Cybercrime, Covid19 e VPN: l’importanza di un Modello Organizzativo Cybersecurity

 

La pandemia di COVID19 ha obbligato le aziende a modificare la propria idea di lavoro, forzandole a separare il concetto di “lavoro” dal luogo fisico, l’ufficio, dove fino a qualche mese fa veniva svolto.

Sicuramente questa emergenza ha preso moltissime società alla sprovvista, dovendo all’improvviso dotare i propri dipendenti di strumenti “mobili”, trasportabili e flessibili per poter garantire una ripresa delle attività nel minor tempo possibile; se si pensa poi a un paese come l’Italia, dove la cultura informatica è mediamente inferiore rispetto ad altri paesi dell’UE, questo passaggio è stato talmente repentino che la maggior parte delle aziende si sono trovate totalmente impreparate.

Quante aziende però, prese dalla fretta di rendere nuovamente operativi i lavoratori, hanno pensato a rendere sicure le reti informatiche e i dati che attraverso di esse vengono trasferiti?

 

Pochi giorni fa il CSIRT (Computer Security Incident Response Team – Italia) ossia il team istituito presso il Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri per monitorare, prevenire e gestire a livello nazionale le minacce cyber, ha diramato un alert per “Attacchi diretti a dispositivi di accesso remoto o servizi VPN”.

Se normalmente questo tipo di notizie sono interessanti solo per gli esperti o per i consulenti di sicurezza informatica, ora invece tutti coloro che lavorano da casa o che sfruttano gli “internet caffè” o le postazioni all’interno di ambienti dedicati al co-working dovrebbero porci attenzione.

Perché la VPN è proprio lo strumento che permette al dipendente di connettersi con il proprio computer aziendale ad una qualsiasi rete wi-fi in modo sicuro e protetto.

 

Le VPN o Virtual Private Networks (rete privata virtuale) sono lo strumento più diffuso e comunemente usato per proteggere le nostre informazioni quando non siamo sicuri dell’affidabilità della rete alla quale ci connettiamo. In pratica una VPN è una rete virtuale privata che riesce a garantire privacy e sicurezza grazie un canale di comunicazione riservato (tunnel VPN) tra il proprio device e la rete internet. Grazie alla VPN si può nascondere il proprio indirizzo IP e la propria posizione evitando così tutti i tipi di restrizioni e di geoblocking oppure si possono criptare i dati che ci si scambia con la rete, in modo da garantire la privacy delle proprie informazioni (es dati personali, informazioni confidenziali).

Nel momento in cui ci siamo ritrovati da febbraio in poi a non poter più recarci in ufficio ma a dover lavorare dalle nostre abitazioni, abbiamo tutti iniziato ad usare delle reti esterne a quelle aziendali; delle reti che non sono “controllate” dal team aziendale esperto in sicurezza aziendale che quindi non ha potuto effettuare una gap analysis cybersecurity per valutare eventuali problemi.

Per connettersi quindi in modo sicuro, ci si è affidati a strumenti quali le VPN. O almeno è quello che si è pensato fino ad ora.

 

Il cybercrime, infatti, non ha perso tempo: il CSIRT riferisce di una vasta campagna di attacchi contro dispositivi di accesso remoto e servizi VPN che “effettua scansioni network ad ampio raggio finalizzate all’individuazione di porte aperte”. Una volta che le scansioni individuano “possibili riferimenti a disposizioni di accesso remoto o servizi VPN, sfrutta vulnerabilità note per ottenere un accesso alla rete bersaglio”.

Scopo ultimo della campagna è l’installazione di strumenti per esfiltrare dati dal computer della vittima e poi vendere le informazioni ottenute sul web.

Lo strumento al quale ci si è affidati per la protezione della nostra rete dati viene quindi sfruttato per accedervi.

 

In realtà il problema non è nello strumento in sé ma nella mancanza di un modello organizzativo di sicurezza informatica. L’errore più grande che un’azienda può fare è sottovalutare la sicurezza dei dati e delle informazioni che i suoi dipendenti e collaboratori si scambiano ogni giorno, sperando che nessun hacker si interessi mai ai suoi segreti aziendali o facendo affidamento sul buon senso dei propri dipendenti.

Un modello che analizzi l’intera struttura e le sue procedure, che faccia una gap analysis per evidenziarne i punti deboli e risolverli, che dia delle policy specifiche ai propri dipendenti rende sicuramente più semplice garantire la sicurezza dei propri dati in qualsiasi situazioni ci si trovi.

 

Nel caso specifico, ad esempio, se prima dell’installazione delle VPN ci si fosse dotati di una policy idonea di access control e di remote access, in particolare di policy per l’autorizzazione e l’utilizzo del software VPN, molto probabilmente il rischio di essere colpiti da campagne di questo tipo sarebbe stato nettamente inferiore.

Esempio emblematico è la certificazione ISO/IEC 27001:2013, uno standard internazionale che definisce i requisiti per la creazione, manutenzione e sviluppo di sistemi di gestione della sicurezza delle informazioni.

Implementare tale modello aiuta l’azienda non solo a proteggere i propri dati, a prevenire e gestire gli incidenti informatici e a minimizzarne le perdite ma aumenta la fiducia dei clienti che saranno più propensi ad affidarsi a un’azienda che garantisca la sicurezza delle proprie informazioni.

 

Un modello organizzativo cybersecurity, quindi, non solo aiuta a mantenere alti gli standard di sicurezza, evitando di incorrere in data breach o addirittura essere vittima di cyber estorsioni, ma rappresenta un vero e proprio vantaggio competitivo da poter sfruttare come leva di marketing per fa accrescere il proprio portafoglio clienti.

Quanto detto finora rende evidente come il rischio di minaccia interna, il così detto insider threat, sia sempre in agguato ed è una minaccia reale e concreta. Al fine di evitare tale rischio possiamo prendere in considerazione tre aspetti chiave della sicurezza informatica: il fattore tecnico, il fattore psicologico e quello organizzativo.

Dal punto di vista tecnico, occorre fare riferimento alle architetture di rete zero trust (zero trust network) ossia una impostazione della rete basata su processi di identificazione delle utenze particolarmente rigide, in maniera tale da poter agevolmente estromettere il dipendente infedele da sistemi dati e applicazione una volta riscontrata la minaccia che rappresenta.

Per quanto riguarda l’aspetto psicologico – come recentemente affermato dalla prof. Isabella Corradini nel manuale “Building a cybersecurity culture in organization”- al fine di consentire ai dipendenti di percepire il disvalore delle condotte rilevanti in termini di sicurezza informatica poste in essere a danno della loro azienda, risulta di fondamentale importanza attuale degli adeguati e puntuali processi formativi che possano contestualmente elevare la consapevolezza degli utenti/dipendenti in relazione ai temi della sicurezza informatica e la loro fidelizzazione ai principi e alla vision dell’azienda a cui appartengono.

L’aspetto organizzativo è altresì importante al fine di mitigare i suddetti rischi di insider threat in quanto costruire un solido framework composto da politiche attentamente individuate e procedure adeguatamente formalizzate consente all’organizzazione di diminuire la verosimiglianza che un dipendente possa assumere comportamenti in violazione del modello organizzativo adottato dall’azienda.

Pertanto, in uno scenario in costante evoluzione i tre fattori su menzionati concorrono alla sicurezza dell’azienda in quanto dati e informazioni sono ogni giorno di l’asset principale delle organizzazioni e pertanto il loro bene principale da proteggere.

 

Link utili: