I Fattori Umani, una risorsa per la gestione della sicurezza informatica

I Fattori Umani, una risorsa per la gestione della sicurezza informatica

A fine marzo Trenitalia ha subito un attacco informatico. Tabelloni degli orari dei treni e biglietterie automatiche sono stati messi fuori uso in diverse stazioni da un cryptolocker, un tipo di ransomware che cripta i dati e richiede un pagamento per “liberarli”. Sul caso stanno indagando Polizia Postale e Procura di Roma: dietro l’attacco c’è forse la gang russa Hive ma nessuna motivazione geopolitica legata alla guerra in Ucraina; bensì economica, vista la richiesta di dieci milioni di dollari per decriptare i dati (cifra raddoppiata dai cybercriminali dopo la pubblicazione su Telegram delle credenziali per accedere alla chat con Trenitalia in cui venivano discussi i termini del riscatto). Hive ha hackerato il sistema grazie a un errore umano; eppure non parliamo di un capolavoro di ingegneria informatica, ma di un cryptolocker, uno dei ransomware più “anziani” e conosciuti. Rognoso sì, ma nulla che non si possa evitare con un po’ di attenzione e cultura della sicurezza informatica, che soprattutto in Italia è raro trovare nelle istituzioni quanto nelle imprese, grandi, medie e piccole.

 

Tanti problemi, qualche buona notizia

«Il caso Trenitalia dimostra quanto la sicurezza informatica sia sottovalutata dalle aziende; non solo le più piccole, che potrebbero avere problemi di budget per assumere personale dedicato alla protezione dati, affidarsi a fornitori esterni o sottoscrivere una cyber insurance, ma anche le più grandi e strutturate» dice Andrea Capaccioli, esperto di sicurezza informatica e Fattori Umani (HF) in Deep Blue. «Eppure le violazioni informatiche hanno enormi conseguenze, in termini economici (nel 2020, a livello globale, il cybercrime è costato 945 miliardi di dollari, cifra più che triplicata dal 2013, ndr.), di reputazione e competitività». A riguardo, il progetto Hermeneut, interamente finanziato dall’Europa nell’ambito di Horizon 2020 con Deep Blue tra i partner del consorzio, ha sviluppato uno strumento che supporta le aziende nel prevedere tipologia e possibile provenienza degli attacchi informatici, nell’identificare gli asset a rischio e la portata delle conseguenze economiche. Il tutto per poter mettere in atto strategie di prevenzione e protezione informatica personalizzate.

Eppure qualcosa si muove, anche a fronte del disastroso bilancio di due anni di pandemia: il ricorso massiccio ed emergenziale al telelavoro e il conseguente minor presidio degli uffici, infatti, hanno fatto salire gli attacchi informatici del 238%. Nel 2021, secondo uno studio condotto dall’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, il mercato della cybersecurity ha raggiunto in Italia il valore di 1,55 miliardi di euro, un + 13% rispetto all’anno precedente. Certo, siamo ancora ultimi tra i paesi del G7 per rapporto tra spesa in cybersecurity e PIL (0,08%), ma siamo tra i pochissimi che nell’ultimo anno non hanno tagliato i fondi dedicati al settore. La sicurezza informatica è anche dentro il PNRR, che prevede un investimento di 623 milioni di euro per «rafforzare le difese dell’Italia contro i rischi derivanti dalla criminalità informatica, a partire dall’attuazione di un Perimetro di Sicurezza Nazionale Cibernetica (PSNC) tramite il rafforzamento delle capacità tecniche nazionali di difesa cyber in materia di valutazione e audit continuo del rischio». Nell’ambito della mission è stata istituita un anno fa l’Agenzia per la cybersicurezza nazionale (ACN), ancora non pienamente operativa in verità, analoga dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA) che monitora e implementa sicurezza informatica e delle reti di telecomunicazioni.

