Come impostare nel modo più efficace le attività di security awareness

L’attività di hacking contro Yahoo sarebbe iniziata con una mail di spear phishing inviata all’inizio del 2014, un attacco molto mirato che sfrutta tecniche di ingegneria sociale. A rivelarlo è stata l’FBI: nel corso di una conferenza stampa, la vice ministra della giustizia USA Mary McCord ha accusato pubblicamente due 007 russi (Dmitry Dokuchaev e Igor Sushchin) e due hacker già noti (Alexsey Belan e Karim Baratov, sarebbero stati ingaggiati direttamente da Mosca), per l’attacco subito da Yahoo nel 2014. Non è noto al momento quante furono le persone a cui era stata inviata la mail di spear phishing, quante mail furono inviate in tutto: è chiaro però che bastò un solo click sul link della mail per dare origine a un’intrusione che successivamente ha portato alla perdita dei dati di 500 milioni di clienti[1].

Come avrebbe operato gli hacker durante l’attacco a Yahoo? Una volta entrati nei sistemi sarebbero andati alla ricerca di 2 obiettivi, il database utenti e l’Account Management Tool utilizzato per gestire il database. Una volta ottenuto l’accesso, avrebbero installato una backdoor in un server Yahoo e creato una copia di backup del database utenti trasferendo tutti i dati (nomi, numeri di telefono, password, dettagli crittografici di ciascun account) sul proprio computer. Con questi dati gli hacker avrebbero avuto accesso alle mail di alcune persone, come richiesto dagli agenti del FSB. In particolare, sarebbero stati in grado di accedere sistematicamente a tutte le mail di circa 6.500 account presi di mira in modo molto mirato, persone come giornalisti russi, diplomatici americani che viaggiavano spesso in Russia, impiegati di aerolinee o altre figure non direttamente collegate alla politica.

Un caso simile di cyber espionage, sempre basato sulla tecnica spear phishing, è stato in Italia quello dell’inchiesta Eye Pyramid che ha portato all’arresto dei 2 fratelli Occhionero. Mentre il codice malevolo utilizzato era molto sofisticato, il metodo con cui veniva infiltrato nei sistemi era piuttosto semplice. Arrivava una mail al diretto interessato, proveniente da una fonte ritenuta di fiducia, e quindi veniva aperta. Una volta cliccato sull’allegato, un malware ingegnerizzato in modo tale da non lasciare traccia veniva installato nel computer hackerato. Per difendersi,  sarebbe bastato in realtà seguire alcune regole basilari di sicurezza: ad esempio, insospettirsi per la mail “strana” con l’allegato (come poi avvenuto con la segnalazione dell’ENAV che ha portato all’inchiesta e quindi all’arresto dei due fratelli) oppure cambiare la password di frequente.

Cosa ci dicono questi casi eclatanti che negli ultimi mesi hanno molto attirato l’attenzione sul problema della sicurezza informatica? Innanzi tutto che i rischi sono molto più estesi  di quanto noi possiamo percepire. Senza che se ne abbia percezione, negli ultimi anni si è creato di fatto un vero e proprio “mercato” di informazioni digitali, una compravendita di dati che coinvolge privati, aziende e pubblica amministrazione. Oggi siamo tutti connessi, dal telefono agli indumenti, fino agli oggetti di uso quotidiano (IoT), ed è recente la notizia, riportata da WikiLeaks, che la CIA avrebbe potuto spiare milioni di persone nel mondo attraverso smarthpone e TV connesse a Internet.

Oggi la scarsa sensibilità delle persone alla sicurezza e al valore dei dati aziendali può rappresentare un pericoloso varco per gli hacker. L’utilizzo crescente di dispositivi mobili e l’accesso a siti social rende molto facile la raccolta di informazioni personali esposte in pubblico che possono essere utilizzate per le mail di phishing. Per evitare di mettere a repentaglio i dati critici dell’azienda è quindi necessario pianificare adeguati percorsi di Security Awareness per le persone, in modo da creare una diffusa consapevolezza sulle tematiche di sicurezza in azienda. Una conoscenza che deve riguardare tutti i livelli,  dal top management fino al singolo dipendente che accede a informazioni aziendali e che può rappresentare l’anello debole della catena. Le aziende italiane sono impegnate in queste attività in molteplici modi, come si osserva anche dai risultati della Cyber Risk Management 2.0 survey di TIG e Deloitte, secondo cui le modalità di realizzazione di “pillole di sicurezza” sono oggi molteplici e in crescita, sia che si tratti di corsi tradizionali di formazione in aula, sia di altri formati, dall’elearning ai video e allo storytelling.

Quali altri suggerimenti per adottare un approccio innovativo alla security awareness? Nell’ intervista a Paolo Sardena, Co-founder & COO di Intuity, (Cinque punti per una People Centric security), sono sintetizzati 5 punti fondamentali per diffondere la giusta cultura in azienda:

1. Anticipare gli errori, prevenire
2. Cercare i problemi e affrontarli prima che si ingrandiscano
3. Premiare chi segnala un problema o un’anomalia (mind-changing)
4. Condividere le informazioni
5. Imparare dagli errori.

Bisogna arrendersi all’evidenza che la tecnologia NON può da sola risolvere i problemi della sicurezza informatica e che servirebbe invece sempre un intervento proattivo di tutte le persone per evitare incidenti gravi. In sostanza, oggi le persone possono essere la vulnerabilità, ma devono diventare loro stesse anche la difesa. Essere in grado di riconoscere una mail di phishing, sapere cosa fare e cosa non fare quando si naviga in Internet, capire che lo smartphone non è più solo un telefono, ma un oggetto che contiene dati aziendali e dal quale è possibile connettersi in azienda. Tutto questo è fondamentale per  aiutare il processo di sicurezza.

[1] Nel primo dei 2 data breach che hanno colpito il service provider negli ultimi 3 anni.