Smart Working

Data breach, tutte le insidie dello smart working

La pratica del telelavoro è esplosa improvvisamente con l’emergenza creata dalle misure di isolamento per evitare il contagio da coronavirus. Le aziende sono consapevoli dei rischi che comporta?

Pubblicato il 27 Feb 2020

Marco Santarelli

expert in network analysis, critical infrastructures, big data and future energies

shutterstock_499968097

È chiaro che da una situazione di emergenza, come quella creata in Italia dalle misure messe in atto per contenere il contagio da “coronavirus”, potrebbe nascere un’opportunità: lo smart working.  C’è però un rischio sottovalutato: non sono gli aspetti normativi, ma la sicurezza.  La maggior parte dei dipendenti ormai utilizza un pc portatile o altri device per lavorare. Questo comporta che i link da collegare e i vettori con cui si collegano si moltiplicano. Generando dei rischi che vanno compresi e affrontati.

I tre rischi dello smart working

Tre sono gli aspetti del rischio: il primo sono proprio i device, infatti, se l’azienda non ha stabilito una norma comportamentale sui fattori di rischio, si potrebbe assistere alla messa a disposizione dei dati a una platea interessata a un attacco cyber o semplicemente a rubare i dati per strategie ulteriori. Il secondo aspetto riguarda i vettori intesi come modalità di collegamento: infatti, collegandosi da reti wi-fi pubbliche, domestiche o comunque “altre” rispetto a quelle aziendali, si potrebbero verificare problemi di vulnerabilità e prestare il fianco a attacchi di phishing. Il terzo aspetto è il furto di informazioni e dati in modalità mista: se il dipendente non è dentro un’azienda ha socialmente e tendenzialmente più libertà d’azione e questo, aggiunto all’incontro in zone pubbliche, in supermercati o bar, diventa un primo contatto utile per i criminali per carpire informazioni e mettere l’occhio su eventuali informazioni ritenute riservate.

Vista la recente esperienza della direttiva NIS e il conseguente richiamo alla Security by design, sarebbe opportuno proteggersi da questi tre aspetti attraverso altrettante contromisure. In primis isolare l’autenticazione, ovvero già a un primo accesso non richiedere una password legata al nome utente, ma generare attraverso un nome utente una password che cambi ogni volta che si procede all’accesso, questo con chiavetta a parte o p.e.c., e generare poi una password terza attraverso un ulteriore passaggio rispetto a quello dell’autenticazione.

In questa fase andrebbe applicata anche la cosiddetta moral suasion, cioè la capacità di controllo automatico sulle inadeguatezze delle password impostate (lunghezze, nomi, etc) e obblighi specifici di connessioni a cloud aziendali. Dopo la fase dell’autorizzazione, il dipendente in esterno dovrà lavorare su cartelle locali ed essere autorizzato a livelli superiori solo dal security manager dell’azienda, con tanto di report di case e motivazione. Ad esempio, se il dipendente in smart working deve completare un piano di ricerca strategico, deve salvare il file in locale (che sia doc, pdf o altro), lavorarlo e poi colloquiare con l’azienda e scambiare informazioni con la cifratura della documentazione su canali dedicati e stabiliti dall’impresa a priori con una crittografia adeguata. Altra contromisura, oltre a quelle basiche come antivirus aggiornati e altre cose, è agire sulla connessione. Anni fa si parlava di linea DMZ, ossia demilitarizzata, in cui transitavano one-to-one i dati – oggi meglio nota come “connessione cifrata” o “cifratura dei dati”. Il concetto è che, visto che molte aziende conservano nel cloud i materiali, la connessione deve essere sicura e diretta, senza che la rete o i dati vengano intercettati in transito. Insomma, è bene puntare a un beneficio collettivo e a un ripristino del benessere, anche famigliare, ma è altrettanto bene conoscere le minacce e le conseguenti attività di sicurezza da mettere in campo.