 

L’uomo, da problema a risorsa: prevenire i comportamenti rischiosi cambiando la cultura organizzativa

In questa “primavera” della sicurezza informatica, un dato è particolarmente interessante: il 54% delle imprese crede sia necessario formare il personale sui comportamenti da adottare per abbassare il rischio informatico (Osservatorio Cybersecurity & Data Protection). Su questo tema, assieme a un gruppo di colleghi, Andrea Capaccioli ha firmato il white paper Human Affected Cyber Security (HACS) Framework pubblicato dal Chartered Institute of Ergonomics & Human Factors che si occupa di promuovere i Fattori Umani anche nell’ambito della cybersecurity. «Tecnica e tecnologia sono certamente pilastri della sicurezza informatica, ma non dimentichiamoci che l’uomo è l’ultimo controllore del sistema e un suo comportamento sbagliato, intenzionale o no, può aprire un varco nelle difese a prescindere da quanto sia sofisticato tutto l’apparato tecnologico – spiega Capaccioli – è sul fattore umano che bisogna intervenire, con l’opportuna formazione dei dipendenti, con la riorganizzazione degli impianti organizzativi e procedurali, per esempio semplificando e rendendo chiari regole e processi. Senza integrare i Fattori Umani alla gestione della sicurezza informatica non si va da nessuna parte, lo dicono i dati: il 95% delle violazioni nasce proprio da un errore umano».

Come quello che probabilmente ha permesso agli hacker di attaccare il Ministero della transizione ecologica. Pare si tratti di un malware precursore, inoculato nell’ente già da marzo con una campagna di malspam (invio di email di SPAM per diffondere malware attraverso posta elettronica). I malware precursori sono programmi che si infiltrano nel sistema per “studiarlo dall’interno” e raccogliere un po’ di informazioni, per esempio dove sono i dati sensibili e quali le vulnerabilità in termini di sicurezza, prima di sferrare il vero attacco di tipo ransomware.

«Gli attacchi informatici non sono mai istantanei – continua Capaccioli – gli hacker non sfruttano immediatamente la breccia aperta, prendono tempo per posizionarsi, studiare l’infrastruttura e poi, dopo aver analizzato rischi e sistemi di sicurezza, attaccano. Questo significa che l’azienda o l’ente pubblico hanno tempo per scoprire l’intrusione e neutralizzare l’attacco prima che ci sia una reale compromissione dei dati». Aprire link da email sospette o scaricare allegati da mittenti sconosciuti (come sembra sia stato il caso del Mite) sono comportamenti rischiosi legati a un uso improprio della tecnologia, che nascono da cause individuali (per esempio non saper riconoscere email sospette) e organizzative (per esempio troppe mail da leggere o un’inefficace protezione anti-virus). Un altro comportamento rischioso molto comune riguarda la scelta delle password, come ricorda Capaccioli: «In Gran Bretagna, in piena pandemia, molte strutture sanitarie e per la ricerca medica sono state prese di mira da una massiccia campagna di password spraying, attacco informatico che consiste nell’usare password comuni per tentare di accedere a più account dello stesso dominio. Una tecnica non particolarmente sofisticata ma di successo, a dimostrazione della vulnerabilità delle password, spesso scelte dalle persone per essere facilmente memorizzabili e quindi “deboli”, e della necessità di affiancarvi altri metodi di autenticazione, come per esempio quelli biometrici».

«I comportamenti rischiosi dipendono sempre da cause individuali come personalità, scarsa conoscenza dei rischi informatici, poche capacità di decision-making – continua l’esperto di HF e cybersicurezza – ma spesso la radice di queste stesse cause è nella cultura organizzativa dell’ente o azienda che non mette i dipendenti nelle condizioni di poter riconoscere un rischio informatico, magari perché non sono stati opportunamente formati, oppure perché le procedure da seguire sono complesse e incoraggiano “scorciatoie” del tipo scambiare password tra colleghi o scaricare dati su device personali, o ancora perché si premia la produttività individuale anche a scapito della sicurezza informatica. Lo Human Affected Cyber Security (HACS) Framework che presentiamo nel paper collega proprio i comportamenti di rischio umani a cause organizzative, procedurali e di cultura societaria, spiegando che intervenendo su queste è possibile abbattere gli errori umani. Per esempio, monitorare e gestire gli incidenti informatici, invece di tenerli nascosti anche ai dipendenti come talvolta accade, aiuta a gestire crisi future e rispondere in maniera efficace a una violazione in corso, la cosiddetta resilienza».

