Secondo un recente report rilasciato da Verizon, le violazioni imputabili a dipendenti o soggetti interni alle aziende sono in aumento e la loro scoperta è di solito molto tardiva, impiegando diversi mesi almeno nel 65% dei casi. La prima motivazione che muove chi agisce dall’interno è, prevedibilmente, il profitto personale, con il 47,8% dei casi analizzati in cui un dipendente è stato corrotto o ha venduto di sua volontà dei dai rubati in azienda. Il secondo motivo, però, è più preoccupante, in quanto nel 23,4% dei casi l’interno ha rubato dati o causato violazioni informatiche per il semplice gusto di farlo. Questo significa che è complesso capire fino in fondo le motivazioni che spingono queste persone e per rendere le cose più semplici Verizon ha raccolto in 5 categorie differenti il personale di fornitori che tipicamente rappresenta un pericolo per i dati aziendali.

La prima è quella in cui trova posto il lavoratore distratto: una persona che ha scarsa considerazione per le politiche di sicurezza dell’azienda e installa programmi non autorizzati, sposta dati su dispositivi non autorizzati o, più in generale, compie azioni non approvate dal dipartimento It e delle quali i responsabili restano all’oscuro, rendendo difficile chiudere le falle che questi lavoratori aprono verso l'esterno.

La seconda è quella del classico dipendente insoddisfatto, una persona che danneggia l’azienda per la quale lavora o nella quale si trova temporaneamente per un sentimento di rivalsa. Di solito questa categoria tende a distruggere i dati piuttosto che inviarli all’esterno.

Come terza classificazione troviamo il tipico fornitore incompetente, un partner commerciale che non ha implementato politiche di sicurezza adeguate e accede in modo improprio, o tramite equipaggiamenti compromessi, alle risorse aziendali.

Si passa poi alla categoria dei criminali per scelta che si divide in due. La prima è quella degli agenti infiltrati, ovvero dipendenti che sono stati contattati da concorrenti o organizzazioni criminali per compiere del lavoro sporco dall'interno in cambio di denaro. Spesso lavorano su commissione e vengono pagati per compiere operazioni precise come impiantare del malware o rubare dati ben selezionati.

L’altra categoria dei criminali per scelta è quella dei dipendenti che agiscono di propria iniziativa e rubano dati da vendere poi ad acquirenti senza scrupoli. Costoro non sono stati avvicinati dall'esterno, ma hanno intuito una possibilità di profitto e si muovono in prima persona per cercare chi potrebbe pagarli.

Molto spesso, le minacce dall’interno sono sottovalutate nel processo che porta a costruire le difese informatiche di un'azienda e questo giustifica i lunghi tempi che trascorrono prima della scoperta dei problemi. Per fortuna, al giorno d'oggi non mancano le contromisure in grado di rilevare anche i più subdoli movimenti interni e sono conosciute come tecnologie e pratiche di “Threat Hunting”.

Sotto questo cappello viene raggruppato tutto ciò che può portare a scoprire una violazione che abbia già oltrepassato il perimetro esterno e stia operando all'interno dell’azienda. L’uso del Threat Hunting è importantissimo anche per limitare i danni delle intrusioni informatiche perpetrate da soggetti esterni e quindi la sua corretta implementazione aumenta sensibilmente la robustezza delle difese aziendali. Purtroppo, si tratta anche di molte pratiche che vanno integrate nei processi aziendali e il percorso non è semplice. Si parte dai software di EDR (Endpoint Detection and Response), ovvero quei programmi che analizzano tutto quello che succede sulle macchine e bloccano comportamenti sospetti o malevoli, per arrivare all'implementazione di efficaci misure di sicurezza fisica, permettendo l'accesso alle macchine solo a chi è effettivamente autorizzato e non a chiunque varchi la soglia dell'ufficio.

«Per troppo tempo la violazione dei dati e gli attacchi alla sicurezza informatica interni sono stati tralasciati, e non sono stati presi sul serio. Spesso sono infatti motivo di disagio, o sono visti come un inconveniente per i soli reparti hr - ha commentato Bryan Sartin, executive director security professional services di Verizon -. Le cose devono cambiare. Le minacce informatiche non provengono solo da fonti esterne, e per combattere la criminalità informatica nella sua interezza dobbiamo anche concentrarci sulle possibili minacce che si trovano tra le mura di un'organizzazione».

© Riproduzione riservata