Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

social engineering

Sicurezza delle infrastrutture critiche: è il fattore umano il punto debole

Per la sicurezza delle infrastrutture critiche bisogna agire soprattutto su dipendenti, collaboratori e fornitori. I programmi di security awareness hanno come scopo quello di rendere l’individuo da anello debole a ingranaggio più affidabile nei processi di sicurezza. Tuttavia, le iniziative risultano ancora poco efficaci

29 Mag 2019

Giacomo Assenza

Complex System & Security Lab Università CAMPUS Bio-Medico di Roma

Roberto Setola

direttore Master Homeland Security, Università CAMPUS Bio-Medico di Roma


Quella delle infrastrutture critiche è una realtà sempre più interconnessa, interdipendente e tecnologicamente avanzata. Tale complessità ha da una parte reso i servizi più efficaci e immediati, ma dall’altra ha creato nuove debolezze e vulnerabilità. Tra queste, il “fattore umano” è considerato sia l’elemento di maggiore forza ma anche l’anello debole dei processi di sicurezza e negli ultimi tempi sono state avviate delle campagne di Security Awareness.

Campagne che risultano però ancora limitate sia livello quantitativo che qualitativo, quando invece sarebbero essenziali per trasformare il personale da anello debole a punto di forza della sicurezza delle infrastrutture critiche.

Infrastrutture critiche: quanta complessità dietro la semplicità

La società moderna può beneficiare di servizi e operazioni quotidiane che diventano ogni giorno più dirette, facili e immediate. Tuttavia, tale semplicità nasconde una crescente complessità sistemica basata su interdipendenze infrastrutturali, canali di comunicazione costanti e processi dispersi sia logicamente che geograficamente.

Questa realtà investe le organizzazioni su tutti i livelli, ma è particolarmente applicabile al complesso delle infrastrutture critiche (IC). Le IC formano un agglomerato di entità che operano in settori caratterizzati da elevata interdipendenza e outsourcing (energia, trasporti, comunicazioni etc.), dove il funzionamento di alcuni asset è essenziale per l’operatività di altri, e le cui operazioni risultano disperse sul territorio. Da una parte, tale complessità infrastrutturale rende il sistema più immediato ed efficace, dall’altra aumenta drasticamente la sua vulnerabilità e debolezza nonché le minacce per la sua sicurezza.

Il fattore umano, anello debole del sistema

Tra queste, lo “Human Factor” è largamente considerato l’anello debole del sistema. Infatti, è stimato che la maggior parte degli incidenti (circa l’80%-90%) sia riconducibile ad errori umani o a comportamenti errati del personale.

Il fattore umano non rappresenta soltanto una minaccia intenzionale, come nel caso del lavoratore scontento che si lancia in operazioni di sabotaggio ai danni dell’organizzazione, ma costituisce anche un pericolo involontario, alimentato dalla negligenza, disattenzione e cattive abitudini dello staff.

Il personale con scarsa consapevolezza dei processi di sicurezza rappresenta una problematica non solo nelle situazioni ordinarie, per esempio come conseguenza di comportamenti quali uso di password deboli, navigazione su siti non sicuri, utilizzo di dispositivi hardware mobili o elementi sensibili incustoditi, ma anche in situazioni di emergenza dove lo staff è chiamato mettere in pratica certe azioni e procedure per limitare i danni e ristabilire una situazione di normalità in tempi il più possibile ridotti.

Emblematico è, ad esempio, il blackout del 2003 negli Stati Uniti e in Canada. Come appurato dal rapporto tecnico investigativo, le cause dell’incidente furono una combinazione problemi tecnici ed errori umani. In particolare, vennero identificate debolezze cruciali in termini di aderenza alle procedure di sicurezza, efficienza nelle comunicazioni e adeguatezza del management e del processo decisionale.

Ad oggi si è cercato di far fronte a queste vulnerabilità emergenti attraverso l’impiego di tecnologie avanzate, volte a promuovere la sicurezza sia fisica che cyber, e la maggior parte delle infrastrutture sono dotate di strumenti all’avanguardia (sistemi di rilevamento intrusione e sistemi per assicurare i processi di autenticazione). Tuttavia, a prescindere dal loro livello di autonomia e indipendenza, tutte le tecnologie devono necessariamente interfacciarsi con le persone il che lascia ampio spazio all’incidenza dell’errore umano.

Ingegneria Sociale a fini di sabotaggio e spionaggio delle infrastrutture critiche

Un aspetto interessante è che affrontare il fattore umano impiegando tecnologie di sicurezza è risultato ampiamente inadeguato. Il fenomeno degli attacchi di ingegneria sociale, ossia il tentativo di manipolare la psicologia di un individuo per indurlo a compiere un’azione che normalmente non porrebbe in essere, dimostra che in alcune situazioni solo l’essere umano è la variabile determinante nel processo di sicurezza di un’organizzazione.

