le linee guida

Violazioni di dati, se la minaccia viene dall’interno: come limitare i danni

La minaccia umana è un elemento centrale nell’attuale panorama delle minacce cibernetiche, eppure ci si concentra poco su questo aspetto, considerato come un pericolo minore. Come incorporare questi vettori di minacce nei piani di gestione del rischio organizzativo? Ecco le linee guida di mitigazione delle insider threats

25 Ott 2021
Antonio Guzzo

Funzionario Informatico INAPP, in comando presso Agenzia delle Entrate Regione Basilicata

Achille Pierre Paliotta

Ricercatore INAPP

cyber sicurezza

Tutte le organizzazioni, in generale, sono vulnerabili alle minacce interne (insider threats) da parte dei dipendenti che possono utilizzare il proprio accesso autorizzato a strutture, persone o informazioni per danneggiare la propria organizzazione, intenzionalmente o meno. Il danno può variare da comportamenti connotati da negligenza, come la mancata protezione dei dati o il clic su un collegamento di spear-phishing, ad attività consapevolmente dannose come il sabotaggio, il furto della proprietà intellettuale, la frode sul posto di lavoro, ecc..

La minaccia umana è divenuta, pertanto, un elemento significativo nell’attuale panorama delle minacce cibernetiche e, da un punto di vista organizzativo e gestionale, un problema collegato è divenuto quello su come incorporare questi vettori di minacce nei piani di gestione del rischio organizzativo al fine di mitigare le minacce interne. Questo aspetto è l’obiettivo precipuo di una recente pubblicazione dello statunitense National Counterintelligence and Security Center (NCSC), relativa alle linee guida di mitigazione delle insider threats, di cui si darà sostanzialmente conto nel resto dell’articolo.

Cybersecurity PA, il “fattore umano” è il problema: lo scenario

Le linee guida di mitigazione delle insider threats

Oggigiorno, le minacce interne sono in crescita ma esse rappresentano un aspetto sostanzialmente negletto nell’ambito della vasta panoplia delle più complessive minacce cibernetiche. Esse hanno spesso un’evidenza pubblica minore, difatti, delle minacce informatiche ad accesso remoto e di quelle relative alla vulnerabilità del software. Le minacce ad accesso remoto, ad esempio le campagne di phishing, tendono ad essere più presenti nella grande stampa d’opinione e nei social networks. In questi contesti, le discussioni sulla protezione delle organizzazioni e delle infrastrutture critiche sono spesso sinonimo di sicurezza informatica e di vulnerabilità dei vari software. Ci si concentra, principalmente, sul campo di battaglia digitale (cyberspace) il quale si è enormemente esteso, anche a seguito dell’attuale crisi pandemica. All’inverso, ci si concentra relativamente poco sul fattore umano relativo alle insider threats ma questo aspetto è più insidioso di quanto si possa comunemente immaginare in quanto è sicuramente più difficile da individuare e, dunque, da mitigare. Infatti, più spesso di quel che si crede, un essere umano con a disposizione delle credenziali di accesso è proprio colui che può compromettere, in maniera consapevole o meno, l’integrità dei dati e delle risorse informative aziendali. Ciò è ancor più vero nella situazione pandemica attuale, in cui bisogna tener, nel debito conto, gli aspetti psicologici a cui è stata sottoposta la forza lavoro remotizzata.

WHITEPAPER
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Risorse Umane/Organizzazione
Smart working

«The pandemic has brought incredible new stresses. These stresses are recognized by Foreign Intelligence Entities as opportunities. With more individuals working remotely or from home, the pandemic has fostered greater reliance on less-secure information and communications technologies that may be exploited by adversaries, and more interdependencies between elements of these technologies» (NCSC 2021:8).

Le tecniche di ingegneria sociale

Perfino se le protezioni cibernetiche del perimetro aziendale sono molto efficaci, un avversario malevolo può escogitare un sistema in cui si possono sfruttare le molteplici vulnerabilità umane, generalmente mediante l’utilizzo di tecniche generali che vanno sotto il nome di ingegneria sociale (social engineering). Quest’ultimo aspetto potrebbe essere inteso come una specie di tecnica atta ad hackerare la mente umana. Gli autori di attacchi di ingegneria sociale impersonano individui o enti conosciuti o di cui ci si fida, come banche, colleghi o società di supporto tecnico, e poi sfruttano questa fiducia per ottenere ciò che vogliono, spesso semplicemente chiedendolo. Gli autori di attacchi informatici possono sferrare un attacco di ingegneria sociale usando vari metodi, per esempio tramite e-mail o messaggistica istantanea, ma anche per via telefonica o di persona. Usano vari trucchi per attirare l’attenzione dei loro obiettivi, per esempio, offrendo download gratuiti, annunciando che si è vinto un concorso o sostenendo che il computer dell’utente è infetto. L’obiettivo è quello di indurre a condividere informazioni riservate oppure effettuare azioni specifiche (come aprire l’allegato contenente un virus di una e-mail).

