Fattori umani e strategie organizzative nella cybersecurity

Fattori umani e strategie organizzative nella cybersecurity

I fattori umani vengono comunemente considerati l’anello debole della cybersecurity. Se però allarghiamo lo sguardo, vediamo che le carenze in materia di sicurezza informatica riguardano l’intera struttura di un’azienda. Per aumentare il livello di sicurezza è quindi necessario agire su più fronti: vediamo quali.

4 febbraio 2018: l’account Twitter @AnonPlus_Info vìola il sito internet del Partito Democratico di Firenze e sottrae i dati di tutti gli iscritti: nomi, cognomi, numeri di telefono e indirizzi dei tesserati vengono resi pubblici, inclusi quelli del segretario Matteo Renzi (i dati sono vecchi e risalgono a quando era ancora Sindaco di Firenze).

null

 

2 agosto 2017«Voglio mettere in chiaro fin da subito una questione: questo non è un attacco politico». A parlare è l’esperto di sicurezza informatica che si cela dietro lo pseudonimo @evaristegal0is, che segnala sulla pagina #Hack5Stellele numerose vulnerabilità di Rousseau, il portale del Movimento 5 Stelle (M5S).

null

Evariste Gal0is è un white hat, un “hacker etico”, la cui attività mira alla verifica della sicurezza di una rete e dei sistemi che la compongono e alla protezione della privacy dei cittadini. La sua azione contro Rousseau è puramente dimostrativa, “un avvertimento sul rischio di una perdita di dati e il diritto degli utenti a sapere di ciò”, seguita da alcune FAQ per la messa in sicurezza dei dati sensibili, rivolte sia ai gestori, sia agli utenti iscritti al portale.

Dopo appena 24 ore i tecnici informatici di Rousseau ritengono di aver messo in sicurezza il sito. È Beppe Grillo a dare la notizia, però subito smentita dai fatti:

null

Rogue0, a differenza di Evariste Gal0is, è un black hat, un hacker malintenzionato che vìola sia la piattaforma del Movimento 5 Stelle, sia il blog beppegrillo.it, e si appropria dei dati degli utenti iscritti (nomi, cognomi, date di nascita, indirizzi, quote donate, password).

Rogue0 rende pubblica solo una parte di questi dati e mette in vendita il pacchetto completo; la sicurezza di decine di migliaia di iscritti ai portali è così a rischio. Tuttavia, a lasciare basiti è un errore di sicurezza grossolano dei tecnici informatici: le password salvate nel database di beppegrillo.it non sono criptate ma salvate in “chiaro”. E non va molto meglio con quelle conservate nel database di Rousseau, “criptate con un sistema obsoleto e facilmente craccabile che risale alla preistoria informatica: Crypt(3)”. Parola di Evariste Gal0is.

La tecnica di attacco

In entrambi i casi la tecnica utilizzata dagli hacker si chiama SQL Injection(SQLI). Si tratta della tecnica di attacco più diffusa, che inietta del codice malevolo all’interno di alcuni campi di input dei siti presi di mira (ad esempio i form per il login) sfruttando le vulnerabilità di sicurezza di alcune applicazioni server. La SQLI non è una tecnica particolarmente sofisticata: sono proprio le carenze in materia di sicurezza informatica che la rendono così diffusa ed efficace. Dal 2013 l’Open Web Application Security Project considera la SQLI la numero uno tra le minacce informatiche.

null

I casi di studio

#Hack5Stelle è uno dei numerosi casi che abbiamo analizzato nel progetto di ricerca Hermeneut, del programma europeo Horizon2020. Ci siamo concentrati sull’analisi di due diversi aspetti che possono favorire o determinare una vulnerabilità informatica.

Il primo riguarda i fattori umani e i comportamenti individuali all’interno di un’organizzazione: c’è una consapevolezza diffusa dei rischi e vengono rispettate le regole di sicurezza? Quali regole vengono violate più spesso e perché?

Il secondo aspetto riguarda invece i fattori organizzativi: determinate circostanze lavorative quanto possono influenzare i comportamenti individuali e aumentare il rischio di violazione delle regole?