Per esempio, un whitepaper pubblicato dalla statunitense Osterman Research riporta come, malgrado un sostanziale aumento degli investimenti in tecnologie anti phishing e spearphishing, gli attacchi di ingegneria sociale finalizzati con successo siano aumentati significativamente. Anche per la cyber security italiana il fenomeno è significativo, diffuso e preoccupante. Stando all’ultimo rapporto Clusit sulla Sicurezza Informatica, il 53 % degli attacchi cyber sono facilitati dalla condotta negligente degli utilizzatori informatici, e operazioni di “social engineering” hanno un ruolo di spicco. Infatti, nel 2018 tali attacchi hanno registrato un aumento del 34%, e si stima che il 50% di utenti Internet riceva ogni giorno almeno una mail di phishing e che, tra questi, il 25% si lasci raggirare mettendo a rischio la sicurezza dei network aziendali e personali ai quali accede.

Da notare che le tecniche di Social Engineering non sono adottate solamente da cyber criminali per scopi di lucro, come ad esempio per sottrarre le credenziali bancarie traendone un vantaggio economico, ma anche da attori ben più sofisticati che portano avanti complesse operazioni di spionaggio e talvolta sabotaggio. Molti dei più sofisticati attacchi cyber conosciuti sono iniziati con operatori ignari di essere stati manipolati. Per esempio, uno dei vettori per sferrare l’attacco Havex, disegnato per condurre una campagna di spionaggio ai danni di numerosi impianti OT, consisteva nel mandare email di spearphishing con un allegato compromesso che, una volta aperto, inoculava il virus nel network della vittima. Stuxnet, l’attacco che colpì una centrale nucleare nel Natanz e che risultò nel danneggiamento dell’equipaggiamento, è un altro caso esemplare di come le soluzioni tecnologiche non siano sufficienti ad arginare la minaccia derivante dal fattore umano. La centrale vittima era dotata di un network chiuso e isolato dall’esterno e che dunque, per essere violato, necessitava l’accesso fisico all’impianto. Per superare tale ostacolo il malware fu caricato su un dispositivo USB che fu collegato “ingenuamente “ da uno degli operatori della centrale al proprio computer aziendale creando un punto di accesso per gli attaccanti.

Questi episodi dimostrano non solo che le misure di sicurezza non sono adeguate a proteggersi dai comportamenti inappropriati dei dipendenti, ma anche che dalla semplice negligenza possono scaturire incidenti con conseguenze profonde e danni non solo economici ma anche fisici.

L’importanza di programmi di security awareness 

Intervenire sullo Human Factor è dunque essenziale per costruire ambienti sicuri e protetti. Tale intervento non si basa sull’introduzione di misure o tecnologie di sicurezza, ma piuttosto prevede l’esposizione del personale a programmi di Security Awareness (SA). Tali programmi hanno come scopo quello di trasformare gli operatori dall’anello debole alla componente più affidabile del sistema di sicurezza. Infatti, l’operatore umano, se adeguatamente formato e motivato, costituisce la risorsa più indicata a gestire incidenti, emergenze e situazioni complesse che sono, per definizione, inaspettate, imprevedibili e uniche. La SA è dunque finalizzata a costruire e disseminare una cultura della sicurezza che guidi il personale non solo nella gestione delle situazioni straordinarie ma anche di quelle ordinarie, nel normale svolgimento delle proprie mansioni quotidiane.

Quello dell’awareness (consapevolezza) è un concetto che affonda le proprie radici nelle teorie comportamentali e fa riferimento all’acquisizione di una determinata informazione, norma, praticha o comportamento. La parola acquisizione indica un concetto chiave che si differenzia dalla mera conoscenza. Per esempio, è dimostrato che, sebbene sia risaputo che guidare con la cintura di sicurezza allacciata è obbligatorio, molta gente ha ignorato per molti anni la regola mettendo a repentaglio la propria sicurezza. La consapevolezza è un concetto molto più elaborato che si lega a fattori intimi e personali dell’individuo. In particolare, i programmi di SA si focalizzano su tre elementi principali:

  • formazione: il processo attraverso il quale il personale impara tutte quelle nozioni, standard, politiche, norme e procedure che sono necessarie per creare un ambiente sicuro e protetto;
  • attitudine: si collega agli aspetti più intimi della persona e si riferisce alla percezione di utilità delle norme di sicurezza. Si ha un’attitudine positiva quando all’interno di un’organizzazione si è instaurata una cultura condivisa che porta tutti gli impiegati a sentirsi parte attiva e proattiva dei processi di sicurezza;
  • comportamento: programmi di SA infatti vogliono cambiare il comportamento dello staff instaurando un circolo virtuoso nel quale gli individui agiscono con diligenza rispettando tutte le pratiche di sicurezza.