Anche un cyberattacco che arrivi dall’interno, deliberatamente sferrato, può essere prevenuto con opportune strategie. Nel 2020 uscì la notizia che per due anni due dipendenti di Leonardo (tra cui un ex responsabile della cybersecurity) avevano rubato segreti militari: 100.000 file di gestione amministrativo-contabile e progetti  di componenti aeromobili civili e velivoli militari destinati al mercato italiano e internazionale. «Un’azienda deve avere procedure di sicurezza che limitino gli intenti malevoli interni – spiega Capaccioli – per esempio favorire una cultura organizzativa in cui le attività sospette vengono riportate, anche in forma anonima, o sviluppare modelli tecnologici per avere i giusti livelli di accesso ai dati, perché se un dipendente non ha bisogno di accedere a determinate informazioni non deve tecnicamente poterlo fare».

 

Regolamenti e certificazioni

È pur vero che non esistono obblighi di legge per la sicurezza informatica, anche se organizzazioni come ENISA offrono modelli di valutazione del rischio e raccomandazioni (soprattutto tecniche) per aumentare la cybersicurezza del proprio ente o azienda. C’è comunque il GDPR (General Data Protection Regulation) entrato in vigore nel 2018 per tutelare i cittadini, che vincola le aziende e le pubbliche amministrazioni a gestire i dati personali dei propri clienti, utenti e dipendenti con il consenso all’utilizzo, e prevede tutta una serie di procedure da seguire in caso di data breach, pena sanzioni economiche anche considerevoli. Il GDPR esige l’adozione di misure tecniche e organizzative a protezione dei dati trattati (senza però specificare quali), aprendo così alla necessità di adeguare il proprio sistema di gestione della sicurezza dei dati e delle informazioni ai rischi individuati.  «Per i controlli di sicurezza uno degli standard principali è l’ISO/IEC 27001 sui sistemi informativi. È uno standard altamente riconosciuto, tant’è che in molti casi le aziende ne richiedono implementazione e certificazione anche ai fornitori con cui lavorano – conclude Capaccioli – la certificazione prevede una lunga lista di controlli, da valutare e scegliere in base al profilo dell’azienda, da introdurre o ottimizzare per migliorare la gestione della sicurezza delle informazioni e dei dati. In Deep Blue organizziamo corsi per la certificazione da Lead Implementer che consente a chi la riceve di lavorare per un sistema di gestione della sicurezza delle informazioni che rispetti lo standard ISO/IEC 27001. Siamo inoltre attivi con un corso di alta formazione sulla cultura della cybersecurity con il patrocinio del Center for Cyber Security and International Relations Studies dell’Università di Firenze».

A conti fatti, quindi, gli strumenti e le strategie per gestire e aumentare la sicurezza informatica non mancano; manca forse la piena consapevolezza di quanto sia importante e necessario iniziare a metterli in atto. Non solo per le aziende, ma anche per gli enti pubblici e le istituzioni, come purtroppo prima la pandemia (con gli innumerevoli attacchi sferrati a università, centri di ricerca e strutture sanitarie coinvolte nella lotta al Covid-19) e ora la guerra in Ucraina insegnano.

Corso sui Fattori Umani per la Cybersecurity

Migliorare la sicurezza informatica analizzando le possibili azioni mitiganti legate a comportamenti, procedure e strumenti di lavoro.

Parla con noi