Il 75% delle violazioni ai dati delle imprese deriva dai dipendenti

Cybercrime: un nuovo tipo di reato che, nella nostra società altamente informatizzata, tutti abbiamo ormai imparato a conoscere e a temere. Si tratta però di una minaccia ancora sconosciuta, soprattutto in termini di barriere di difesa: le aziende rafforzano i firewall per evitare attacchi esterni, ma spesso non sanno che il più delle volte il pericolo si cela tra le mura dell’impresa stessa. Secondo i recenti dati del report “The Unusual Suspects” di Kroll, società globale di corporate intelligence, infatti, nel 75% dei casi di violazione dati all’interno dell’azienda, il responsabile è un dipendente. Non si deve però pensare automaticamente all’impiegato rancoroso, con mire di vendetta nei confronti dell’impresa: il 57% dei casi di violazioni di dati avviene per sbaglio, si tratta di un incidente, e non è voluto né premeditato. In questi casi, naturalmente, non si può parlare di cybercrime: è un pericolo più sottile e altrettanto preoccupante.

L’attacco hacker non è quindi la prima fonte di casi di violazione dei dati, anche se il dipendente suo malgrado può arrivare a diventare ignaro complice del cybercriminale. Come? Per esempio, attraverso una semplice chiavetta USB regalata: una volta inserita in un pc aziendale permette al malintenzionato di avere accesso all’intero sistema nel giro di soli 20 minuti, grazie a particolari software di intrusione installati nella stessa.

Quale che sia la modalità di violazione dei dati, comunque, gli obiettivi più allettanti rimangono gli stessi: quelli relativi ai clienti sono i più “rubati” (caso segnalato dal 75% delle aziende intervistate da Kroll), seguiti da dati sensibili relativi ai dipendenti dell’azienda (50%) e, infine, i dati più pericolosi, ovvero quelli finanziari (25%). Tra i settori merceologici più violati, svettano quelli in cui si maneggiano i dati più sensibili: su tutti il comparto della sanità, colpita nel 49% dei casi; quindi i servizi alle imprese (26%, inclusi il settore retail, assicurazioni e servizi finanziari), e la formazione superiore (11%).

Quali sono le cause più frequenti di violazione dei dati sensibili? La prima è utilizzare un pc o un device aziendale all’esterno della struttura, oppure portare in qualsiasi modo i dati al di fuori dell’ambito professionale. Sono di questo tipo tre casi su quattro di perdita di dati. Sullo stesso livello si piazza anche l’accesso non autorizzato, o per lo meno non giustificato, a dati aziendali non di propria competenza. Si tratta di un episodio molto frequente in concomitanza con cambi di mansione all’interno dell’azienda: il dipendente mantiene le autorizzazioni di accesso a dati sensibili a cui aveva diritto nel precedente ruolo professionale, ma che non avrebbe più l’interesse e la legittimità di consultare per le sue nuove mansioni. Si tratta di un accesso di cui spesso il dipendente è ignaro, perciò non prende le dovute precauzioni per difendersi da eventuali interferenze esterne. Il dipendente si rende, seppur inconsciamente, responsabile di potenziali fughe di dati anche quando invia un’e-mail di lavoro attraverso un account privato (ciò che è accaduto alla candidata alla Presidenza USA, Hillary Clinton), oppure quando maneggia dati aziendali attraverso pc o device di uso personale.

Quello che appare chiaro, insomma, è che troppo spesso ci si sofferma sulla violazione di dati dolosa e volontaria, quella che fa più notizia: si tratta però di casi piuttosto isolati, eclatanti, che non costituiscono la quotidianità del settore. Di tutte le aziende intervistate, solo il 14% ha dichiarato di aver registrato una fuga di dati nell’anno precedente. I meccanismi di violazione dei dati precedentemente illustrati, però, sono più sottili e spesso l’azienda non si rende neanche conto dell’avvenuta violazione. L’88% delle imprese intervistate, infatti, sa esattamente quali sono i dati potenzialmente allettanti in proprio possesso, ma solo nel 17% dei casi i responsabili della compliance aziendale sanno con precisione dove essi vengono archiviati. Occorre quindi mettere a punto un’accurata analisi dei dati sensibili in possesso dell’azienda.

In generale, quando si chiede a un’impresa da dove pensi che possa arrivare una minaccia ai dati aziendali, la risposta più comune è dall’esterno – commenta Marianna Vintiadis, Managing Director Kroll. – Nessuno pensa a dipendenti, fornitori o terze parti: nella realtà, dai soggetti terzi con cui l’azienda ha a che fare ogni giorno si originano il triplo delle violazioni rispetto agli attacchi esterni, solo per citare un esempio. Si tratta di zone d’ombra abbastanza importanti all’interno della cyber security aziendale. Se le imprese, quindi, pensano a difendersi solo nei confronti degli oscuri hacker che tentano di demolire le difese dall’esterno, è ovvio che non potranno essere pronte ad affrontare le fughe di dati dall’interno. Un altro dato molto preoccupante? Secondo i nostri studi, la metà dei casi di violazione di dati è originato da cosiddetti ‘utenti privilegiati’, ovvero top management e dipendenti senior.”

Veniamo allora a qualche suggerimento pratico: “Il primo consiglio è di non intraprendere una battaglia generalizzata su tutti i fronti: occorre individuare bene la natura e la collocazioni di dati sensibili e prendere provvedimenti per garantirne la sicurezza – prosegue Vintiadis. – Altrettanto importante è monitorare gli accessi ai dati stessi, per sapere chi e con quale frequenza è attivo. Senza dimenticarsi di fornitori e terze parti: solo il 60% delle aziende pretende che queste controparti (se deputate a farlo) tengano traccia di tutte le loro attività di accesso ai dati sensibili. È indispensabile, allora, saper organizzare attività di sensibilizzazione ed educazione di tutti i dipendenti nei confronti di questo tema, diffondendo best practice su come maneggiare correttamente il tema cyber security.”

Recentemente, sentiamo spesso parlare di industria 4.0, all’avanguardia e connessa in tutti i suoi dipartimenti, catena di montaggio compresa – conclude Marianna Vintiadis. – Sono in tanti a denunciare i rischi connessi al potenziale attacco hacker a fini di spionaggio industriale. Il problema è che le aziende, anche a questo problema, tendono a rispondere in maniera sbagliata: non è sufficiente rinforzare le difese verso l’esterno. Anche in questo caso conviene cominciare a proteggere l’azienda dall’interno, tutelando l’accesso ai dati più delicati anche da parte dei dipendenti. Perché il malintenzionato potrebbe trovare un suo ignaro alleato proprio all’interno delle mura dell’azienda.”