PRENOTA UN
APPUNTAMENTO
INVIA UN
MESSAGGIO
News

Insider Threat: una minaccia interna estremamente pericolosa per la sicurezza aziendale 

L'Insider Threat è una minaccia che proviene dai dipendenti, consapevoli o inconsapevoli, con il fine di sottrarre dati sensibili riguardanti la sicurezza aziendale. Analizziamo insieme i dati, lo scenario attuale e come proteggere la propria azienda.

 
News

Insider Threat: una minaccia interna estremamente pericolosa per la sicurezza aziendale 

L'Insider Threat è una minaccia che proviene dai dipendenti, consapevoli o inconsapevoli, con il fine di sottrarre dati sensibili riguardanti la sicurezza aziendale. Analizziamo insieme i dati, lo scenario attuale e come proteggere la propria azienda.

Che cosa significa insider threat?

L'Insider Threat o minaccia interna è una minaccia dannosa per un'organizzazione, che proviene da persone all'interno dell'azienda, come dipendenti, ex dipendenti, appaltatori o soci in affari, che dispongono di informazioni privilegiate relative alle pratiche di sicurezza, ai dati e ai sistemi informatici dell'organizzazione. Wikipedia (inglese)

Smartphone, notebook, tablet e servizi cloud consentono oramai di essere connessi 24 ore su 24 alla rete e permettono l’accessibilità ai file aziendali sempre e dovunque, ma non solo, tali dispositivi consentono oggi di condividere e scambiare informazioni in tutto il globo.

Da quanto rilevato dagli ultimi dati Istat, nel 2019 continua ad aumentare la quota di imprese con almeno 10 addetti che accede a Internet utilizzando connessioni veloci, di cui il 41% con connessioni ad almeno 30 Mbps (13,5% nel 2015), il 13,8% quelle ad almeno 100 Mbps (6,2%).

Inoltre, il 16,1% delle imprese manifatturiere ha un livello di digitalizzazione alto o molto alto. Sulla base di nuovi indicatori risulta che, a profili di digitalizzazione più evoluti delle imprese, si associa in media un livello di produttività del lavoro più elevato.

Nell’ambito privato viene rilevato che in Italia il 76,1% delle famiglie dispone di un accesso a Internet di cui il 74,7% di una connessione a banda larga.

Dal risultato di queste analisi è ormai chiaro che l’accessibilità alla rete, lo scambio e la condivisione di informazioni è alla portata di tutti, privati e aziende, ma soprattutto è usufruibile in ogni luogo e tempo. 

Questa evoluzione ha reso necessaria l’adozione da parte delle aziende di nuove strategie di security al fine di proteggere i dati, la loro disponibilità, l’integrità e la riservatezza affinché si possa garantire la continuità dell’utilizzo degli impianti aziendali e dei relativi servizi.

Attualmente il know-how di un’azienda passa anche il per il suo sistema informatico così come la mole di dati sensibili in esso contenuto ne va a costituire il patrimonio.

Per essere attuali, quindi, bisogna porsi una domanda: le aziende sono realmente in grado di proteggere il proprio sistema informatico da fonti di pericolo interne e/o esterne? E a quali si dovrebbe fare più attenzione?

Ecco perchè una delle più pericolose minacce per un’organizzazione è l’Insider Threat. Questa è una minaccia interna gravemente dannosa che può provenire da persone che operano all'interno dell'organizzazione, da dipendenti, ex dipendenti, appaltatori o soci in affari, i quali dispongono di accessi ad informazioni privilegiate relative ai sistemi informatici dell'organizzazione ai dati e alle pratiche di sicurezza, tali da poter eludere i sistemi aziendali.

4 Tipologie di Insider Threat

L’Insider può distinguersi in quattro categorie a seconda dell'identità dell'attore e dal suo intento:

Una pedina è un dipendente o un collaboratore che viene ingannato o costretto a eseguire un attacco permettendo agli aggressori l’accesso ai dati. Spesso le pedine vengono identificate e manipolate tramite schemi di social engineering o spear phishing, progettati ad hoc per ottenere delle informazioni sensibili. Ad esempio, gli utenti possono scaricare inconsapevolmente un malware o fornire credenziali tramite siti o comunicazioni contraffatti.

