Sicurezza: L’anello debole sono i dipendenti, o anche i sistemi mal configurati? Ecco dove intervenire

Un ennesimo report, in questo caso il Data Loss Landscape di Proofpoint, dipinge l’elemento umano come perno attorno al quale ruotano i danni e le perdite di dati causate dalle cyber incursioni. Visione miope e lapidaria, oppure puntuale?

l report Data Loss Landscape dell’azienda di cyber security americana Proofpoint giunge alla conclusione secondo la quale la perdita di dati è sempre da ricondurre all’intervento umano. Insomma, l’uomo sarebbe l’anello debole della catena.

Il rapporto, pubblicato il 18 marzo 2024, è improntato sugli approcci alla Data Loss Prevention (DLP) e giunge alla conclusione che vede nell’uomo la causa dei problemi nelle sue interazioni con le macchine.

Un tema ricorrente del quale parliamo con Alessandro Molari, Ceo dell’azienda italiana di cyber security Cyberloop, al fine di comprendere perché – quando si accenna all’interazione tra uomini e macchine – ci si attende che siano i primi ad andare incontro alle peculiarità delle seconde.

Il report Data Loss Landscape di Proofpoint

Il presupposto su cui si concentra il report di Proofpoint può essere riassunto così: gli utenti sono più fondamentali nelle perdite di dati di quanto possano esserlo sistemi mal configurati o deboli.

Estraniandoci per un attimo dal contesto della cyber security: si tratta di comprendere se è vero che un autista poco concentrato possa essere ritenuto responsabile di avere causato un incidente a bordo di un veicolo malandato e claudicante, oppure abbia senso valutare una sinergia tra entrambe le cose.

Entrando nei meandri del report, elaborato sulla scorta dalle risposte di 600 professionisti della cyber security di aziende con almeno 1.000 dipendenti, si legge che in Italia l’88% delle organizzazioni intervistate lamenta perdite di dati. Nello specifico, il 95% di queste ha subito effetti negativi e, segnatamente:

  • il 67% ha lamentato fermi operativi oppure perdite di fatturato
  • il 28% ha subito danni reputazionali.

Il quadro è questo ma si limita a elencare i danni senza individuare le cause. Giocando a carte scoperte, e il discorso è ben più ampio di quanto possa essere addebitato a uno o più report, il rischio di limitarsi a fare dell’operatore umano il capro espiatorio, è quello di ignorare l’eziologia di una malattia andando così a perdere efficacia nella ricerca dei rimedi.

Rimanendo in Italia, il report indica che il 49% delle aziende che ha subito una perdita di dati ha identificato la causa principale negli utenti meno attenti, autori di visite a siti malevoli, di invii di email errate e di installazioni di software non autorizzati. Tre concause che portano a considerazioni diverse e, mentre le prime due aprono ad approfondimenti, l’eventualità che gli utenti installino software malevoli è facilmente aggirabile, sgravando l’operatore umano da responsabilità anche pesanti.

A livello globale (e quindi non soltanto italiano), secondo il report il 12% degli intervistati (uno su otto) ha sostenuto che gli incidenti sono stati causati da dipendenti o stakeholder che hanno agito con la volontà di ledere, anche per interessi personali. Questo aspetto, da non sottovalutare, apre però a considerazioni diverse, che approfondiamo con Alessandro Molari.

I limiti degli operatori umani

Utenti che, come visto, cadono nelle trappole delle email o dei siti malevoli oppure in grado di installare qualsivoglia software sui dispositivi professionali.

