A cura di Adenike Cosgrove Cybersecurity Strategy, International Proofpoint
Il 2020 è stato un anno intenso per i criminali informatici qualunque sia la metrica di valutazione utilizzata. Tra i disagi legati alla pandemia di COVID-19 e le minacce sempre più sofisticate, molte più aziende sono state prese di mira da attacchi informatici comuni.
Il report State of the Phish 2021 di Proofpoint rivela che lo scorso anno il 57% delle aziende ha subito un attacco di phishing andato a buon fine. Le conseguenze sono state disastrose. Quasi due terzi delle aziende hanno subito una perdita di dati, mentre la metà ha subito una violazione dell’account o delle credenziali d’accesso.
Pur non essendo una nuova minaccia, il ransomware ha continuato a creare disagi nel 2020. Anche se la prevalenza degli attacchi era simile a quella degli anni precedenti, un maggior numero di aziende ha accettato di pagare un riscatto. Sfortunatamente, non sempre hanno ottenuto i risultati desiderati.
Dei due terzi delle aziende che hanno subito un attacco ransomware lo scorso anno, la metà ha deciso di pagare il riscatto. Solo il 60% ha riottenuto l’accesso ai propri dati dopo il primo pagamento. Gli altri hanno ricevuto ulteriori richieste di riscatto o non hanno ricevuto alcuna risposta.
Il fatto che vecchie tecniche come il phishing e il ransomware siano ancora così temibili ed efficaci dovrebbe preoccupare i team della sicurezza informatica. Sebbene sia evidente che la pandemia ha avuto un impatto sui tassi di successo degli attacchi informatici lanciati lo scorso anno, il problema è ben più ampio.
Di gran lunga più preoccupante è l’aumento di minacce moderne sempre più mirate e verosimili. I criminali informatici colpiscono sempre di più le persone, piuttosto che le reti o le infrastrutture.
E mentre le soluzioni di protezione tecniche si stanno evolvendo rapidamente, la sensibilizzazione degli utenti non è ancora adeguata. Finché questa sarà la situazione, a che serve chiudere la porta se si lascia la finestra spalancata?
Rafforzare la consapevolezza
La consapevolezza degli utenti è lo strumento più importante nel tuo arsenale di protezione contro le minacce informatiche, ed è fondamentale come qualsiasi controllo o protezione tecnica. Nonostante ciò, raramente riceve lo stesso livello di attenzione e di risorse.
Quasi il 100% delle aziende intervistate dispone di un programma di formazione sulla sicurezza. Tuttavia, questa cifra non è così positiva come sembra.
Quasi la metà di queste aziende organizza corsi di formazione di sensibilizzazione alla sicurezza non più di quattro volte all’anno, per una durata, nella maggior parte dei casi, di non più di due ore. A peggiorare la situazione, solo la metà offre formazione a tutti i dipendenti e solo il 60% organizza sessioni di formazione formali (di persona o online).
Questa mancanza di formazione completa si riflette nel livello di consapevolezza degli utenti. Mentre gli attacchi su larga scala fanno regolarmente notizia, potresti essere sorpreso di sapere che solo il 33% degli utenti comprende correttamente la definizione di ransomware. Altrettanto preoccupante il fatto che il 65% e il 63% comprende i termini malware e phishing, rispettivamente.
Se questo fatto può sembrare inconcepibile ai professionisti della cybersecurity, questi numeri evidenziano l’abisso tra la conoscenza e la comprensione.
I tuoi utenti potrebbero aver sentito parlare di persone e marchi di fama mondiale che sono state vittime di attacchi di phishing o di ransomware, senza comunque comprenderne i meccanismi o il ruolo che loro stessi hanno nella protezione della tua azienda contro queste stesse minacce.
Per colmare tali lacune, i programmi di sensibilizzazione alla sicurezza informatica devono andare oltre i principi di base delle minacce comuni e formare gli utenti affinché si assumano la responsabilità in merito alla cybersecurity.