Case history di insider che coinvolge una pedina è l’incidente accaduto a Ubiquiti Networks: l'insider è caduto in un attacco di spear phishing e ha trasferito 40 milioni di dollari sul conto bancario di una falsa filiale. Lo ha fatto nella convinzione di eseguire gli ordini dei dirigenti senior.

Alcuni insider sono gli addetti ai lavori che sono negligenti o eseguono deliberatamente azioni che possono essere dannose per l’azienda. Questi utenti peccano di superbia credendo che le politiche di sicurezza non si applichino a loro o che sappiano meglio di altri come mantenere protetti loro stessi e i sistemi aziendali.

Si stima che il 95% delle aziende abbia al suo interno utenti che tentano di aggirare i controlli di sicurezza imposti dalla stessa, come ad esempio la disattivazione dei blocchi popup, la sospensione dei programmi antivirus o l'archiviazione di dati sensibili in un archivio cloud non approvato.

Un collaboratore è un insider che sceglie di lavorare con aggressori esterni, come concorrenti o altri Stati nazionali. Questi utenti abusano dei loro privilegi, legittimati dalla loro posizione in azienda, per fornire informazioni e/o accesso a terze parti, in genere in cambio di vantaggi economici o personali.

Case history di insider-collaboratore è stato Dongfan “Greg” Chung, un insider che ha collaborato con il governo cinese. Chung è un ex ingegnere di origine cinese della Boeing, che ha raccolto segreti commerciali sul programma spaziale statunitense con l'intento di trasmettere queste informazioni alla Cina. È stato arrestato nel 2006 da agenti federali che hanno trovato presso la sua abitazione documenti sensibili e comunicazioni con funzionari cinesi. Chung è stato condannato nel 2010 per spionaggio economico a 15 anni di carcere.

Un lupo solitario è un insider che lavora in modo indipendente per un proprio vantaggio o scopo. Questi utenti hanno spesso una conoscenza approfondita dell’organizzazione in cui operano e sanno come sfruttare i loro privilegi interni.

Case history: Edward Snowden, un ex dipendente della Central Intelligence Agency (CIA) degli Stati Uniti, è un esempio di lupo solitario. Snowden ha usato il suo privilegio di insider per agire come informatore, divulgando diversi documenti altamente secretati su programmi di intelligence, tra cui il programma di intercettazione telefonica tra Stati Uniti e Unione europea riguardante i metadati delle comunicazioni, il PRISM, Tempora e programmi di sorveglianza Internet.

Le minacce derivanti da un insider possono quindi comportare il furto di informazioni sensibili,  riservate o di grande valore economico, l’acquisizione della proprietà intellettuale o addirittura il sabotaggio di sistemi informatici.

Tutte queste azioni sono agevolate dal fatto che l’insider è già in possesso di credenziali/privilegi che legittimino il suo accesso a determinati dati.

La minaccia dell’utilizzo, della vendita o della semplice divulgazione di tali informazioni è uno dei maggiori problemi nell’ambito della sicurezza aziendale. 

Come le aziende possono difendersi dall'insider threat?

Le aziende sono certamente consapevoli del problema, ma raramente dedicano le risorse o l’attenzione esecutiva necessaria per risolverlo.

Nel 2018 l’attuazione di due direttive europee, la Direttiva 2016/679 (GDPR) per la protezione della privacy e la Direttiva (UE) 2016/1148 (NIS – Network and Information Security) per la gestione degli incidenti di sicurezza informatica e la relativa comunicazione verso terzi, ha imposto alle aziende di adottare le procedure necessarie per compiere un importante passo verso la protezione dei dati e dei sistemi informatici. 

Nonostante ciò le aziende si trovano a dover affrontare ancora la percentuale più alta del rischio legato alla violazione di un sistema informatico ovvero quella generata dai dipendenti, dove gli strumenti tecnologici ed informatici adottati dall’azienda non sempre riescono ad essere efficaci; pertanto risulta essenziale attuare un approccio innovativo di gestione del rischio nell’ambito del proprio sistema informatico che contempli sia gli aspetti tecnologici sia il fattore umano.

