È chiaro che da una situazione di emergenza, come quella creata in Italia dalle misure messe in atto per contenere il contagio da “coronavirus”, potrebbe nascere un’opportunità: lo smart working. C’è però un rischio sottovalutato: non sono gli aspetti normativi, ma la sicurezza. La maggior parte dei dipendenti ormai utilizza un pc portatile o altri device per lavorare. Questo comporta che i link da collegare e i vettori con cui si collegano si moltiplicano. Generando dei rischi che vanno compresi e affrontati.
I tre rischi dello smart working
Tre sono gli aspetti del rischio: il primo sono proprio i device, infatti, se l’azienda non ha stabilito una norma comportamentale sui fattori di rischio, si potrebbe assistere alla messa a disposizione dei dati a una platea interessata a un attacco cyber o semplicemente a rubare i dati per strategie ulteriori. Il secondo aspetto riguarda i vettori intesi come modalità di collegamento: infatti, collegandosi da reti wi-fi pubbliche, domestiche o comunque “altre” rispetto a quelle aziendali, si potrebbero verificare problemi di vulnerabilità e prestare il fianco a attacchi di phishing. Il terzo aspetto è il furto di informazioni e dati in modalità mista: se il dipendente non è dentro un’azienda ha socialmente e tendenzialmente più libertà d’azione e questo, aggiunto all’incontro in zone pubbliche, in supermercati o bar, diventa un primo contatto utile per i criminali per carpire informazioni e mettere l’occhio su eventuali informazioni ritenute riservate.
Vista la recente esperienza della direttiva NIS e il conseguente richiamo alla Security by design, sarebbe opportuno proteggersi da questi tre aspetti attraverso altrettante contromisure. In primis isolare l’autenticazione, ovvero già a un primo accesso non richiedere una password legata al nome utente, ma generare attraverso un nome utente una password che cambi ogni volta che si procede all’accesso, questo con chiavetta a parte o p.e.c., e generare poi una password terza attraverso un ulteriore passaggio rispetto a quello dell’autenticazione.
In questa fase andrebbe applicata anche la cosiddetta moral suasion, cioè la capacità di controllo automatico sulle inadeguatezze delle password impostate (lunghezze, nomi, etc) e obblighi specifici di connessioni a cloud aziendali. Dopo la fase dell’autorizzazione, il dipendente in esterno dovrà lavorare su cartelle locali ed essere autorizzato a livelli superiori solo dal security manager dell’azienda, con tanto di report di case e motivazione. Ad esempio, se il dipendente in smart working deve completare un piano di ricerca strategico, deve salvare il file in locale (che sia doc, pdf o altro), lavorarlo e poi colloquiare con l’azienda e scambiare informazioni con la cifratura della documentazione su canali dedicati e stabiliti dall’impresa a priori con una crittografia adeguata. Altra contromisura, oltre a quelle basiche come antivirus aggiornati e altre cose, è agire sulla connessione. Anni fa si parlava di linea DMZ, ossia demilitarizzata, in cui transitavano one-to-one i dati – oggi meglio nota come “connessione cifrata” o “cifratura dei dati”. Il concetto è che, visto che molte aziende conservano nel cloud i materiali, la connessione deve essere sicura e diretta, senza che la rete o i dati vengano intercettati in transito. Insomma, è bene puntare a un beneficio collettivo e a un ripristino del benessere, anche famigliare, ma è altrettanto bene conoscere le minacce e le conseguenti attività di sicurezza da mettere in campo.
Esiste il pericolo data breach
In questo scenario c’è un altro problema da considerare: i cosiddetti incidenti di sicurezza che coinvolgono non solo il dipendente come parte di un’organizzazione, ma anche la sua vita personale. Quest’ultimo caso è definito violazione dei dati personali e tecnicamente fenomeno dei data breach. Secondo il “Data Breach Investigations Report 2019”, le informazioni violate a livello personale sono di varia natura: il 52% per attacco hacking, il 33% per attacco da social, il 28% attraverso malware, il 21% causato da errori di varia natura (quindi anche umana), il 15% per cattivo utilizzo e circa il 4% da azioni forzate. La cosa sconcertante è che tutte queste percentuali derivano non solo dal cattivo utilizzo dei programmi aziendali, ma anche delle applicazioni, dei sistemi e dei social personali. In pratica, siamo esposti pubblicamente alle informazioni private. Sembra un ossimoro, ma una volta accettate le condizioni dei social che ci caratterizzano, siamo automaticamente esposti, oltre che a profilazioni di ogni genere, anche a rischi indotti e rischi privati. I rischi indotti sono quelli che partendo da singole nostre informazioni arrivano al globale. Se ad esempio queste vengono rese pubbliche (o da chi copia le informazioni e le diffonde o da motori di ricerca), siamo esposti a incidenti possibili che, oltre ad eventi criminosi, possono causare violazioni della reputazione. Da questo punto di vista anche pubblicare una foto in cui facciamo vedere di essere a casa e non a lavoro può diventare allettante per chi vuole da tempo sapere cosa stiamo facendo e perché lo stiamo facendo. Infatti, si può facilmente inserire un malware con il RAM Scraper che scansiona la memoria dei device di ogni genere per raccogliere informazioni private e farne un cattivo utilizzo. In tal senso si utilizzano tecnologie RFID (Radio-Frequency Identification) che attraverso chip (quelli delle carte di credito, per intenderci) colloquiano con i codici dei device e identificano le informazioni, banalmente quello che avviene nel riconoscimento delle merci con il dispositivo laser di grandi magazzini che utilizza le frequenze a 13,56 MHz, generando una comunicazione a breve, ad esempio tra le carte e i lettori vari, e a lunga distanza con un dispositivo che fa da “ponte”.
Il fenomeno data breach in tale direzione coinvolge le azioni dei singoli provocando delle categorie di attacco su basi read-only, per cui gli attacchi sono mirati a generare le informazioni sui dati memorizzati e personali. È interessante notare che le violazioni dei dati sono causate nel 34% dei casi da attori interni a un’azienda e nel 39% da gruppi di criminali organizzati, mentre il 69% di questi attacchi è provocata da estranei. Inoltre, è emerso che gli attacchi di phishing, il furto di identità e gli errori di configurazione sono effetti collaterali della gestione dei dati da parte delle imprese. Il tasso di click sulle simulazioni di phishing è sceso dal 24% al 3% negli ultimi sette anni, ma il 18% delle persone lo ha fatto da dispositivo mobile mostrando che questa categoria è più a rischio, probabilmente per la loro interfaccia utente. Lo stesso vale per il phishing via mail e gli attacchi sui social media. Le applicazioni web sono prese di mira da attacchi e utilizzate per rubare i dati per l’accesso agli account aziendali sul cloud: i principali schemi di attacco sono causati da errori umani di varia natura, applicazioni web e cyber spionaggio (83% delle violazioni). I servizi professionali, tecnici e scientifici sono colpiti maggiormente da furto delle credenziali e phishing causati dall’utilizzo di applicazioni web ed errori umani nell’81% dei casi. Per quanto riguarda la pubblica amministrazione, il cyber-spionaggio è dilagante e il 72% degli attacchi è causato oltre che dallo spionaggio anche da errori umani e abuso del privilegio [2019 Data Breach Investigations Report].
