Cybersecurity Aziendale e Attacchi Informatici: Ransomware, Phishing e Clickjacking

Scopri quali sono i principali fattori di rischio che espongono le aziende ai principali attacchi informatici e come nella maggior parte dei casi il fattore umano sia fondamentale nella gestione della cybersecurity aziendale.

Da quando ho aperto la mia agenzia investigativa Octopus nel 1988 ho notato una sempre maggiore consapevolezza da parte di aziende e privati in materia di cybersecurity.

Purtroppo non si è verificata la stessa presa di coscienza ella prevalenza dei dirigenti della pubblica amministrazione, nonostante la recente campagna governativa sulla cybersicurezza.

Dapprincipio, le aziende che si rivolgevano alla mia agenzia investigativa Octopus per questioni di infedeltà aziendale, chiedevano la restituzione di chiavi, computer e telefonini al collaboratore appena allontanato, ma non esaminavano né riformattavano gli apparecchi e spesso dimenticavano di cambiare le password note all’ex-dipendente.

Oggigiorno errori di questa gravità avvengono solamente nella pubblica amministrazione.

Oramai, tutti gli imprenditori Clienti dell’agenzia investigativa Octopus hanno recepito l’importanza di trattare la quantità di dati strettamente necessari agli scopi aziendali e per un tempo limitato al loro raggiungimento, mentre le Cancellerie delle Procure sono un’emorragia permanente di dati inutili alle indagini e ai processi giudiziari, ma purtroppo utilissimi ai processi mediatici e al giornalismo di bassa lega.

Adesso tutte le aziende sanno che, per difendersi da attacchi come ransomware, devono avere un backup sempre aggiornato dei propri dati, mentre non avete idea di quante volte enti pubblici e governativi subiscono senza rimedio perdita o diffusione involontaria di dati, per errore umano e tecnico.

Il consiglio di suddividere i dati aziendali trattati e inserire password e autorizzazioni di livello differenziato per potervi accedere ha evitato molte intrusioni di spionaggio industriale e commerciale ai miei Clienti.

È chiaro il fatto che a questo punto non siano più sufficienti antivirus e firewall per proteggere attrezzature e attività informatiche, ma occorrano:

  • Un efficace e costante processo di hardening (indurimento del sistema informatico ad eventuali attacchi) e di patch management (riparazione delle vulnerabilità).

  • Un efficiente sistema di monitoraggio dei sistemi IT (SIEM - Security information and event management) e di log management.

  • Periodiche verifiche della vulnerabilità dei sistemi informatici aziendali (Vulnerability Assessment).

In materia di cybersecurity sono stati fatti passi da gigante sotto il profilo tecnologico e informatico specialmente negli ultimi anni, grazie alla maggiore consapevolezza da parte delle aziende che la sicurezza informatica può determinare il loro successo o fallimento.

Tuttavia la sottovalutazione del ‘fattore umano’ rimane ancora un grosso problema, cui si è cercato di porre in parte rimedio attraverso la formazione del personale.

Ciò nonostante è sufficiente un dipendente infedele in un punto chiave per l’azienda, affinché tutte le precauzioni tecniche di cybersecurity scadano in parziale o totale inefficacia. Pertanto vediamo come evitare e prevenire l’infedeltà aziendale e le fragilità dell’elemento umano nei casi di intrusione, spionaggio, estorsione e attacco informatico:

  • È fondamentale la formazione del personale in tema di cybersecurity.

  • Oltre alla formazione del personale, necessita il costante monitoraggio dei comportamenti online dei dipendenti, affinché nessun dipendente venga usato come anello debole per penetrare il sistema informatico aziendale.

La maggior parte delle intrusioni informatiche ha successo grazie ad un dipendente particolarmente ingenuo o menefreghista che cade nella trappola di clickjaking o phishing.

Attualmente molte aziende, oltre alla formazione del personale in materia di sicurezza informatica, mandano periodicamente e-mail di phishing al proprio personale per testarlo. I più distratti e lenti di comprendonio, che abboccano al phishing pilotato, vengono invitati a frequentare corsi di aggiornamento.

  • La terza precauzione consiste nel controllare, tracciare e limitare per competenze o gerarchia gli accessi al sistema informatico aziendale, in modo tale che i dipendenti accedano a informazioni e know-how solamente lo stretto necessario alle loro mansioni.