Esiste il pericolo data breach

In questo scenario c’è un altro problema da considerare: i cosiddetti incidenti di sicurezza che coinvolgono non solo il dipendente come parte di un’organizzazione, ma anche la sua vita personale. Quest’ultimo caso è definito violazione dei dati personali e tecnicamente fenomeno dei data breach. Secondo il “Data Breach Investigations Report 2019”, le informazioni violate a livello personale sono di varia natura: il 52% per attacco hacking, il 33% per attacco da social, il 28% attraverso malware, il 21% causato da errori di varia natura (quindi anche umana), il 15% per cattivo utilizzo e circa il 4% da azioni forzate. La cosa sconcertante è che tutte queste percentuali derivano non solo dal cattivo utilizzo dei programmi aziendali, ma anche delle applicazioni, dei sistemi e dei social personali. In pratica, siamo esposti pubblicamente alle informazioni private. Sembra un ossimoro, ma una volta accettate le condizioni dei social che ci caratterizzano, siamo automaticamente esposti, oltre che a profilazioni di ogni genere, anche a rischi indotti e rischi privati. I rischi indotti sono quelli che partendo da singole nostre informazioni arrivano al globale. Se ad esempio queste vengono rese pubbliche (o da chi copia le informazioni e le diffonde o da motori di ricerca), siamo esposti a incidenti possibili che, oltre ad eventi criminosi, possono causare violazioni della reputazione. Da questo punto di vista anche pubblicare una foto in cui facciamo vedere di essere a casa e non a lavoro può diventare allettante per chi vuole da tempo sapere cosa stiamo facendo e perché lo stiamo facendo. Infatti, si può facilmente inserire un malware con il RAM Scraper che scansiona la memoria dei device di ogni genere per raccogliere informazioni private e farne un cattivo utilizzo. In tal senso si utilizzano tecnologie RFID (Radio-Frequency Identification) che attraverso chip (quelli delle carte di credito, per intenderci) colloquiano con i codici dei device e identificano le informazioni, banalmente quello che avviene nel riconoscimento delle merci con il dispositivo laser di grandi magazzini che utilizza le frequenze a 13,56 MHz, generando una comunicazione a breve, ad esempio tra le carte e i lettori vari, e a lunga distanza con un dispositivo che fa da “ponte”.

Il fenomeno data breach in tale direzione coinvolge le azioni dei singoli provocando delle categorie di attacco su basi read-only, per cui gli attacchi sono mirati a generare le informazioni sui dati memorizzati e personali. È interessante notare che le violazioni dei dati sono causate nel 34% dei casi da attori interni a un’azienda e nel 39% da gruppi di criminali organizzati, mentre il 69% di questi attacchi è provocata da estranei. Inoltre, è emerso che gli attacchi di phishing, il furto di identità e gli errori di configurazione sono effetti collaterali della gestione dei dati da parte delle imprese. Il tasso di click sulle simulazioni di phishing è sceso dal 24% al 3% negli ultimi sette anni, ma il 18% delle persone lo ha fatto da dispositivo mobile mostrando che questa categoria è più a rischio, probabilmente per la loro interfaccia utente. Lo stesso vale per il phishing via mail e gli attacchi sui social media. Le applicazioni web sono prese di mira da attacchi e utilizzate per rubare i dati per l’accesso agli account aziendali sul cloud: i principali schemi di attacco sono causati da errori umani di varia natura, applicazioni web e cyber spionaggio (83% delle violazioni). I servizi professionali, tecnici e scientifici sono colpiti maggiormente da furto delle credenziali e phishing causati dall’utilizzo di applicazioni web ed errori umani nell’81% dei casi. Per quanto riguarda la pubblica amministrazione, il cyber-spionaggio è dilagante e il 72% degli attacchi è causato oltre che dallo spionaggio anche da errori umani e abuso del privilegio [2019 Data Breach Investigations Report].

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Marco Santarelli
expert in network analysis, critical infrastructures, big data and future energies

Articoli correlati

Articolo 1 di 4