L’analisi di questi due fattori è stata poi integrata da una valutazione economica del rischio, per informare aziende, assicuratori, politici e istituzioni sulle contromisure più efficaci ed economicamente sostenibili da proporre ed implementare.

Il caso #Hack5Stelle mostra numerose lacune tecniche che hanno spianato la strada all’attacco. Di alcune abbiamo già parlato, altre riguardano il certificato SSL (Secure Sockets Layer), non aggiornato e quindi obsoleto. L’aggiornamento del certificato SSL è indispensabile per rendere sicuro il protocollo HTTPS, che garantisce che il sito web raggiunto sia effettivamente quello desiderato, e non un potenziale “clone” inaffidabile o non sicuro per l’utente. Questo protocollo è essenziale per mantenere sicuri i dati sensibili, quali dati personali o finanziari. Mentre scriviamo questo articolo, il sito www.beppegrillo.it continua ad essere identificato come non sicuro: questo significa che il sito adotta un basso livello di crittografia che rende più probabile il successo di un attacco, con conseguente potenziale fuga di dati sensibili o “furti d’identità”.

null

Le vulnerabilità nell’accesso ai database SQL tramite injection e l’aggiornamento del certificato SSL non sono le uniche debolezze della piattaforma del M5S svelate dall’hacker Evariste Gal0is. Al momento dell’iscrizione, infatti, il sistema obbliga a scegliere password lunghe al massimo 8 caratteri, una grave limitazione che rende insicure le parole chiave scelte dagli utenti. Il sito #Hack5Stelle svela la tecnica per scovare password di questo tipo: “Sapendo che la lunghezza massima è di soli otto caratteri e che le date di nascita nel formato giorno/mese/anno sono lunghe esattamente otto cifre è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999”.

Con il programma John The Ripper, scaricabile gratuitamente da chiunque, l’hacker è riuscito così a craccare in sole 21 ore 136 password su un campione casuale di 2157 utenti. Un rate positivo del 5,4 %, assolutamente non trascurabile ad esempio durante le votazioni online, la cui validità potrebbe essere inficiata da un attacco simile.

Le statistiche

“L’anello debole della cybersecurity è il fattore umano”. Basta fare una ricerca in rete per trovare decine di articoli che ripetono questa frase come una litania. E in effetti le statistiche mostrano che circa il 95% degli attacchi informatici dipende da vulnerabilità causate da errori umani. Sono infatti le persone ad abboccare alle campagne di phishing, a scegliere password troppo semplici, a lasciare gli smartphone incustoditi e privi di password, ad usare per tutti gli account sempre la stessa password salvandola nel browser, e a frequentare siti pericolosi e ad alto rischio di malware, come i siti di video streaming; tutti comportamenti che possono facilmente aprire le porte delle reti e dei database aziendali agli hacker, con conseguenze pericolose.

Ma cosa significa esattamente? Che gli attacchi informatici sono quasi sempre provocati dalle negligenze delle persone? Che basterebbe sostituire l’uomo con macchine autonome per abbattere i rischi? Le cose non stanno proprio così e una simile lettura dei rischi che il fattore umano apporta alla cybersecurity rischia di essere superficiale e di impedire di individuare il vero problema e le giuste contromisure agli attacchi.

All’interno di una struttura organizzativa altamente complessa, che lega tra loro aspetti tecnici e tecnologici e fattori umani e organizzativi, come si comportano le organizzazioni? Molto male, a leggere le statistiche.

La survey globale della società di consulenza EY rivela che oltre il 60% delle aziende di tutto il mondo si sente più a rischio di attacco informatico rispetto a un anno fa, ma solo il 12% ha i mezzi e le contromisure necessarie per accorgersi di un attacco. Questo perché le risorse che le aziende destinano alla sicurezza informatica sono ancora largamente insufficienti. L’indagine, presentata alla ventesima edizione della EY Global Information Security Survey, è stata condotta su un campione di circa 1200 top manager delle più grandi aziende mondiali. Ne emerge un dato preoccupante: solo il 4% delle organizzazioni monitora in modo appropriato i rischi rilevanti in tema di minacce e vulnerabilità. Mancano non soltanto i finanziamenti, ma soprattutto una strategia organizzativa, mentre come abbiamo visto gli attacchi informatici di maggior successo continuano ad utilizzare metodologie classiche che sfruttano vulnerabilità note.