In definitiva, il fattore umano rappresenta, difatti, la maniera più incisiva nel cercare di penetrare un’organizzazione target. Come detto, l’attuale crisi sanitaria ha, infine, ancor più sollecitato tali tecniche per le peculiari condizioni lavorative in cui si sono improvvisamente trovati i dipendenti, letteralmente dall’oggi al domani, ad operare da casa. In questo modo sono divenuti più isolati rispetto al resto dell’organizzazione aziendale, hanno fatto uso di un crescente utilizzo di tecnologie con un livello di sicurezza cibernetico assai meno efficace di quelle utilizzate, di solito, sui posti di lavoro.

Secondo il 2021 Data Breach Investigations Report (DBIR) di Verizon, le minacce interne hanno causato il 28% delle violazioni mentre il 76% degli insider è stato motivato dall’allettante guadagno finanziario nell’esfiltrare i dati aziendali a cui avevano accesso. In questo senso, Edward Snowden può essere considerato un esempio paradigmatico di minaccia interna.

Alcuni esempi recenti di insider threats

Alcuni esempi recenti di insider threats sono le seguenti, con l’indicazione del settore economico in cui tali minacce si sono verificate, riprese dal sito NCSC, a seguito della pubblicazione delle linee guida:

  • Trasporti/Produzione: nel marzo 2021, un cittadino russo si è dichiarato colpevole di aver offerto a un dipendente di una società di produzione di auto elettriche degli Stati Uniti 1 milione di dollari per introdurre malware nelle reti informatiche della società. Il cittadino russo aveva pianificato di utilizzare il malware per esfiltrare i dati ed estorcere successivamente un forte riscatto alla società. Il dipendente si era rivolto alla propria azienda cosicché l’FBI riusciva ad arrestare il cittadino russo.
  • Energia: nel febbraio 2020, un ex scienziato di una società petrolifera statunitense è stato condannato a 24 mesi di carcere per aver rubato segreti commerciali attraverso un thumb drive dalla società. I segreti commerciali rubati riguardavano la tecnologia delle batterie di nuova generazione ed erano valutati a più di 1 miliardo di dollari. Lo scienziato aveva partecipato, in precedenza, al Piano “Mille Talenti” della Cina, e aveva pianificato di trasferirsi nel paese dell’Estremo oriente con i segreti commerciali al fine di poterli utilizzare in una società cinese dove gli era stato offerto un lavoro.
  • Sanità: Nel febbraio 2021, una ex ricercatrice di un istituto medico statunitense è stata condannata a 30 mesi di carcere per aver rubato segreti commerciali e aver tentato di monetizzarli attraverso una società che aveva creato in Cina. Aveva ricevuto benefici dal governo cinese e aveva fatto domanda a diversi programmi di Talenti.
  • Difesa: nel novembre 2020, un ex ingegnere di un importante appaltatore della difesa statunitense è stato condannato a 38 mesi di carcere per aver esportato illegalmente in Cina dati associati a sistemi avanzati di guida dei missili. Mentre lavorava per la società di difesa, l’ingegnere aveva trasferito i dati presenti sul suo computer alla società in Cina.

Conclusioni

I casi elencati sono solo alcuni tra quelli che è dato ritrovare sulla stampa, specializzata o meno, e molti sono avvenuti anche in ambito italiano. Essi sono stati qui citati solo per mostrare quanto possano essere comuni e che gli stessi non sempre vengono portati all’attenzione dei decisori pubblici e della stampa di opinione. Ulteriore aspetto da mettere in evidenza è che durante la crisi sanitaria tali casi possono essere aumentati a causa della maggiore esposizione a tali rischi, da parte delle imprese e delle amministrazioni pubbliche.

In questi casi, l’emergenza pandemica e il forte ricorso all’utilizzo degli strumenti di lavoro a distanza, in modalità smart working, hanno reso particolarmente critico l’utilizzo, in modalità safe, dei devices elettronici da parte dei lavoratori, generando soprattutto nei primi mesi dell’emergenza pandemica un innalzamento sostanziale degli attacchi informatici soprattutto con il ricorso all’utilizzo di ransomware e tecniche di data leak.

In conclusione, il ruolo dell’errore umano deve essere maggiormente evidenziato nei processi di risk management aziendale e prevedere delle azioni di mitigazione al fine di ridurne l’impatto in termini sia di danno economico che di danno reputazionale.

*Le opinioni degli autori non rappresentano necessariamente quelle degli Enti di appartenenza.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati