Che cos’è l’insider threat

Parlando di cybersecurity, spesso si concentra l’attenzione sulla protezione dell’azienda dalle minacce esterne. Non di rado, il pericolo arriva da dentro e il nemico, conoscendo l’ambiente, può agire indisturbato fino a causare danni di notevole entità. Questa situazione ricorda quella in cui i ladri entrano in un appartamento senza scasso, usando le chiavi o conoscendo i codici di accesso. Analogamente, i sistemi di sicurezza, spesso non si attivano fino a che non si verifica una violazione dall’esterno.

E’ possibile che il dipendente responsabile di un’incursione non sia neppure consapevole del suo comportamento. Questa negligenza può essere attribuita alla mancanza di una formazione adeguata, quando la risorsa non comprende i rischi legati ad alcune attività online. È di estrema importanza educare tutti i dipendenti, compresi quelli in posizioni apparentemente sicure, sulla gestione di informazioni sensibili come dati personali, dati strategici e brevetti. Ad esempio, i dipendenti possono cadere vittime di phishing o inganni perpetrati attraverso la posta elettronica. In casi più gravi, l’ex dipendente potrebbe vendicarsi attraverso un attacco informatico, distruggendo informazioni o causando danni irreparabili ai sistemi.

Una buona strategia di difesa passa anche attraverso la conoscenza dei cosiddetti “dipendenti mascherati” e dei rispettivi tratti distintivi.

Hacker malintenzionato
Immagine | Envato Elements

Differenti categorie di utenti

L’insider ignaro non comprende il valore dei propri dati e l’importanza della protezione mediante password, nonostante abbia accesso a preziose informazioni aziendali. I dipendenti che accedono ai dati solo temporaneamente, per reperire informazioni di cui hanno bisogno in un altro contesto aziendale, rappresentano il problema principale. Al contrario, le risorse che gestiscono i dati preziosi in azienda sono, in genere, adeguatamente formate per evitare errori. Ad esempio, Laura gestisce un database che contiene tutti i dati sensibili dei clienti e conosce il valore delle informazioni contenute. Tuttavia, Marco ha bisogno di accedere al database solo per ottenere l’indirizzo di spedizione, poiché lavora nel reparto logistico. Marco avrà gli stessi accessi di Laura al database, ma senza un’adeguata formazione, potrebbe memorizzare inavvertitamente le informazioni sul suo cellulare. Qualora Smarrisse il cellulare, gli accessi potrebbero finire nelle mani sbagliate. I rischi aumentano quando si utilizzano attività di routine come le piattaforme di posta elettronica. La frequenza di utilizzo e la sua trasversalità con tutte le attività lavorative la rendono un facile bersaglio per gli attacchi informatici, sia interni che esterni.

Come avviene nella vita privata, i danni di un comportamento inconsapevole possono variare da lievi a molto gravi, a seconda di quanto l’azienda protegge i propri dati preziosi. I dipendenti che non sono consapevoli della sicurezza informatica, spesso cadono preda di azioni d’ingegneria sociale, ovvero di trappole in cui qualcuno chiede loro informazioni di accesso all’azienda attraverso un messaggio o una e-mail fraudolenta.

Gli insider negligenti possono essere divisi in due categorie: coloro che non sono stati formati correttamente sull’elaborazione dei dati e coloro che violano consapevolmente i controlli per accelerare il lavoro. Alcune procedure di protezione dei dati possono sembrare eccessive, ma sono necessarie per prevenire violazioni di sicurezza. L’omissione di queste procedure può causare danni gravi, che superano di gran lunga qualsiasi beneficio derivato dall’accelerazione del lavoro. Il costo medio causato da un solo insider negligente supera i 300.000 euro.

Ad esempio, Luca lavora come social media manager e utilizza piattaforme per pubblicare e gestire post su più profili aziendali. Per risparmiare tempo, Luca memorizza le sue credenziali e disabilita l’autenticazione a due fattori, che invece serve a identificare chi accede alla piattaforma e prevenire intrusioni indesiderate. Questo comportamento negligente aumenta il rischio di accesso non autorizzato ai profili aziendali e potrebbe compromettere la reputazione dell’azienda.

Il dipendente negligente può comportarsi in modi diversi per facilitare l’accesso non autorizzato ai dati aziendali. Ad esempio, potrebbe non disconnettersi dai sistemi aziendali al termine di sessioni lavorative, consentendo ad altri di accedere ai dati sensibili. In alternativa, potrebbe scrivere le password su un diario elettronico accessibile pubblicamente per risparmiare tempo nella ricerca delle credenziali di accesso. Inoltre, potrebbe utilizzare dispositivi e applicazioni non autorizzati, che riducono i tempi di lavoro ma aumentano il rischio per il sistema informatico dell’azienda.

L’insider malintenzionato agisce con l’obiettivo di danneggiare l’azienda, ad esempio per vendetta o per competizione con colleghi per una posizione di lavoro o una promozione. Questo tipo di dipendente è consapevole del danno che sta causando all’azienda e agisce con intenzione. Possiede già le credenziali di accesso e sa come accedere ai dati sensibili dell’azienda. Utilizzando queste informazioni riservate, l’insider malintenzionato può danneggiare gravemente l’azienda, ad esempio condividendo informazioni confidenziali con i concorrenti o utilizzando tali informazioni per il proprio vantaggio.

Ad esempio, Giorgio, un membro del team di ricerca e sviluppo di un noto produttore di PC, è venuto a conoscenza del fatto che il suo capo vuole licenziarlo dopo il completamento del progetto su cui sta lavorando. Giorgio, in cerca di vendetta, si mette in contatto con la concorrenza e divulga informazioni confidenziali sul progetto. L’azienda concorrente offre a Giorgio un lavoro e un notevole aumento di stipendio in cambio di ulteriori informazioni riservate. Giorgio accetta l’offerta e, dopo il completamento del progetto, viene licenziato dall’azienda originale. L’azienda concorrente utilizza le informazioni riservate per sviluppare un PC con prestazioni simili, saltando la fase di ricerca e sviluppo e riducendo i tempi di commercializzazione. In questo modo, Giorgio ha danneggiato gravemente l’azienda originale e ha favorito il suo nuovo datore di lavoro.

L’insider malintenzionato costituisce un rischio molto elevato in quanto il suo comportamento è intenzionale. La sua azione mira a danneggiare l’azienda attraverso l’eliminazione, il furto o la divulgazione di dati sensibili.

Riconoscere un insider professionista, è un compito difficile poiché questo ha una conoscenza approfondita delle regole del gioco e sa come agire inosservato. Inoltre, l’obiettivo di un insider professionista è spesso molto alto, il che richiede l’elusione di controlli che proteggono i dati dall’accesso non autorizzato sia interno che esterno. Questi individui tendono ad accumulare informazioni nel tempo e a guadagnare la fiducia dei superiori e dei colleghi, spesso iniziando come outsider. Il loro obiettivo finale potrebbe non essere solo personale, poiché possono essere stati incaricati di raccogliere informazioni per aziende concorrenti o per criminali che operano nel dark web.

Un insider professionista può causare danni considerevoli e irreversibili, come ad esempio il furto di brevetti. Una possibile strategia adottata da un’azienda concorrente potrebbe essere l’invio di un insider, infiltrato nella concorrenza per accedere alle informazioni riservate del brevetto e consentire la riproduzione del prodotto o servizio protetto da proprietà intellettuale, apportando lievi modifiche per evitare accuse di plagio. Il furto di dati su commissione rappresenta un rischio molto altro, comunemente associato agli insider professionisti, che possono copiare le informazioni senza attivare gli allarmi di sicurezza e passando inosservati. Il rilevamento di queste attività può essere difficile, poiché, insider di questo genere, sono esperti nel mimetizzarsi e agire senza sollevare sospetti.

Quanto è diffuso il fenomeno

Molte organizzazioni ammettono di non disporre ancora di adeguate misure di sicurezza per rilevare o prevenire attacchi che coinvolgono gli addetti ai lavori.

Questi, possono arrecare danni maggiori degli hacker esterni, poiché hanno un accesso più facile ai sistemi e una maggiore finestra di opportunità. I danni risultanti possono comportare la sospensione delle operazioni, la perdita di proprietà intellettuale, la compromissione della reputazione aziendale, la perdita di fiducia degli investitori e dei clienti e la divulgazione di informazioni riservate a terzi, compresi i media. Si stima che ogni anno si verifichino almeno 90 milioni di attacchi interni, ma il numero reale potrebbe essere molto più elevato, poiché spesso non vengono segnalati. Attualmente, il loro impatto economico ammonta a decine di miliardi di dollari l’anno.

Alcune aziende adottano politiche che limitano l’accesso dei dipendenti a siti Web non correlati al loro lavoro, come social, siti di incontri e siti di scambio files. Tuttavia, i collaboratori dovrebbero avere la libertà di navigare su Internet, mentre le organizzazioni dovrebbero adottare controlli di sicurezza per salvaguardare i propri assets. In questo modo, le aziende stesse potrebbero rilevare eventuali pericoli interni.

Un rischio non percepito

Le minacce interne provengono da persone che sfruttano l’accesso legittimo alle risorse informatiche per scopi non autorizzati e dannosi o che generano involontariamente vulnerabilità. Possono essere dipendenti diretti, dagli addetti di segreteria ai dirigenti, appaltatori o fornitori. Essi possono sottrarre informazioni, interrompere o alterare sistemi informatici e dati senza essere rilevati da normali soluzioni di sicurezza perimetrali, che si concentrano sui punti di ingresso piuttosto che su cosa o chi è già all’interno.

Una minaccia in crescita

La percentuale di attacchi interni continua a crescere a causa di una serie di fattori.

In primo luogo, l’aumento di dimensioni e complessità dei sistemi, che determina maggiori difficoltà di controllo.

Non aiuta neppure che, molti dipendenti, utilizzano dispositivi personali non protetti e che passano inosservati a determinati controlli di sicurezza.

La diffusione dei social media contribuisce a rivelare informazioni aziendali al di fuori del perimetro lavorativo.

Solo nell’ultimo biennio, si è registrato un +30% di attacchi interni.

Persona che guarda un computer
Immagine | Envato Elements

Metodi di contrasto

Per contrastare le minacce interne alle aziende, è fondamentale l’adozione di una serie di misure preventive e di controllo che aiutino a proteggere i dati sensibili e le informazioni riservate. Innanzitutto, è importante investire nella formazione del personale, sensibilizzandolo sui rischi della condivisione di informazioni online e sulle conseguenze negative che un comportamento negligente può avere sulla sicurezza dell’azienda.

In secondo luogo, è necessario stabilire ruoli e autorizzazioni per l’accesso ai dati e ai documenti riservati, utilizzando strumenti di Identity and Access Management (IAM), per assegnare a ciascun dipendente le autorizzazioni specifiche per svolgere le proprie attività. In questo modo, si può evitare che, persone non autorizzate, possano accedere ad informazioni riservate non di propria competenza.

Inoltre, è fondamentale dotarsi di sistemi di sicurezza avanzati, in grado di identificare le minacce interne e prevenire possibili attacchi utilizzando il deep learning. Infine, è importante prestare sempre attenzione ai segnali di allarme generati dalle piattaforme di sicurezza e ai movimenti sospetti, come un consumo anomalo di larghezza di banda o il trasferimento di dati da e per fonti non autorizzate.

Infine, dovrebbero essere adottate politiche di onboarding e offboarding del personale che prevedano ogni aspetto relativo ai ruoli ed alle autorizzazioni di accesso agli assets aziendali.

Proteggere le organizzazioni dalle minacce interne, richiede un approccio olistico e una serie di misure integrate, onerose e complesse da gestire. La mancanza di controlli adeguati costituisce spesso il fattore scatenante degli attacchi. 

Gestione cookie