La digital forensics è uno strumento importante per le imprese che vogliono proteggere le proprie informazioni sensibili. Diventa essenziale nel caso si verifichi una fuga di dati verso l’esterno ad opera di un dipendente infedele, nell’ambito delle indagini per far luce sullo scenario accaduto e trattare nel modo più opportuno l’incidente verificatosi. La digital forensics permette non solo un’acquisizione ad uso legale dei dati, ma anche e soprattutto a dare manforte nella fase di indagine vera e propria.
Caratteristiche del dipendente infedele
Nell’era dello sviluppo tecnologico e visti i recenti avvenimenti di furto di dati sensibili, le aziende hanno rivolto la loro attenzione verso i sistemi che permettono la protezione dei propri dati e di quelli appartenenti ai dipendenti.
Il fenomeno del “dipendente infedele” è piuttosto diffuso, si sente parlare spesso di “fughe di dati” dalle aziende verso il mondo esterno, informazioni strettamente riservate e sensibili contenenti segreti professionali, progetti, bilanci, informazioni commerciali quali preventivi, decisioni di consigli di amministrazione e molto altro.
Il dipendente infedele è quel soggetto che all’interno di una azienda, attraverso svariate tecniche, tra cui il social engeneering e l’utilizzo dei sistemi e delle tecnologie informatiche, riesce a carpire informazioni sensibili circa l’azienda stessa e i colleghi di lavoro.
La figura è solitamente caratterizzata da un forte senso di insoddisfazione verso l’azienda, i titolari o i colleghi.
I dati sottratti illecitamente solitamente vengono utilizzati per i seguenti scopi:
- Vendita delle informazioni ad una azienda concorrente in cambio di un compenso economico oppure di una offerta lavorativa migliore;
- Riutilizzo dei dati sottratti per aprire una società in parallelo spesso violando patti di non concorrenza;
- Estorsione di denaro verso i legittimi proprietari dei dati;
- Modifica o cancellazione di dati;
- Divulgazione senza scopo di lucro al fine di creare un danno economico e di immagine all’azienda.
Tipicamente queste figure, qualora non abbiano privilegi particolari nell’organigramma societario, puntano ad acquisire informazioni in qualsiasi modo possibile, per assurdo rovistando tra le varie scrivanie (dumpster diving), accedendo alle postazioni dei colleghi durante la loro assenza oppure in aree con accesso restrittivo (tailgating), effettuando backup dalla rete di progetti in corso o qualsiasi altra informazione interna che potrebbe tornare utile.
Sono svariate le condotte adottate dai dipendenti infedeli per arrecare danno alle aziende e sono altrettante le tecniche utilizzate dalle aziende per cercare di evitare che succedano questo tipo di eventi.
Misure preventive
Quali sono le misure di sicurezza che le aziende possono utilizzare? Come possono tutelare i propri dati? Come possono, nell’eventualità di una fuga di dati, risalire all’artefice dei fatti? Come presentare successivamente i risultati prodotti dalle investigazioni? Queste sono alcune delle principali domande alle quali si deve saper rispondere se si vuole prevenire e combattere questo fenomeno.
Le misure di sicurezza da adottare per un’azienda possono variare a seconda della quantità e della tipologia dei dati che vengono trattati. Principalmente è buona condotta avere una policy aziendale interna che permetta di poter stabilire ruoli di privilegio e competenze, accessibilità ai dati trattati (sistema di privilegi minimi) e condotte concesse all’interno del posto di lavoro. Ciò permetterebbe di poter avere un quadro completo sulla sicurezza aziendale delle informazioni trattate. Le policy stabiliscono in breve ciò che è concesso o non concesso fare al personale limitandone l’operatività nel caso in cui la policy sia veramente stringente, oppure rischiando di essere poco utile nel caso le regole siano permissive, bisogna quindi trovare un equilibrio tra rigidezza delle regole interne e qualità del lavoro.
Integrità, disponibilità e confidenzialità
I principi da seguire per una buona tutela dei dati sono riassunti nei termini di integrità, disponibilità e confidenzialità. Garantire l’integrità vuol dire assicurare che i dati non abbiano subito nel corso del tempo alterazioni nella struttura e nei contenuti, mentre la disponibilità è quella proprietà che permette alle informazioni di essere fruibili dagli utenti autorizzati alla consultazione. Per confidenzialità invece si intende che i dati siano accessibili direttamente solo agli interessati, e non a terze parti.
Tutelare i propri dati è possibile non solo con le policy, ma utilizzando software più sicuri, avere una struttura di rete interna protetta e monitorata, possibilmente dall’esterno in modo esclusivo. È consigliabile utilizzare la cifratura dei dati e dei supporti di archiviazione e implementare un sistema di disaster recovery basato sulla creazione di backup preferibilmente allocati in posti fisici diversi. Monitorare nei limiti della legalità le attività lavorative dei dipendenti senza violarne la privacy è un’ulteriore modalità per garantire la sicurezza dei dati.
Accertamenti con strumenti di digital forensics
Prima di procedere è buona prassi avere i giusti mandati da parte di un legale che tuteli il proprio operato da eventuali situazioni che potrebbero verificarsi.
Effettuando l’analisi forense sui dispositivi in utilizzo ad un dipendente (computer, smartphone, tablet, navigatori e qualsiasi strumento di memorizzazione) è possibile risalire a moltissime informazioni.
L’analisi viene effettuata ricercando dati sensibili appartenenti all’azienda, ricostruendo, dove possibile, l’eventuale copiatura, manipolazione o distruzione di questi ultimi.
In un caso pratico, ad esempio, è possibile verificare quali dispositivi USB sono stati collegati eventualmente ad una macchina aziendale, si può verificare la presenza di software spia oppure programmi per l’accesso e il controllo remoto.
Lo studio della timeline è una buona pratica in queste situazioni perché permette di poter avere uno storico completo delle operazioni effettuate da una determinata macchina in uso all’utente sospettato. Qualora sia presente un server aziendale è utile controllarne gli accessi, in che tempi e in quali modalità sono avvenuti potrebbe essere illuminante in fase di indagine.
Al termine della fase di analisi e investigazione è importante fornire un resoconto di quanto emerso che abbia una valenza nel caso venga avviato un procedimento civile o penale. L’analisi forense mira proprio a questo, ovvero a garantire l’attendibilità e l’integrità dei dati ottenuti e il rispetto delle best practices della materia.
