Il fattore umano nella cybersicurezza: come le persone rappresentano la prima e più efficace difesa a disposizione di un’azienda.
La cybersecurity non è mai stata così preponderante come negli ultimi anni: da un tema tecnico di nicchia ad un argomento che viene citato spesso da ceo, giornali e persino presidenti, con ingenti investimenti che guardano alla difesa dei propri confini, che siano aziendali o nazionali.
NicoElNino/Royalty-free
Per capire quanto vale il mercato della cybersicurezza può essere utile conoscerne le dimensioni: nel 2021, è stato stimato ad oltre 200 miliardi e gli analisti prevedono una crescita fino a quasi 500 miliardi entro il 2030. Queste cifre, come anticipato, vengono spese da aziende e nazioni per proteggere le proprie infrastrutture, così da difendersi da cybercriminali che vogliono sfruttare le debolezze della rete per danneggiare questi enti.
Proteggersi è fondamentale perché i cybercrimes, gli attacchi che vengono lanciati dagli hacker, negli anni non solo si sono moltiplicati a livello di volume, con tassi di crescita a doppia cifra anno su anno, ma anche in termini di “qualità”, ovvero difficoltà nel riconoscimento dell’attacco e gravità delle conseguenze.
Cos’è e perché è importante il fattore umano
PeopleImages/Royalty-free
Nonostante questa crescita, la cybersicurezza è ancora un tema molto poco conosciuto, e spesso considerato unicamente nella sua componente tecnologica. Tuttavia, anche dotarsi delle migliori tecnologie sul mercato non dà la certezza di essere completamente protetti da attacchi esterni, e questo dipende da un fattore fondamentale all’interno della cybersecurity: il fattore umano.
Per “fattore umano” intendiamo tutte quelle situazioni in cui un errore umano comporta il successo di un cyber attacco, e questo avviene più spesso di quanto si pensi. Queste situazioni non sono affatto poche: il 95% dei data breach (violazioni che comportano la perdita o distruzione di dati sensibili) è causato proprio dai dipendenti. In altre parole, 19 security breach su 20 sono causati dalle persone, e non da tecnologie obsolete.
Questi dati dovrebbero farci intuire come i cybercriminali sfruttino le vulnerabilità per rubare credenziali e accedere ai sistemi da cui possono, poi, compiere danni di ogni tipo. In questo contesto, lo smart working ha rappresentato terreno fertile per una certa tipologia di attacchi: l’utilizzo di risorse private per accedere ai sistemi aziendali ha moltiplicato i punti di accesso che gli hacker possono sfruttare per raggiungere l’infrastruttura aziendale, e una semplice svista di qualsiasi utente si può tramutare in una porta aperta per i cybercriminali.
A questo punto, può essere utile ricorrere ad un esempio per capire come tutto questo si traduca nella realtà. Uno dei bersagli più colpiti dagli hacker è rappresentato dalle aziende sanitarie, sia per la quantità di dati sensibili che possiedono, sia per la necessità di essere sempre operativi. Nel 2021, è stato lanciato un attacco alla regione Lazio che ha mandato in tilt i servizi per i privati e per le aziende, tra cui il sistema informatico sanitario e quello della vaccinazione per il covid-19.
Come è potuto succedere? Proprio a causa del fattore umano. Si è scoperto che i cybercriminali sono riusciti a rubare i dati di accesso al sistema di un dipendente, e da questo sono riusciti a bloccare per un mese i servizi del sistema sanitario online, oltre a creare molti problemi per la vaccinazione a causa degli attacchi al database dedicato.
Tipologia e natura dei cyberattacchi
xijian/Royalty-free
Gli attacchi di questa matrice non sono affatto rari, anzi, vengono quotidianamente lanciati in enormi quantità per riuscire a colpire più vittime possibili.
Quando si parla di fattore umano, la tipologia di attacchi più classica che viene lanciata è quella del phishing, ovvero mail o sms che contengono al loro interno link malevoli pensati per rubare le credenziali del destinatario. Nonostante questo metodo sia ben riconosciuto, in moltissimi tendono a cascarci. Questo dipende sia dalla verisimilitudine dei moderni messaggi di phishing, sia dalla disattenzione di molti dipendenti nell’aprire mail e link contenuti in esse: nella vostra esperienza, quante volte vi capita di aprire una mail e cliccare sul link prima ancora di aver finito di leggerla? Spesso non ce ne accorgiamo neppure, magari perché siamo anche all’interno di una call, ma tendiamo a non prestare mai attenzione a tutti quegli indizi che ci permetterebbero di individuare, talvolta con estrema facilità, la natura di una mail compromessa.
Un secondo metodo molto utilizzato è quello dei ransomware, un tipo di virus che si appropria del computer di un utente e lo può bloccare al fine di richiedere un riscatto. I ransomware sono presenti in diversi siti web e possono derivare anche da documenti infetti, per cui è fondamentale navigare solo su siti che risultano sicuri.
Le conseguenze
Le conseguenze dei cyberattacchi legati al fattore umano possono essere delle più disparate tipologie, ma di solito si articolano con un furto di dati sensibili a cui poi segue una richiesta di riscatto. Molto spesso, i sistemi vengono fermati per bloccare completamente l’operatività aziendale. L’impossibilità di utilizzare i propri sistemi si lega spesso a quella di non poter utilizzare, ad esempio, i propri macchinari, e una produzione ferma si traduce in gravi ritardi ed ingenti perdite di fatturato.
Il livello dei cybercriminali è così avanzato che può essere considerato al pari di una piccola azienda: studiano le potenziali vittime, le loro debolezze (tecnologiche e umane), le loro disponibilità economiche e i dati che possiedono. Tutto ciò si traduce in “attacchi personalizzati”, finalizzati ad arrecare il maggior danno possibile per richiedere il più alto riscatto che l’azienda può permettersi.
Come difendersi e proteggere l’infrastruttura
ArtemisDiana/iStock via Getty Images
Se il fattore tecnologico è più intuitivamente risolvibile, il fattore umano della cybersecurity richiede non solo ingenti investimenti in termini monetari, ma soprattutto in termini di capitale sociale. È fondamentale non solo istituire corsi dedicati alla cybersecurity ma, più in generale, creare una cultura aziendale orientata alla cybersicurezza, dove tutti i dipendenti conoscano tutte le minacce che possono colpirli e siano in grado di riconoscerle e difendere se stessi e l’azienda, riportando ad essa tutti gli attacchi che ricevono.
Parallelamente, l’automatizzazione dei processi e l’implementazione di policy dedicate corre in aiuto delle persone, in quanto riduce i rischi che un attacco vada a buon fine. Procedendo per queste due strade, è possibile sostenere il capitale umano aziendale e farlo diventare una barriera contro gli attacchi esterni e una difesa imprescindibile per tutte le aziende.