Un’indagine sulla Security Awareness

L’importanza dei programmi di Security Awareness si sta diffondendo tra molte organizzazioni europee, e in particolare tra quelle che operano in settori critici. Uno studio promosso da Gas Infrastructure Europe (GIE) e che ha coinvolto numerose infrastrutture critiche in Europa conferisce un’idea sullo stato d’implementazione di tali attività.

Come riportato, l’84% delle organizzazioni intervistate svolgono programmi di Security Awareness. Tra queste, il 36% ha implementato tali iniziative per più di 5 anni, il 17% per un periodo che va tra gli 3 e i 5 anni e il 30% tra gli 1 e i 3. Solo il 16% degli intervistati non hanno attivato programmi SA nelle rispettive organizzazioni (Fig.1).

Figura 1 Implementazione di programmi SA in un campione di infrastrutture critiche europee

Inoltre, la maggior parte di queste iniziative vengono sviluppate all’interno delle organizzazioni. Infatti, l’84% degli intervistati hanno dichiarato di avere membri interni dello staff specificatamente impiegati nel settore della Security Awareness per un range che va da 1 a 10 dipendenti. Al contrario, il rimanente 16% esternalizza tale servizio impiegando compagnie terze.

Per quanto riguarda il focus delle iniziative SA (fig.2), l’interesse principale è riservato alla sicurezza cyber, un argomento incluso in circa l’88% dei programmi, e considerato come il più rilevante e attuale in termini di pericoli e minacce. La sicurezza fisica, presente nel 75% delle iniziative, è il secondo argomento più gettonato, seguito da progetti specifici nel campo della sicurezza di processi e automazioni (OT, SCADA, ICS, PLC etc) con il 53% e il Crisis Management con il 44%.

Figura 2 Campo di applicazione dei programmi SA

Infine, lo studio dimostra come la security awareness sia intesa come uno sforzo a portata generale disegnato per investire in modo trasversale l’organizzazione. Infatti, nel 74% dei casi le iniziative SA sono indirizzate alla totalità del personale, mentre solo il 14% delle organizzazioni riserva questo tipo di programmi ai soli impiegati nel settore della sicurezza o a quelli che espletano processi o operazioni critiche.

Limiti della SA e passi successivi

Sebbene i dati illustrati dimostrino che il tema della Security Awareness sia diventato una realtà concreta e diffusa, e che la maggior parte delle organizzazioni stiano facendo propri i benefici da esso derivanti, vanno evidenziati alcuni fattori che limitano i risultati di tali iniziative. Lo studio evidenzia come solo nel 10% dei casi le organizzazioni collegano il concetto di Security Awareness con quello di Business Security. Questo deriva dal fatto che le attività di sicurezza in generale e di SA in particolare vengono tutt’ora considerate come una mera spesa e non come un elemento di competitività. Al contrario, bisognerebbe evidenziare come un ambiente sicuro, sia a livello cyber che fisico, sia una condizione necessaria per la prosperità di un’azienda e dunque di come implementare attività per aumentare la consapevolezza sia un investimento più che una spesa. Per esempio, un possibile strumento per aumentare la visibilità dei benefici apportati dalle campagne di sensibilizzazione della sicurezza potrebbe essere la condivisione dei risultati, in termini di Return of Security Investment, che tali programmi producono. Tale visibilità potrebbe indurre i senior manager ad allocare risorse sempre maggiori sui programmi di sicurezza preventivi.

Un altro limite degli attuali programmi SA è che, sebbene la maggior parte d organizzazioni abbiano attivato iniziative di questo tipo, il numero di quelle che hanno promosso programmi per misurarne i risultati è incredibilmente basso. Lo stesso studio del GIE evidenzia che solo il 29% delle aziende hanno adottato metodi per misurare il livello di SA del personale, mentre il 31% ritengono tali misurazioni un’attività inutile e secondaria. Valutare i benefici dei programmi di sensibilizzazione è una condizione necessaria per l’efficacia della Security Awareness. Infatti, come riportato dall’Information Security Forum (ISF), solo il 15% dei membri ISF che hanno implementato piani di SA hanno dichiarato di aver raggiuto il livello sperato di sensibilizzazione. In tal senso, operare delle misurazioni e valutazioni permette di evidenziare sia a priori che a posteriori quali sono i punti più critici e quali le iniziative più adeguate per avere un impatto incisivo sul livello di security awareness del personale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4