Sicurezza informatica, il “fattore umano” rimane l’anello debole

I continui, e necessari, investimenti in sistemi di sicurezza informatica per proteggere le proprie aziende e gli studi professionali da attacchi esterni rendono il mercato della cybersecurity uno dei più prosperi. Si stima infatti che, nel 2027, esso varrà 266,2 miliardi di dollari contro i 173,5 miliardi di fine 2022, con un tasso di crescita annuale pari all'8,9% (dati MarketsandMarkets). Tuttavia, permane una vulnerabilità difficile da gestire: il fattore umano. Spesso sono i comportamenti dei singoli la causa alla base di una fuga di dati o della diffusione di un virus e oggi gli attacchi informatici si concentrano soprattutto sulle persone più che sull'infrastruttura tecnologica.

Le vulnerabilità individuali

Quali sono i motivi che rendono le persone, in azienda o in studio, particolarmente vulnerabili? Un recente studio di Kaspersky, azienda specializzata in sicurezza informatica e digital privacy, fornisce un quadro interessante poiché indica che 9 dipendenti su 10 sopravvalutano le proprie conoscenze di base in ambito di cybersecurity. Banco di prova è stata la piattaforma Gamified Assessment Tool, sviluppata appositamente da Kaspersky per valutare le competenze individuali in tal senso e finalizzata così a supportare i Chief Information Officer e i responsabili delle risorse umane a misurare le competenze dei lavoratori e fornire un approccio di formazione adeguato, nonché - last but not least - a cambiare il loro comportamento e la loro consapevolezza. Oltre 3.900 dipendenti aziendali sono stati così coinvolti in una prova, tra gennaio 2021 e settembre 2022, su questa piattaforma. Strutturata in sei diverse aree di sicurezza (password e account, e-mail, navigazione web, social network e messenger, sicurezza di PC e dispositivi mobili), Gamified Assessment Tool assegna di volta in volta un punteggio in base alle decisioni prese nelle situazioni più comuni che si possono verificare in ufficio oppure durante lo smart working.

Oltre a ciò, la piattaforma richiede al partecipante di valutare il grado di rischio (informatico) delle proprie azioni, nonché quanto si sente sicuro delle sue ipotesi. L'indagine così condotta ha rilevato che il 90% dei dipendenti sopravvaluta le proprie conoscenze di base in tema di sicurezza informatica. Solo l'11% dei 3.907 dipendenti messi alla prova ha dimostrato un alto livello di consapevolezza ottenendo il “Certificate of Excellence”, vale a dire rispondendo correttamente e totalizzando più del 90% del punteggio. Il 61% degli utenti ha invece conseguito un risultato “medio”, compreso tra l'83% e il 90%, mentre il 28% non ha dimostrato una conoscenza sufficiente delle nozioni di cybersecurity, ottenendo un punteggio inferiore al 75%. Da evidenziare, poi, che il tema della navigazione web è risultato il più difficile per gli utenti: solo il 24% ha identificato le azioni corrette. Per contro, gli scenari legati ai dispositivi mobili sono risultati meno complicati, con il 43% dei partecipanti che non ha commesso errori nell'identificare i rischi informatici. 

Un problema chiamato “phishing”

Una formazione adeguata rimane quindi fondamentale per difendersi dalle minacce esterne, anche perchè il phishing è indicato, al momento, come principale vettore di attacchi alla sicurezza. Tra le più recenti modalità di phishing vi è, ad esempio, il cosiddetto Multi-Factor Authentication (MFA) Fatigue, che consiste nell'inondare il device della potenziale vittima di richieste di notifiche, inducendolo a premere per sbaglio “approva” e fornendo così le proprie credenziali al criminale informatico.

Risposte frettolose, piccoli errori di distrazione possono dunque rivelarsi fatali e causare danni importanti in termini di perdita di dati. IBM Security nel diffondere l'annuale report “Cost of a Data Breach 2022”, un'analisi approfondita delle violazioni dei dati subite da 550 organizzazioni in tutto il mondo, condotta dal Ponemon Institute tra marzo 2021 e marzo 2022, attesta che il costo medio globale dei data breach ha raggiunto il massimo storico di 4,35 milioni di dollari, con un aumento di circa il 13% dal 2020 al 2022. L'indagine evidenzia, tra i vari risultati, che proprio il phishing è diventata la causa di violazione più costosa: benché le credenziali compromesse continuino a rappresentare l'incidente informatico più comune (19%), il phishing rappresenta il secondo (16%) e più costoso, portando a 4,91 milioni di dollari i costi di violazione medi. Interessante il quadro sul nostro Paese: secondo il report di IBM, in Italia, il costo medio di ogni singolo dato rubato è di 143 euro, mentre quello globale è di 164 dollari. Tra le 17 aree geografiche analizzate, l'Italia si colloca all'ottavo posto e l'industria farmaceutica è quella ad aver pagato di più: ogni dato rubato è costato 182 euro. A seguire il settore tecnologico (174 euro) e quello dei servizi finanziari (173 euro). Il primo vettore di attacco risulta essere il phishing, mentre quello che comporta i costi maggiori è la perdita accidentale di dati o device (4,92 milioni di euro).

Quali gli aspetti da migliorare

Gli studi sopracitati rendono quindi evidente quanto sia necessario intervenire sull'essere umano per alzare i livelli di sicurezza aziendali e professionali.

In primo luogo, occorre potenziare il grado di diffidenza nei confronti delle comunicazioni esterne.

Al contempo, bisogna essere consapevoli del pericolo di cliccare su link, di aprire allegati e di rispondere a richieste di dati che non arrivano da canali di comunicazione sicuri e affidabili, ma che puntano sulle emozioni dei singoli (fretta, premi, sanzioni, account o servizi in scadenza, pacchi in consegna bloccati) per aprire nuove vulnerabilità. Infine, va ricordato come nessuno dei servizi più importanti (banche, assicurazioni, compagnie telefoniche, agenzia delle entrate, ecc.) oggi richieda per mail dati o credenziali ai propri clienti proprio perché questo canale è diventato, negli ultimi anni, insicuro.