Non di minore importanza sono gli eventi legati ai Data Breach, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di tali dati, con conseguenze economiche e reputazionali per l’azienda. 

Secondo il Report Cost of a Data Breach di IBM (anno 2019), in Italia, il costo totale medio di un data breach è pari a 3,13 milioni di euro, una crescita del 9,36% rispetto allo scorso anno. Sebbene le cause di una violazione dei dati siano da attribuire per il 46% a un attacco malevolo o criminale, il 31% delle violazioni è ancora dovuta a problemi tecnici, mentre ben il 23% è causato dal fattore umano.

Il tempo medio di identificazione di un Data Breach è salito da 199 a 213 giorni, mentre il tempo medio di contenimento delle violazioni di dati è passato da 56 a 70 giorni; se per risolvere un Data Breach dovuto a problemi tecnici o a un errore umano potrebbero essere necessari circa 250 giorni, per una violazione causata da un attacco esterno il tempo di recupero potrebbe avvicinarsi all’anno. È quindi essenziale in questi casi l’individuazione e la risposta tempestiva alla minaccia. 

Nel Data Breach l’Insider Threat rappresenta uno dei fattori principali e le aziende e i suoi security manager stanno iniziando a valutare, e soprattutto a prevenire, le eventuali minacce da Insider.

Per fare ciò, le organizzazioni devono adottare un approccio innovativo e proattivo iniziando da questi primi passi:

Tra questi gli errori più comuni sono:

  1. Possibilità di Virus e Malware attraverso VPN senza firewall
  2. Utilizzo di USB infetta che può contagiare i PC aziendali e di conseguenza l’intera rete informatica
  3. Utilizzo di PC con sistema operativo obsoleto e non aggiornato
  4. Assenza di antivirus su PC di produzione
  5. Furti dei PC aziendali che permettono l‘accesso remoto ad altri dispositivi in rete o a macchine di produzione
  6. Possibilità che un PC infetto del tecnico d‘assistenza contagi i dispositivi e le macchine di produzione dell’azienda
  7. La mancanza di controllo costante e continuato degli accessi negli impianti collegati a internet h24.

Se gli utenti iniziano ad accedere in modo irregolare ai dati o a caricare/scaricare file, l'utente viene contrassegnato e indagato. Ciò consente di identificare gli attacchi che altrimenti sarebbero sfuggiti ai sistemi di sicurezza a causa dell'utilizzo di credenziali "valide".

Infatti, che si tratti di una nuova specie di ransomware o di un attacco interno emergente, tali sistemi di tecnologia avanzata rilevano la minaccia sin dalle primissime fasi, permettendo così alle organizzazioni di trarne un vantaggio in termini di tempo di risposta ed efficacia.

Di seguito le principali regole da seguire per la creazione delle password:

  1. È consigliabile utilizzare almeno 12 caratteri, mai comunque meno di 8
  2. Utilizzare sempre una combinazione di caratteri alfanumerici (ovvero compresi tra a-z e 0-9), caratteri maiuscoli e minuscoli (A/a, B/b, ...Z/z) e i caratteri considerati "speciali" ("$ % & @ # § = , : ; - _ + ^")
  3. Mai utilizzare parole riconducibili al proprio ambito personale come il nome o il cognome, quelli del coniuge o dei parenti, date di compleanno, numeri telefonici o altri dati personali facilmente identificabili
  4. Non utilizzare parole ovvie come ad esempio: password, pippo, dragon, 123456, qwerty, etc..., poiché sono le più utilizzate negli attacchi brute force
  5. Prediligere parole inventate ed evitare di sostituire le lettere con il proprio “similare numerico”, come ad esempio “password” il cui equivalente alfa/numerico potrebbe essere "p4sSw0rd"
  6. Cambiare regolarmente le password d’importanza strategica ogni 2/3 mesi
  7. Divieto assoluto dell’utilizzo della medesima password per tutte le richieste di accesso, sia in ambito lavorativo che personale
  8. Evitare di riportare le password su fogli o agende di facile accesso ad altre persone

L’autenticazione a più fattori, infatti, consente di proteggere il proprio account permettendo all’utente di inserire oltre al “Nome Utente” & “Password” anche un codice OTP (one time password) inviato al momento dell’accesso tramite sms sul proprio dispositivo cellulare, notifiche push, accesso biometrico (face id/impronta digitale) o passcode monouso su una specifica applicazione sul proprio smartphone.

