VIP nelle nostre aziende: assicuriamoci che i loro dati non siano alla portata di tutti.
Usano diversi strumenti, tra cui pc, smartphone e tablet alternandone l’uso tra lavoro, affari personali e tempo libero. Nella maggior parte dei casi questi dispositivi sono fuori dallo standard e dal controllo aziendale. Non accettano che siano impostati criteri per l’uso delle password, preferendo la libertà di sceglierne una a propria discrezione senza problemi di sintassi, lunghezza o altri parametri sui caratteri da utilizzare.
Spesso usano sempre lo stesso account – stesso indirizzo e-mail e stessa password – per tutti i servizi che trovano sul web. Pretendono di essere amministratori dei propri dispositivi per poter installare qualsiasi software desiderino, non tollerano la scadenza ed il rinnovo degli account, ed i codici per bloccare lo schermo, limitazioni che cercano regolarmente di evitare.
Si collegano a qualsiasi rete wi-fi trovino disponibile (ristorante, aeroporto, sala conferenze, hotel, ecc.) perché viaggiano, anche all’estero, anche al di fuori dalla comunità europea. Loro stessi, i loro assistenti ed il personale di staff scambiano documenti importanti e strategici come contratti, accordi commerciali, piani industriali, tramite whatsapp o avvalendosi di comodi servizi gratuiti come wetransfer.
Purtroppo, la tendenza è anche quella di aprire qualsiasi documento o link allegato alle e-mail, soprattutto quando è contrassegnato come urgente, importante ed i contenuti sono di qualche interesse.
Sono stati elencati solo alcuni esempi di condotte superficiali, ma a chi ci stiamo riferendo?
Data protection: il magico mondo dei VIP nelle nostre aziende
Falle nella sicurezza privacy: stiamo parlando delle figure apicali delle aziende. Imprenditori, amministratori delegati, membri dei consigli di amministrazione, presidenti, vicepresidenti, CEO, CFO. Dirigenti strategici, che rappresentano le figure professionali più disposte a sacrificare la sicurezza in favore della comodità.
Tipicamente non si preoccupano della possibilità di diventare il prossimo obiettivo di un attacco informatico poiché sono concentrati su aspetti puramente di business oltre ad essere molto impegnati, e con poco tempo a disposizione.
Eppure, non dovrebbe sorprendere che tali figure aziendali possano (e siano) oggetto di particolari attenzioni da parte di cyber criminali proprio perché è altamente probabile che detengano e scambino informazioni preziose, che con le loro decisioni siano in grado di influenzare le loro organizzazioni a livello strategico ed operativo, oltre a poter disporre e gestire ingenti quantità di denaro appartenente all’azienda o all’organizzazione che rappresentano.
Convincere queste figure aziendali ad acquisire sensibilità e consapevolezza, mettendoli nelle condizioni di utilizzare gli strumenti informatici che utilizzano quotidianamente, rispettando determinate policy, nel tentativo di fare prevenzione è una vera e propria sfida.
A volte tali soggetti aziendali, ironia della sorte, coincidono con il Titolare del Trattamento dei dati personali, tipicamente nel caso di Amministratore Delegato o CEO, e Responsabile del Trattamento dei dati personali nel caso di altri responsabili di funzione aziendale.
Si veda il Capo IV del Regolamento generale sulla protezione dei dati GDPR (General Data Protection Regulation). Il Capo IV comprende gli art. 24-43 in materia di Titolare del trattamento e responsabile del trattamento: in sintesi gli articoli riguardano le Responsabilità del titolare del trattamento, il Responsabile del trattamento, la Sicurezza dei dati personali, la Comunicazione di una violazione dei dati personali all'interessato, la figura e i compiti del Responsabile della protezione dei dati.
In genere i dirigenti sono tra coloro che hanno meno volontà di aderire a politiche di sicurezza o a vincoli di tipo operativo e tecnologico che si aspettano che tutti gli altri seguano.
La trappola: VIP e cyber criminali
Grazie alla loro posizione ed al loro status, le figure apicali nelle aziende rifuggono da vincoli e restrizioni.
Purtroppo, quando un bersaglio diventa oggetto di attenzioni da parte dei cyber criminali perché considerato di importanza rilevante e di valore, e prende di mira i dirigenti ed i vertici aziendali, si può dire che comincia una vera e propria attività detta “whaling”, o “whale phishing” (caccia alle balene, caccia ai “pesci grossi”).
L’e-mail è sicuramente il vettore più utilizzato dai pirati informatici per condurre campagne di attacco in grado di colpire questi obiettivi. Soprattutto Phishing e Spoofing (tecnica che consente all’attaccante di impersonare un conoscente della vittima) sono i due veicoli principali utilizzati per trasmettere malware in modalità silente, ma soprattutto le leggerezze elencate nel primo paragrafo rendono molto semplice, per non dire banale l’attività di compromissione, accesso, controllo e supervisione da remoto dei dispositivi utilizzati. A quel punto sarà possibile l’esfiltrazione di dati, l’intercettazione dello scambio di e-mail ed in ultima analisi l’accesso indiscriminato alla rete aziendale della vittima.
L’attaccante avrà così modo di studiare a lungo, abitudini, relazioni, movimenti, della vittima e della sua organizzazione di riferimento, ed anche di altri soggetti vicini con cui la vittima si relaziona sia per motivi professionali che privati.
Successivamente facendo uno strumentale ricorso a tecniche di ingegneria sociale, l’attaccante creerà delle comunicazioni ingannevoli, in cui vi siano solidi riferimenti a fatti e circostanze specifiche della sfera lavorativa e privata sostituendosi ad una persona nota.
Queste false comunicazioni inducono la vittima o le vittime (spesso vengono coinvolte anche altre figure aziendali) a sentirsi in situazioni assolutamente plausibili, evitando che si attivino forme di difesa o dubbi sull’autenticità dei messaggi scambiati o sulle richieste tra i vari interlocutori. Le e-mail ed alcuni siti web utilizzati per gli attacchi di whaling sono tipicamente realizzati ad-hoc e possono risultare incredibilmente verosimili, molto difficili da identificare.
L’obiettivo finale è quello di indurre la vittima a condividere alcune informazioni di business in suo possesso. Questo perché, l’accesso a determinate informazioni riservate permette ai cyber criminali di attivare una serie di attività illegali come la vendita delle informazioni carpite (possono esserci anche casi di violazione della privacy), l’organizzazione di veri e propri ricatti, oppure frodi molto complesse manipolando, come già detto, i messaggi scambiati tra gli interlocutori facendogli compiere inconsapevolmente specifiche azioni a danno dell’organizzazione di appartenenza, che si riveleranno profittevoli per l’attaccante, come il disporre dei pagamenti a beneficio dell’organizzazione criminale.
Pensiamo anche al possibile accesso ad informazioni sensibili sui risultati finanziari (e quanto questo tema sia di estrema confidenzialità per un’azienda quotata in borsa prima che sia un’informazione ufficialmente divulgabile all’esterno), a documenti relativi ad accordi societari riservati, transazioni commerciali, proprietà intellettuali, brevetti, processi industriali, gigabyte (forse anche terabyte) di email lavorative che coinvolgono colleghi, ma qualche volta anche più intimi, delicati dettagli privati della vita personale. Senza dimenticare il danno reputazionale sia per i vertici aziendali che per l’azienda.
Un classico esempio, molto comune è quello di una legittima transazione commerciale per acquistare beni o servizi, iniziata tra due aziende e condotta dai rispettivi vertici aziendali - osservata e studiata dagli attaccanti in ogni minimo dettaglio grazie ad un attacco “man in the middle” – che si può concludere con una transazione finanziaria in cui il denaro invece di essere recapitato al legittimo ricevente viene poi depositato sul conto dell’organizzazione criminale.
Come prevenire il rischio?
Alcuni suggerimenti per prevenire il rischio:
- Poiché l’anello debole della catena è rappresentato dal fattore umano, occorre creare consapevolezza sul fenomeno, a tutti i livelli, ma intervenendo con una formazione e sensibilizzazione specifica nei confronti dei profili dirigenziali più esposti mappandone i profili di rischio
- Organizzare e simulare delle periodiche campagne di whaling, così da affinare le capacità di identificazione delle minacce e la conseguente difesa. Da tali campagne, creando delle vere e proprie simulazioni di casi reali, spesso, scaturiscono degli elementi estremamente formativi
- Discutere apertamente (senza utilizzare un linguaggio troppo tecnico) con le figure aziendali chiave i possibili rischi e le conseguenze di condotte superficiali
- Concordare specifiche policy di utilizzo degli strumenti informatici (pc, smartphone, servizi web, ecc.) ed utilizzare strati tecnologici a tutela del patrimonio informativo aziendale che non siano troppo invasivi o vincolanti, ma che allo stesso tempo permettano un’adeguata robustezza
- Ricordando che le tipologie di attacco descritte presuppongono una preventiva ed approfondita raccolta di informazioni sulle vittime, imparare a mettere in dubbio, anche le richieste e le comunicazioni dall’aspetto più familiare, soprattutto se contenenti richieste a carattere d’urgenza; verificare sempre, attraverso un secondo canale, le fonti di eventuali richieste pervenute via e-mail, whatsapp o sms, ad esempio chiedendo direttamente conferma di persona al mittente o contattando proattivamente quest’ultimo telefonicamente;
- Cercare di limitare la condivisione di informazioni personali e professionali, in particolare attraverso i vari social network, tramite il sito web o gli account social aziendali
Come risolvere il problema in sintesi
Cos'è necessario fare in sintesi per prevenire il rischio e risolvere il problema:
- Creare consapevolezza sul fenomeno, a tutti i livelli e sensibilizzazione specifica nei confronti dei profili dirigenziali più esposti
- Organizzare delle periodiche campagne di Whaling
- Cercare di limitare la condivisione di informazioni personali e professionali
Articolo a cura del Gruppo Cyber Security del Comitato Scientifico di ASSO DPO