Utente, anello debole della catena
Se fossimo in guerra dovremmo portare le nostre difese a DEFCON 1 perché gli attacchi informatici sono drasticamente aumentati ed è sempre più necessario difendersi.
Per molti anni gli sforzi per aumentare le difese delle nostre reti informatiche sono stati concentrati su apparati e software che avevano l’unico scopo di proteggere le infrastrutture da attaccanti esterni all’azienda e dagli stessi utenti, da sempre considerai il primo punto di attacco all’azienda. I numeri hanno sempre confermato questa tesi: tuttora le statistiche dicono che la maggior parte degli attacchi informatici provengono da errori e click selvaggi dei nostri utenti.
Quando i sistemi di difesa perimetrale e d’infrastruttura sono arrivati a livelli molto elevati, è stato sempre necessario considerare la fragilità del fattore umano.
Servono procedure che aiutino a limitare o ad eliminare il rischio di un errore umano, serve più consapevolezza ed oggi abbiamo queste procedure: (DevSecOps, Awarness, ecc). Il tessuto italiano è ancora un po’ acerbo per questi argomenti, soprattutto la PMI, ma pian piano si stanno facendo spazio. La cosa più importante è agevolare un cambio di paradigma e trasformare l’utente da anello debole della catena della sicurezza a primo difensore dell’azienda.
Cambi di paradigma
Far acquisire una maggiore consapevolezza sui rischi informatici è, non sono un plus per l’azienda, ma deve diventare sempre di più uno stile di vita anche dentro le quattro mura domestiche, anche perché la tecnologia non è più legata al mondo dell’ufficio ma sempre di più sta entrando dentro le nostre case e dentro la nostra vita, minando non solo la nostra privacy ma anche la nostra sicurezza e la sicurezza dei nostri cari.
Del resto i numeri parlano chiaro, l’aumento dei dispositivi Smart Home è indiscutibile e sempre di più stiamo connettendo la nostra vita privata al mondo e quindi agli attaccanti.
La superficie di attacco per il cybercrime negli ultimi anni è aumentata vertiginosamente e, se mentre in ufficio abbiamo le protezioni tecnologiche, spesso in casa non abbiamo le stesse protezioni senza contare che la quarantena del Covid con il remote working o lo smart working ha evidenziato questo GAP e i danni sono stati netti ed indelebili per molte aziende che si sono viste attaccate da un’ondata di malware e ransomware provenienti dai PC “BYOD” dei propri dipendenti.
Diamo agli utenti Know How per poter discriminare un comportamento sicuro da uno poco sicuro: questo aumenterà il livello di sicurezza esponenzialmente.
Privacy e Social Engineering
Diventare più consapevoli dei rischi si trasforma quindi in un obbligo morale ed etico, per la nostra privacy, per la nostra famiglia e per il nostro lavoro: solo così possiamo affrontare la terza guerra mondiale che si sta combattendo da alcuni anni, siamo tutti chiamati alle armi e non è più giustificata l’ignoranza e la non conoscenza dei rischi.
Ci sono 3 generazioni che oggi usano sempre di più la tecnologia; sui socialnetwork troviamo i nonni, i genitori e i ragazzi ognuna di queste generazioni ha conoscenze e metodi di apprendimento diversi, per questo, noi addetti ai lavori dobbiamo il dovere di aiutare il popolo tecnologico ad avere una maggiore consapevolezza e conoscenza.
Gli attaccanti fanno sempre più leva su quei meccanismi psicologici per indurre l’utente a cadere nelle loro trappole, installare malware o RAT, rubare credenziali o prendere possesso delle informazioni personali o dei dati. Il nemico è in agguato, invisibile, bravo e ben foraggiato economicamente e ha risorse e tempo.
Le best practices non mancano ed ormai le conosciamo tutti:
- Verificare la sicurezza dei dispositivi
- Verificare le connessioni che utilizziamo
- Usare password complesse e diverse o MFA
- Non comunicarle a nessuno
- Stare attenti alle email e agli allegati che apriamo
- Non raccogliere penne USB apparentemente perse
- E tante altre
Le regole di base si conoscono benissimo ma spesso non vengono adottate per pigrizia o per negligenza e queste sono le best practices “TECNOLOGICHE”, ogni tanto penso alle raccomandazioni dei miei genitori quando ero adolescente:
- Non dare confidenza agli estranei
- Non accettare cibo o caramelle da chi non conosci
- Stai attento a dove metti i piedi, a dove vai e a quello che fai
Devo dire che le raccomandazioni di una volta se usate anche oggi darebbero comunque ottimi risultati anche in ambiente informatico. Il problema è che anche se le conosciamo non sempre le mettiamo in pratica.
L’espressione inglese “curiosity killed the cat” corrisponde a quella italiana “tanto va la gatta al lardo che ci lascia lo zampino” ma il senso è lo stesso e mai come ora è di attualità, il Cyber Crime sfrutta da anni e continua a farlo questa massima: la email da un mittente autorevole, la notizia del momento, il documento allegato, la penna USB per terra, ecc. ecc. tutte queste tecniche fanno leva sulla nostra curiosità e sulla nostra impulsività, scommettendo sulla nostra prontezza di riflessi incondizionati che spesso ci hanno indotto in errore e continua a farlo.
Think before click
Cerchiamo di riprenderci la nostra privacy di condividere sempre di meno perché ogni cosa può essere usata contro di noi, un hobby può diventare la nostra password, il PHISHING e il SOCIAL ENGINEERING è diventato un vettore, se non il vettore, più usato dagli attaccanti (+81,9% rapporto Clusit 2020).
Queste tecniche sfruttano le debolezze umane come la curiosità e la nostra impulsività; gli attacchi sono diventati sempre più psicologici (vedi Covid-19) quindi dobbiamo rendere le nostre menti e la nostra consapevolezza più sicura e l’unico modo è “THINK BEFORE CLICK”.
Ottieni il controllo della sicurezza aziendale attraverso un percorso consapevole.