Identificare i VAP
Per garantire una migliore protezione, devi prima identificare gli obiettivi degli attacchi. Una volta stabilito quali sono gli utenti più a rischio, puoi fornire loro una formazione appropriata. Proofpoint definisce questi utenti VAP (Very Attacked People ovvero le persone più attaccate).
Non lasciare che preconcetti ti impediscano di identificare i tuoi VAP. I VAP possono ricoprire qualsiasi posizione a qualsiasi livello della tua azienda. Mentre gli attacchi ai VIP, come i membri del consiglio di amministrazione, possono essere più redditizi, i criminali informatici spesso prendono di mira i dipendenti ai livelli più bassi nella gerarchia. Inoltre, i VAP variano in modo significativo tra le aziende e i settori di attività.
In un esempio recente, Proofpoint ha scoperto che i primi 20 VAP di una grande struttura sanitaria erano anche VIP. Al contrario, in un istituto finanziario, solo un VIP è stato preso di mira nello stesso periodo di tre mesi.
Questi sono solo due esempi. Come per la formazione di sensibilizzazione alla sicurezza informatica, l’identificazione dei VAP è un’attività da svolgere con regolarità, poiché l’elenco degli utenti più colpiti varia di mese in mese.
Una volta identificati i tuoi VAP, puoi valutare il loro livello di consapevolezza della sicurezza informatica. Queste informazioni ti permetteranno di sviluppare programmi di formazione su misura che prendono in considerazione il profilo di rischio di ciascun utente per affrontare le principali lacune.
Questo è ciò che definiamo cybersecurity incentrata sulle persone. Spesso rappresenta l’unica barriera tra i criminali informatici e i tuoi dati, le tue reti e i tuoi sistemi.
Creare una difesa incentrata sulle persone
I criminali informatici sono pronti a tutto per attaccare la tua azienda. Se non mostri la stessa determinazione nel difenderti, avranno sicuramente la meglio.
I controlli tecnici, i processi e le best practice non sono sufficienti. Il comportamento degli utenti è il principale fattore di rischio per le aziende di oggi. Cambiare questo comportamento è perciò fondamentale per creare robuste difese informatiche.
Per farlo, è imperativo creare una cultura in cui la cybersecurity non è una responsabilità solo del team IT ma è responsabilità di tutti. Questa cultura è alimentata da corsi di formazione di sensibilizzazione contestualizzati regolari, fatti su misura per i tuoi utenti, basata sulla threat intelligence in tempo reale e che tenga conto del panorama delle minacce in costante evoluzione. Più informazioni hai sugli attacchi che colpiscono la tua azienda, maggiore sarà il livello di personalizzazione dei tuoi corsi di formazione.
Non formi i tuoi utenti semplicemente per poter spuntare una casella sul tuo elenco di attività. Insegni loro a difendere la tua azienda. Il tuo programma di formazione e di sensibilizzazione alla sicurezza informatica deve riflettere questo obiettivo. Non deve limitarsi alle definizioni dei dizionari e a delle simulazioni di attacchi. Deve concentrarsi sul comportamento degli utenti e su come questo può aumentare i rischi. Per migliorare la partecipazione degli utenti, puoi anche coinvolgerli a livello tecnico.
Quando gli utenti comprendono il collegamento tra il riutilizzo di una password e la violazione dei dati, o il fare clic su un link inviato da un mittente sconosciuto e il ransomware, il loro comportamento cambia: l’80% delle aziende afferma che la formazione di sensibilizzazione alla sicurezza informatica ha ridotto la loro vulnerabilità agli attacchi informatici.
La cybersecurity non è più solo una materia tecnica. Nell’era degli attacchi focalizzati sulle persone, conoscenza e consapevolezza sono fondamentali. Maggiore è il livello di conoscenza dei tuoi utenti, più possono contribuire a proteggere l’azienda.