Neppure l’Italia esce bene dal rapporto di EY: il 61% dei top manager intervistati non ha un programma di intelligence per prevenire possibili minacce esterne, il 58% segnala un livello di protezione dati non adeguato e il 71% lamenta una scarsa formazione aziendale riguardo la sicurezza informatica. E in caso di attacco, il 63% dichiara di non avere una strategia di comunicazione prestabilita, né un piano di recupero in caso di perdita o sottrazione di dati.

Manca quindi una diffusa cultura della gestione del rischio, di analisi delle risorse interne, di osservazione delle procedure di sicurezza. L’analisi di questi dati rovescia la tesi che il solo anello debole della cybersecurity sia il fattore umano: piuttosto, è necessario inquadrare gli errori individuali in un sistema altamente complesso, che presenta falle e carenze di sicurezza su molteplici fronti. Il punto è quindi agire parallelamente su tutti i fronti, certamente per ridurre l’incidenza degli errori umani ma agendo preventivamente su tutto l’impianto tecnologico, organizzativo, informativo e decisionale.

Cosa puoi fare per metterti al sicuro

Bastano poche azioni per aumentare la sicurezza informatica della tua azienda.

“Knowledge is power”: come prima cosa, pianifica della buona formazione per dipendenti e collaboratori sui principi della sicurezza informatica ed effettua una valutazione periodica dei rischi.

Più le cose sono semplici, più sono sicure. Politiche e procedure di sicurezza complesse e poco chiare è più facile che non vengano rispettate (e se invece non esistono, ancora peggio…). Ridefinirle in modo semplice ma efficace è un primo passo affinché tutti possano rispettarle.

Sicuri si, ma assicurati è meglio. Se ritieni che la tua azienda sia particolarmente esposta agli attacchi informatici e ciò che devi proteggere è molto importante da un punto di vista economico, allora una buona soluzione potrebbe essere la stipula di una polizza assicurativa contro i cyber-crime.

Rimani sempre aggiornato! Proteggi i dati dell’azienda da virus, spyware e altre minacce online con i migliori software e aggiorna sempre i firmware degli apparati di rete, i sistemi operativi e tutte le applicazioni.

Occhio alle password! Tutti noi gestiamo decine e decine di account e ognuno di questi necessita di una password. Sceglierne una uguale per tutti, semplice o complessa che sia, è una scelta ben poco sicura. Altrettanto pericoloso è chiedere ad un browser di salvare tutte le password, non fatelo! D’altro canto, ricordarsi decine di password complesse è pressoché impossibile. E allora? Affidatevi a dei gestori di password come LastPass o 1Password e il problema sarà risolto.

E se succede…mitigare il danno

Tutte le aziende sono potenzialmente esposte al rischio di attacchi informatici e dovrebbero adottare fin da subito queste contromisure semplici ma che possono fare la differenza. Per evitare, ad esempio, quanto accaduto meno di un anno fa con WannaCry, l’attacco ransomware planetario che ha causato gravi danni sui network aziendali sfruttando versioni non aggiornate del sistema operativo Windows.

Allo stesso tempo, però, non siamo gli unici a ritenere che un livello di protezione totale non sia raggiungibile, e che le sole misure tecnologiche non siano sufficienti a prevenire gli attacchi che in futuro certamente ci saranno.

“Some attacks will get through. What you need to do [at that point] is cauterise the damage” ha recentemente dichiarato Ciaran Martin, il capo del National Cyber Security Center del Regno Unito, che parlando del rischio di un grave attacco informatico ha aggiunto “I think it is a matter of when, not if and we will be fortunate to come to the end of the decade without having to trigger a category one attack”.

A quel punto, posti di fronte a un attacco, bisognerà ridurre il più possibile il danno, con efficaci e opportune strategie di recupero che ancora troppo spesso mancano alle aziende.

P.S.

Proprio quando siamo in chiusura di questo articolo ci arriva la notizia che (per par condicio?) anche l’account Twitter di Matteo Salvini è stato hackerato, e sembra che siano stati prelevati i database delle sue conversazioni di Telegram.

null