Sottovalutare il rischio di un attacco, affidarsi a una sola password e usare le chiavette USB del lavoro per scopi personali. Ecco come si rischia di compromettere la sicurezza di un’azienda.
Dall’entrata in vigore del Regolamento Generale sulla protezione dei dati – GDPR (25 maggio 2018) in tutti i Paesi membri dell’Unione Europea, il trattamento e la gestione dei dati dei cittadini europei sono diventati un obbligo stringente e la stessa attenzione alla sicurezza è richiesta ai dipendenti per la tutela dei dati aziendali. Poiché nella cybersecurity, si parla sempre di alta vulnerabilità del fattore umano, l’istituto di ricerca One Poll, ha indagato l’atteggiamento dei dipendenti delle aziende in Italia nei confronti della sicurezza dei dati, per valutare la consapevolezza della minaccia ed ha recentemente pubblicato i risultati.
Parallelamente però è stata anche divulgata l’indagine Kaspersky sulla sicurezza industriale i cui risultati evidenziano ancora la sottovalutazione degli errori degli impiegati e le loro azioni involontarie, ritenute pericolose in misura maggiore rispetto a incidenti presso fornitori e partner o a sabotaggi e danneggiamenti da attori esterni. La stessa indagine stima perdite in danni economici per 497 mil dollari l’anno, causati da una media variabile fra uno e cinque incidenti informatici su base annuale.
Il report One Poll
L’indagine è stata condotta a maggio 2017 su 1.000 rispondenti che lavorano in aziende del territorio nazionale italiano ed è stata commissionata dalla Kingston Technology Company, che producendo dispositivi di memoria e prodotti flash mantiene una certa attenzione alla sicurezza dei dati e alla sua corretta divulgazione.
In queste 1000 realtà sembra emergere una situazione di consapevolezza diffusa e una generale attenzione dei dipendenti italiani nei confronti della sicurezza IT aziendale. I dipendenti sembrano coscienti del loro ruolo a tutela della riservatezza e delle direttive IT aziendali. In tema di password, quasi la metà degli intervistati (49%) si dimostra molto attenta scegliendo, sia a livello personale sia lavorativo, una password diversa per ogni dispositivo utilizzato; il 32% nel tentativo erroneo di tutelarsi sceglie invece due sole password distinte: una per tutto ciò che concerne il lavoro e l’altra per device e applicazioni personali. L’argomento del trasferimento dei dati aziendali vede il 41%, degli intervistati impegnato nell’uso di drive USB crittografati (protetti da password), mentre il 29% si affida con certezza ai servizi Cloud. Per i drive USB il 41% dichiara di non utilizzarli mai per salvare i dati personali, mentre il 37% lo fa ma solo in casi di emergenza, mettendo comunque a rischio l’integrità del dispositivo e ancora un buon 22% utilizza le chiavette aziendali per scopi personali senza porsi alcun problema. Solo il 15% ha capito pienamente che questo comportamento può mettere a serio rischio l’integrità dei dati aziendali e non cade in questo errore. Poca fiducia viene invece accordata ai servizi online di trasferimento dati (11%) e alle normali chiavette USB immediatamente accessibili a chiunque (9%). In tema di aggiornamenti dei dispositivi il 51% dichiara che, a meno di urgenze, procede con l’aggiornamento non appena riceve la notifica mentre il 23% lancia l’update indipendentemente da cosa stia facendo, considerando questo come la massima priorità. Il 10% rimanda continuamente l’avviso fino a quando sarà più libero, a fronte di un irriducibile 4% che non li esegue mai! Infine l’attenzione degli intervistati per la perdita dei device aziendali è molto sentita per il 59% dei dipendenti mentre il 37% lo reputa abbastanza grave.
Quando l’azienda offre strumenti di tutela dei dati nel totale degli intervistati, il 48% segue pedissequamente tutte le procedure IT richieste dall’azienda, il 36% ammette di osservarle quasi tutte, mentre il 9% non sa nemmeno quali siano queste direttive (ma non è stato chiarito se la mancanza sia dovuta all’azienda o al dipendente n.d.r.). Un buon 62% è soddisfatto dell’impegno della propria azienda in ambito security mentre il 25% invece pensa che a livello centrale ci siano ancora molti passi da fare a favore della tutela dei dati.
Le evidenze del report Kaspersky
Kaspersky Lab e Business Advantage hanno condotto un’indagine di livello globale che ha coinvolto 359 responsabili di cyber sicurezza industriale tra febbraio e aprile 2017. Dalla ricerca emerge una spaccatura fra il livello di sicurezza percepita e su cui l’83% si sente appropriatamente preparato e la reale condizione che le vede target di attacco con incidenti di sicurezza da uno a 5 l’anno (6 per il 4% delle intervistate). Sembra infatti che per il 31% dei senior manager la cybersecurity sia ancora una priorità piuttosto bassa. Nonostante questa falsa percezione il malware convenzionale la fa ancora da padrone e il 56% degli intervistati lo considera ancora uno dei vettori più rilevanti tanto che la metà di tutti gli intervistati ha dovuto mitigarne le conseguenze lo scorso anno. Ad aggravare la situazione l’81% delle aziende riferisce un aumento dell’uso delle connessioni wireless alla rete industriale: il che significa la fine di qualsiasi realistica strategia di sicurezza. Primi tre classificati come tipologia di soluzioni di sicurezza sono i soliti: antimalware, monitoraggio della rete e controlli di accesso ai dispositivi ma, il 54% non considera la scansione delle vulnerabilità e la gestione delle patch tanto che il 41% adotta patch una volta al mese o anche con frequenza minore.
In questo panorama in cui la tecnologia da sola non può risolvere, l’analisi del vettore di attacco di spearphishing evidenzia come il target primario siano proprio gli utenti. I numeri sono ragguardevoli con una stima di oltre 500 compagnie interessate su oltre 50 paesi diversi nel mondo. Le email analizzate hanno avuto come target aziende di fornitori, clienti, organizzazioni commerciali e servizi di consegna con un picco del 65% sulle manifatturiere e in misura minore tutte le altre (aziende di costruzioni 12%, spedzioni 6%, ingegneria 6%, software 3%).
Morten Lehn, general manager per l’Italia di Kaspersky Lab, sottolinea come la crescente interconnessione dei sistemi richieda una buona preparazione da parte di membri del board, ingegneri e dei team di sicurezza tanto che si rende necessario per queste figure il raggiungimento di una conoscenza approfondita del panorama delle minacce e dei tool di protezione unitamente ad una sensibilizzazione dei dipendenti al tema della sicurezza. Si raccomanda che le organizzazioni industriali investano nella loro gente aumentando la consapevolezza dei problemi e educando gli utenti a capire le minacce e i comportamenti che mettono a rischio il business. Il divario delle competenze può essere affrontato con l’esternalizzazione specifica in materia di cybersecurity a squadre esterne specializzate che comprendono le esigenze per ogni settore di mercato.