDPR) questo concetto di sicurezza informatica ha assunto un significato più attuale ed adeguato alla specifica realtà organizzativa alla luce anche dei sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno.
In particolare negli ultimi tempi si è assistito ad una rapida evoluzione della minaccia che possiamo definire “cibernetica” che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.
I pericoli legati a questo genere di minaccia sono particolarmente gravi per due ordini di motivi:
- Il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati.
- Il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.
La combinazione di questi due fattori fa sì che, a prescindere dalle ormai superate misure minime di sicurezza previste dal previgente codice in materia di protezione dei dati personali, (antivirus, firewall, difesa perimetrale, ecc.) bisogna fare particolare attenzione alle attività degli stessi utenti che devono rimanere sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.
Naturalmente le misure preventive, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.