È utile comprendere quanto sia possibile ridurre questi rischi e in che modo lo si possa fare: “In linea generale, le cause di rischio descritte risultano affrontabili, seppur le misure organizzative, tecniche e tecnologiche sono spesso complesse se non approcciate correttamente. Affinché possano essere imposti controlli di sicurezza efficaci per limitare e mitigare i problemi di sicurezza derivanti dall’uso inappropriato dei dispositivi (per esempio, l’installazione di software mediante privilegi amministrativi) e della navigazione di siti web, è fondamentale in primo luogo comprendere le dinamiche aziendali ed i processi presenti, cosicché possano venir identificati i comportamenti leciti ed i comportamenti non sicuri per l’azienda. Questo approccio deve poi risultare in una implementazione che parta dalla definizione di policy di sicurezza sostenibili per l’organizzazione e che trovino riscontro in implementazione di controlli tecnico-tecnologici per limitare le operazioni che gli utenti possano svolgere nei dispositivi. Inoltre, risulta fondamentale investire nel fattore umano e nella formazione del personale, affinché vengano sensibilizzati sul rischio e possano comprendere e poi, conseguentemente, applicare ed essere conformi alle policy di sicurezza vigenti in azienda”, spiega Alessandro Molari.

Le norme e le best practice per la cyber security non sono monoliti, evolvono con il tempo e si adeguano alla qualità e alla sofisticatezza delle minacce. Le imprese non possono ritenersi al sicuro soltanto perché hanno implementato una strategia di cyber security, occorre che questa venga rivista e aggiornata in modo costante e continuato. “Le politiche e le regole di cybersecurity, se gestite correttamente, sono oggetto a miglioramenti graduali e continuativi, oltre che soggetti alle sempre maggiori normative vigenti (GDPR, Direttiva NIS 2, CER, DORA) per aumentare gli standard minimi di sicurezza da garantire. Spesso, però, si riscontra difficoltà da parte delle aziende di recepire maggiori garanzie di sicurezza che si potrebbero trovare in contrasto con la semplicità d’uso e la facilità nelle attività quotidiane. Per questo motivo, al fine di ridurre gli impatti negativi che si possono avere dalle misure introdotte, è fondamentale approcciare la sicurezza in maniera specifica e personalizzata, ovvero la sicurezza deve risultare un abito ritagliato su misura, affinché possa vestire correttamente i panni dell’azienda”, specifica Molari che aggiunge: “Prendendo ad esempio la Direttiva NIS 2, che si prefigge l’obiettivo di migliorare la sicurezza delle aziende a perimetro rispetto a quanto previsto dalla precedente versione, risulta fondamentale che un corretto adeguamento si basi sia sulla conformità alla Direttiva Europea e al recepimento da parte degli Stati membri, ma anche sulla più appropriata modalità di introduzione all’interno dell’azienda”.

I dipendenti uscenti (e quelli “furbetti”)

Il report di Proofpoint evidenzia il pericolo latente rappresentato da dipendenti uscenti o in cattiva fede che si impossessano volontariamente di dati aziendali per scopi futuri e personali.

Occorre una scissione concettuale, perché la cyber security deve confrontarsi con l’inconsapevolezza degli utenti (che cadono nei tranelli orditi dai cyber criminali) ma anche con la volontarietà di ledere di chi si trova all’interno dell’azienda stessa. “L’esfiltrazione delle informazioni da parte dei dipendenti, tema che spesso ci troviamo ad affrontare e molto sentito nelle aziende, è mitigabile mediante l’adozione di misure preventive tramite processi di Data Leak Prevention (DLP) che impongo politiche di blocco sul trasferimento dei dati sensibili per prevenire la fuoriuscita di informazioni dal perimetro dell’azienda. Per le nostre esperienze è fondamentale un’opportuna e approfondita progettazione dell’implementazione di queste misure affinché risultino efficaci e non siano facilmente aggirabili. Spesso il fattore differenziante non è tecnologico, bensì progettuale.

A titolo di esempio, in varie esperienze Cyberloop per l’introduzione di DLP nelle aziende, si sono introdotte misure tecnico-tecnologiche che prevengano il furto di dati sensibili e strategici per l’azienda o non esplicitamente autorizzati, fra cui documenti riservati, contratti, ricette, documenti di progetto, e altri tipi di dati strategici mediante l’uso di vari canali, fra cui web, e-mail, dispositivi USB, app di messaggistica, eccetera. È inoltre fondamentale applicare le medesime misure anche in ambiente cloud”,