In questo sito utilizziamo dei cookies per rendere la navigazione più piacevole per i nostri clienti.
Cliccando sul link "Informazioni" qui di fianco, puoi trovare le informazioni per disattivare l' installazione dei cookies,ma in tal caso il sito potrebbe non funzionare correttamente.Informazioni
Continuando a navigare in questo sito acconsenti alla nostra Policy. [OK]
Aggiornato al 06/12/2019

È molto più bello sapere qualcosa di tutto, che tutto di una cosa; questa universalità è la cosa più bella.

Blaise Pascal

 

Il fattore umano come elemento fondamentale dell’Information Security.

 

Dall’analisi delle nuove strategie di attacco risulta evidente come i criminali informatici tendano sempre più frequentemente a sfruttare le vulnerabilità introdotte dal fattore umano per infiltrarsi all’interno delle reti aziendali e da lì estendere il perimetro di controllo su altri sistemi contenenti informazioni critiche. La prima fase dell’attacco si basa dunque sullo sfruttamento delle vulnerabilità introdotte dai comportamenti di lavoratori ingannati da moderne tecniche di social engineering.
 
Storicamente, proprio i dipendenti sono stati la fonte della maggior parte dei problemi di sicurezza all’interno delle aziende. Un tempo la minaccia principale era costituita dagli insider, cioè da quei lavoratori o ex lavoratori che si avvalgono di informazioni sensibili in proprio possesso per danneggiare l’azienda. Oggigiorno tale minaccia è ancora presente, ma non costituisce più l’unica modalità di accesso al perimetro aziendale. In aggiunta a questo tipo di attitudine dolosa si pone il grave problema di tutti quegli individui che, indirizzati da un attacco di social engineering, mettono in atto in maniera inconsapevole azioni dannose con ripercussioni sugli asset informativi dell’azienda.

È un dato di fatto come molti dei più recenti casi di data breach si possano far risalire a scenari di questo secondo tipo. Per citare un esempio autorevole, si pensi al caso dell’attacco Carbanak[1] che ha coinvolto diverse banche in diversi paesi e che ha permesso ad una gang di criminali informatici provenienti da Russia, Ucraina, Cina ed Europa, di rubare in due anni circa un miliardo di dollari americani dalle istituzioni finanziarie in tutto il mondo. Le indagini eseguite hanno rivelato come la diffusione del malware sia stata abilitata da ignari dipendenti, vittime di un attacco di social engineering. In sintesi, attraverso un attacco di spear phishing, i criminali hanno compromesso i pc di molti dipendenti, ottenendone il controllo da remoto. Semplicemente registrando le operazioni effettuate dagli utenti chiave, i criminali sono riusciti a identificare schemi di frode avanzati che hanno permesso di monetizzare l’attacco.

In generale si può affermare quindi che a causare l’accesso indesiderato ai sistemi informativi interni di un’azienda sia sempre più spesso l’errore umano forzato tramite attacchi di social engineering. Tale aspetto è spesso legato alla mancanza di percezione del rischio e ad altri fattori tipicamente soggettivi come l’esperienza personale e l’attitudine psicologica dell’individuo, in particolare in caso di parziale o totale mancanza di awareness. Una conferma di questo ci arriva dall’analisi del fenomeno del phishing, che rimane una delle armi più efficaci in possesso della social engineering, anche in un contesto in cui gli attacchi informatici stanno costantemente evolvendosi e diventando sempre più sofisticati[2].

Per tutte queste ragioni, non è più possibile limitare la governance e il management della sicurezza dei sistemi IT di un’azienda a fattori di natura strettamente tecnica. Oggi, l’adozione di tecnologie all’avanguardia e di processi considerati efficienti in accordo agli standard non sembrano più essere, infatti, misure sufficienti. Poiché gli attacchi informatici fanno sempre più affidamento sulla vulnerabilità umana, è quindi fondamentale estendere la governance della sicurezza per includere l’elemento umano tra i fattori di rischio e poter così attuare contromisure idonee che siano realmente efficaci.

[1] http://www.kaspersky.com/about/news/virus/2015/Carbanak-cybergang-steals-1-bn-USD-from-100-financial-institutions-worldwide.

[2] Dhamija, R.; et al.; “Why Phishing Works”, Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, April 2006, www.cs.berkeley.edu/~tygar/papers/Phishing/why_phishing_works.pdf.

A cura di CEFRIEL

Originally published at channels.theinnovationgroup.it on March 14, 2016.

Inserito il:11/05/2016 09:49:26
Ultimo aggiornamento:11/05/2016 10:03:19
Condividi su
ARCHIVIO ARTICOLI
nel futuro, archivio
Torna alla home
nel futuro, web magazine di informazione e cultura
Ho letto e accetto le condizioni sulla privacy *
(*obbligatorio)
Questo sito utilizza cookies.Informazioni e privacy policy

Associazione Culturale Nel Futuro – Corso Brianza 10/B – 22066 Mariano Comense CO – C.F. 90037120137

yost.technology