Un recente attacco cyber, dall’interno di una organizzazione, ha evidenziato come la memoria sia corta. L’attacco appare, con quasi matematica certezza, che sia stato dovuto ad una superficialità nella gestione della sicurezza e, in particolare, delle credenziali. Non fa rimanere tutti a bocca aperta una simile constatazione?
A me fa venire in mente ciò che da ragazzo sentivo dire dai più anziani, e cioè che troppi sono i danni provocati dai cosiddetti “insiders”. Provo a ricordarmene alcuni:
- Lo spirito di “Robin Hood”: tolgo ai ricchi (ad esempio la azienda che mi stipendia) per dare denaro o prodotti ai poveri (finchè non mi scopriranno).
- Proprio tornaconto (“Robin Hood” di sé stesso!).
- La vendetta (mi vuoi mandare via? Non mi hai dato la promozione attesa da tempo? Allora io ti scasso il data base, altero i programmi, e così via).
- Ricatto: molti sono i casi nei quali si scopre che un lavoratore era sotto ricatto (gioco? Donne? Droga?); in questi casi, per esempio, si vede costretto o a distrarre denaro, o a fare dei favori costosi per l’azienda, o altro (pensiamo al riciclaggio di denaro, o ad alterare il profilo di rischio di un soggetto, ecc.).
- Superficialità: “avevo avvertito il collega…”, “mi ero raccomandato con il fornitore…”, “mi ero segnato di verificare, ma poi…”, sono frasi tipiche che si registrano dopo un grave incidente. Gli hacker sfruttano questo difetto per catturare le credenziali e colpire.
- Errori nel trattamento dei dati o strumenti informatici.
- Sottovalutazione dei rischi.
Tanto per citare i più frequenti.
Questi “incidenti”, nella maggior parte dei casi, procurano danni economici contenuti (commisurati al fatturato), ma intaccano la reputazione e quindi l’immagine della organizzazione. A volte, però, provocano costi non indifferenti, ed il recente Regolamento GDPR prevede, come noto, sanzioni assai elevate.
Generalmente, al termine della relativa indagine ispettiva, qualche dirigente perde il lavoro. Mi domando: perché non se ne è occupato prima?
Chi ricopre ruoli di responsabilità in una azienda non può non avere a mente il possibile comportamento degli “insiders”; potrei raccontare tanti episodi nei quali ho avuto contezza. La casistica è ampia: modifiche al software per consentire un ingiusto profitto alla persona; errori o violazioni di sicurezza per negligenza e superficialità; tentativi di vendita a terzi del software sviluppato all’interno; vendita di dati riservati alla concorrenza; e così via.
Che fare?
McKinsey, in un recente articolo, ci ricorda che il problema è sottovalutato, pur rappresentando ben il 50% degli incidenti[1], ed illustra gli errori che vengono fatti dalle aziende nel tentativo di prevenire e bloccare possibili frodi; nell’articolo suggerisce: un approccio micro-segmentato, agire sulla cultura del rischio (quanto se ne parla!), e investire nella predizione di tali eventi.
A mio modesto avviso, quando si esegue periodicamente il risk assessment e la business impact analysis sui processi operativi bisogna ricordarsi degli errori umani e delle possibili frodi, identificando ed analizzando le possibili minacce e conseguenze: ciò anche se riguardano i propri colleghi.
Ed ascoltare il parere e l’esperienza di chi è più anziano. I comportamenti umani si ripetono come le stagioni: così diceva Tacito. Ricordiamocene!
[1] Insider threat via a company’s own employees (and contractors and vendors) is one of the largest unsolved issues in cybersecurity. It’s present in 50 percent of breaches reported in a recent study. Companies are certainly aware of the problem, but they rarely dedicate the resources or executive attention required to solve it. Most prevention programs fall short either by focusing exclusively on monitoring behaviour or by failing to consider cultural and privacy norms.
(McKinsey, “Insider threat: The human element of cyberrisk”, September 2018)