  • La quarta precauzione è il monitoraggio dell’utilizzo, specie quello extra-lavorativo, dei computer aziendali. Molti attacchi informatici in danno delle aziende provengono da cattive frequentazioni online dei loro dipendenti.

Il datore di lavoro può controllare i device aziendali dati in uso ai suoi dipendenti e, previa sottoscrizione di un’informativa sulle modalità e i software utilizzati, può anche procedere al controllo a distanza quando c’è un concreto e legittimo sospetto di comportamenti scorretti e dannosi per l’azienda (Corte di Cassazione N. 25732 del 22/09/2021).

  • La quinta precauzione riguarda la necessaria supervisione su password e badge per l’accesso ai sistemi informatici aziendali. In particolare le aziende, pur adottando rigidi protocolli sulla complessità delle password e il loro continuo aggiornamento, talvolta trascurano il fatto che queste password, proprio per la loro complessità e mutazione, potrebbero non essere adeguatamente custodite.

L’agenzia investigativa Octopus ha risolto un caso di fuga di notizie da un’azienda, quando abbiamo individuato che una impiegata teneva le sue password trascritte su post-it incollati sotto la scrivania e una spia aziendale, che si era fatta assumere come stagista, utilizzava password e computer dell’imprudente impiegata per scaricare informazioni aziendali preziose.

In un altro caso più recente scoprimmo che un dipendente, accusato di accessi informatici abusivi a danno della sua azienda durante la pausa pranzo, era totalmente innocente. Il colpevole era un suo collega che approfittava del suo badge lasciato incustodito sulla scrivania ogni mezzogiorno.

  • La sesta ed ultima precauzione è un efficiente e sempre presente ufficio del personale e dirigenza che sappia cogliere tempestivamente malcontento, conflittualità, scarsa motivazione tra il personale e porvi rimedio attraverso spostamenti, promozioni, riconoscimenti o ricorrendo alle indagini aziendali difensive dell’investigatore privato.

L’hacker black hat Carmelo Miano e la cybersecurity

Dopo una caccia all’uomo durata quattro anni il ventiquattrenne, originario di Gela, Carmelo Miano è stato arrestato per aver crackato i siti dei Ministeri dell’Interno e della Giustizia, della Guardia di Finanza, della TIM e di Telespazio.

Ciò che emerge da questa vicenda non è tanto l’abilità indiscutibile dell’hacker siciliano ex-dipendente dell’azienda nipponica NTT Data, quanto piuttosto a che livello siti governativi italiani si siano dimostrati ancora una volta fragili e niente affatto sicuri. E ciò non tranquillizza ai giorni nostri, insanguinati da due guerre quasi mondiali, oramai combattute anche sul terreno cibernetico.

Per la verità lo Stato italiano non si è mai dimostrato all’altezza in materia informatica. Circa 40 anni fa, quando ero all’inizio della mia carriera di investigatore privato e collaboravo con una agenzia investigativa di Milano, un hacker riusciva a entrare abusivamente nel neonato C.E.D. della Polizia, appena digitalizzato, per consultare i precedenti di polizia di chiunque. Per quanto si potesse giustificare la falla con il fatto che la rete intranet del Ministero fosse appena installata e migliorabile, era inquietante pensare che neppure la Polizia fosse in grado di difendere il proprio archivio.

Negli anni successivi sembrava che la problematica fosse stata risolta e che non fossero più possibili accessi illegali, salvo infedeltà del personale come testimoniato dallo scandalo Telecom del 2006.

Tuttavia, l’hacker black hat Carmelo Miano ci ha rimandato indietro agli anni ’80 in materia di cybersecurity. O forse la sicurezza informatica italiana non ha mai colmato le lacune di quegli anni.

Del resto tutte le amministrazioni governative italiane sono note per affidarsi a brocchi in fatto di informatica e cybersecurity; vi ricordate quando in tempi recenti i siti dell’INPS andavano regolarmente in tilt durante l’erogazione di bonus e congedi in piena emergenza pandemica da coronavirus? E la barzelletta dei portali nazionale e regionali per tracciare il covid-19 e per prenotare i vaccini?

A questo proposito, è particolarmente vergognoso il sito dell’INPS che, costandoci più di 50 milioni di euro all’anno, va in crush e data breach tutte le volte che si presenta una difficoltà, come se fosse stato realizzato e gestito da un boomer.