Altra tipologia di autenticazione a più fattori è rappresentata dai token hardware, che generano codici OTP ogni tot secondi prestabiliti, utilizzati per la convalida/autorizzazione dell’accesso di molti servizi e/o organizzazioni, come ad esempio nelle banche con il servizio di homebanking.

A tal proposito interessante è la piattaforma “Have I Been Pwned” nella quale è possibile controllare se sia stato compromesso il proprio indirizzo e-mail e quindi procedere allo scollegamento dei servizi associati a tale indirizzo e al cambio immediato della propria password di accesso, possibilmente seguendo le regole sopra descritte ed, ove possibile, attivando l’autenticazione a più fattori.

Oltre ai firewall di base e ai controlli di accesso, è importante considerare l'adozione di soluzioni antivirus di nuova generazione (NGAV) e di rilevamento e risposta degli endpoint (EDR). Nello specifico, i software NGAV consentono di impedire l'installazione o di rilevare un malware anche se sconosciuto, mentre le soluzioni EDR permettono di monitorare, analizzare e rispondere in modo più efficace alle attività degli endpoint tramite l'automazione.

Ad oggi esistono numerosi strumenti e procedure che possono essere applicati per impedire l'accesso non autorizzato alle risorse aziendali e affidarsi a professionisti competenti può snellire e velocizzare l’intero processo.

Dogma, in questo, grazie all’esperienza maturata nel tempo e il know-how acquisito nelle attività di indagine per la verifica degli obblighi di fedeltà del dipendente e mediante l’utilizzo del sistema di Network Defense, permette di proteggere in modo efficace e tempestivo gli asset aziendali dei suoi clienti in modo da garantire loro un’adeguata capacità concorrenziale nel breve, medio e lungo termine. 

Concludendo, le minacce interne sono difficili da individuare ma non impossibili.

Autore: Alessio Deiana

Security Manager UNI 10459:2017
and Business Intelligence Manager Dogma S.p.A.

Chiama il Numero Verde per ricevere immediatamente un preventivo ed una consulenza riservata e gratuita, oppure, utilizza il modulo presente sulla pagina per inviarci una richiesta.

 

Ti potrebbero interessare anche

    La realtà pone domande.
    Noi cerchiamo le risposte.


    Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.

    • Colloquio preliminare GRATUITO
    • Massima RISERVATEZZA
    • Risposta RAPIDA

    Indica una data e un orario preferito per l'appuntamento:
    Confermo di aver letto l'informativa e la accetto
    Tutti i campi sono obbligatori

    Agenzia Investigativa DOGMA S.p.A.
    Agenzia Investigativa Milano
    Via Cino del Duca, 5
    20122 - Milano
    Tel. +39 02 76281415
    Fax +39 02 76391517
    Agenzia Investigativa Torino
    Corso Vittorio Emanuele II, 92
    10121 - Torino
    Tel. +39 011 5617504
    Fax +39 011 531117
    Agenzia Investigativa Roma
    Via G. Gioacchino Belli, 39
    00193 - Roma
    Tel. +39 06 89871789
    Agenzia Investigativa Londra
    Level 33, 25 Canada Square
    Canary Wharf
    London E15 5LB nb
    Agenzia Investigativa New York
    3rd and 4th Floors,
    57 West 57th Street - Manhattan
    New York 10019 USA
    Seguici su:

    numero verde 800.750.751
    da lunedì a sabato dalle 09:00 alle 20:00
    servizio gratuito da telefono fisso e mobile da Italia

    Privacy Policy
    Cookie Policy

    P.IVA 10425470019