Il fattore umano negli eventi di cyber security

  ICT, Rassegna Stampa, Security
image_pdfimage_print

Questo articolo fa parte di una serie di contenuti intitolata “Le soluzioni di Data Loss Prevention e la normativa in materia di privacy e diritti dei lavoratori” realizzata da Vito Sinforoso. In questo contributo, ci concentreremo su come il comportamento umano possa incidere sulla sicurezza informatica all’interno delle organizzazioni, influenzando potenzialmente il rischio di violazioni e la protezione dei dati sensibili.

Come già accennato in precedenza, al fattore umano è riconosciuta la maggiore responsabilità, quantomeno per numero di eventi, del verificarsi di attacchi informatici presso aziende ed amministrazioni pubbliche. Nell’espressione “fattore umano”, tuttavia, ricadono vari comportamenti, il cui comune denominatore è quello di essere il “cavallo di Troia” attraverso cui l’attacco viene perpetrato. In tal senso, il comportamento umano può essere considerato al pari di una vulnerabilità oppure di una vera e propria minaccia interna(insider threat).

Gli errori degli utenti in ambito di cyber security

Volendo tentare una classificazione, rispetto alla loro intenzionalità, dei comportamenti umani capaci di costituire un rischio per la sicurezza informatica di un’organizzazione, gli stessi possono essere distinti in involontari e volontari.

Tra le condotte involontarie, si annoverano gli errori da parte degli utenti, come:

  • la configurazione impropria dei sistemi;
  • l’uso di password deboli;
  • l’annotazione delle password, soprattutto se complesse, su supporti facilmente accessibili da eventuali malintenzionati (il che è pericoloso quanto, se non di più, aver adottato una password debole);
  • la perdita di dispositivi contenenti dati importanti, senza l’adozione di sistemi di crittografia;
  • la perdita o il furto di credenziali;
  • il favoreggiamento involontario, come l’invio di mail aventi erroneamente degli allegati ovvero inviate a destinatari sbagliati;
  • l’apertura di mail provenienti da sconosciuti e contenti link o file eseguibili, la cui attivazione consente l’inoculazione di virus nel sistema informatico.

La perdita dei dati come conseguenza delle condotte involontarie

Le conseguenze di tali comportamenti sono quasi sempre, nel migliore dei casi, la perdita dei dati, intesa come condizione di indisponibilità degli stessi; nel peggiore, l’aver posto gli stessi dati in balia di soggetti che potrebbero richiedere un riscatto in cambio della loro restituzione, sfruttarli economicamente per propri tornaconti illeciti[1] ovvero esporli pubblicamente e creando situazioni di imbarazzo se non di grave pericolo per chi vede i propri dati pubblicati senza il proprio consenso.

Ingegneria sociale: quando l’errore umano diventa una strategia di attacco

Tra le condotte involontarie, si possono annoverare quei comportamenti in cui una persona può essere indotta da terzi a cedere i propri dati, tra cui quelli attinenti all’accesso a sistemi informatici privati, aziendali o istituzionali. Si tratta, tra le altre, di situazioni frutto di strategie di ingegneria sociale, in cui gli attaccanti spesso sfruttano la psicologia umana per ingannare le vittime affinché rivelino informazioni importanti o compiano azioni che compromettono la sicurezza.

Tecniche di ingegneria sociale come phishing[2], pretexting[3] e spear phishing [4], whaling[5] mirano a sfruttare la fiducia, la curiosità o la paura degli utenti.

Il ruolo dei social media nelle strategie di ingegneria sociale

In tutti i casi di attacchi basati su tecniche di ingegneria sociale, per assurdo, un ruolo decisivo è svolto dagli stessi dati che volontariamente gli utenti pubblicano sulle varie piattaforme social o che in qualche modo finiscono di essere di pubblico dominio su Internet.

L’aggressore, tramite dette piattaforme nonché ogni altra risorsa disponibile in rete, è in grado di ricostruire parti importanti della vita del target ovvero di un soggetto che abbia influenza su di lui, sicché il tentativo di truffa è spesso talmente ben congegnato da avere elevatissime probabilità di successo.

È recentissima, peraltro (rispetto al momento di redazione del presente elaborato) e non è nemmeno l’unica, la notizia secondo cui una compagnia di Hong Kong sia stata vittima di truffa per un importo di circa 25 milioni di euro, poiché una sua dipendente è stata indotta in errore nel corso di una video riunione, a cui partecipavano alcuni suoi superiori che in realtà erano la ricostruzione perfetta ottenuta tramite applicazioni di intelligenza artificiale[6].

Nel caso specifico, i truffatori non hanno nemmeno tentato di acquisire le credenziali per disporre l’operazione finanziaria, ma hanno raggirato la stessa vittima inducendola a compiere un’azione con suo grave danno (economico e, probabilmente, anche reputazionale).

In ogni caso, la presenza più o meno abbondante di informazioni in Internet relative ad un determinato soggetto può rendere facile il gioco ai malintenzionati. Il suono ed il tono della voce potrebbero essere acquisiti dalla registrazione di una conferenza in cui il target sia stato relatore; le immagini potrebbero essere disponibili, in varie pose, sulle numerose piattaforme social.

Analogamente, queste stesse piattaforme potrebbero fornire importanti informazioni sulle abitudini, sulle opinioni, sui programmi, sugli amici e sugli avversari, sul lavoro, sulle problematiche e sui momenti di tristezza e di felicità. E tutto ciò, senza che nessuno abbia estorto alcun dato o alcuna informazione, ma grazie al fatto che lo stesso target li abbia resi pubblici e disponibili a favore di molti, se non di tutti i fruitori della rete.

In tutto ciò, appare sfuggire come i sistemi di autenticazione sempre più diffusi facciano riferimento a caratteristiche individuali ed uniche del corpo umano, misurate tramite la biometria: le impronte digitali, la conformazione del viso e del cranio, la conformazione venosa e il timbro e la tonalità della voce. Proprio questi elementi sono quelli che sempre più spesso vengono condivisi in rete (piattaforme social e non solo). Il che ha del paradossale, atteso che se da un lato mai verrebbe condivisa in rete una password, dall’altro per questi dati biometrici non ci si pone alcun limite nella pubblicazione[7].

BYOD: i rischi per la cyber security del “Bring Your Own Device”

Un altro fenomeno che merita di essere menzionato per la sua potenziale pericolosità è quello noto con l’acronimo BYOD, dall’inglese “Bring Your Own Device” (trad.: “porta il tuo dispositivo”). Si tratta della politica aziendale in virtù della quale si determina quando e come dipendenti, collaboratori e altri utenti finali autorizzati possono utilizzare i propri laptop, smartphone e altri dispositivi personali sulla rete dell’organizzazione per accedere ai dati e svolgere le proprie mansioni lavorative.

La politica BYOD si è diffusa con il debutto degli smartphone iOS e Android alla fine degli anni 2000, poiché sempre più lavoratori preferivano questi dispositivi ai telefoni cellulari standard dell’epoca assegnati dalle aziende. L’aumento del lavoro a distanza, degli accordi di lavoro ibrido e l’apertura delle reti aziendali a fornitori e appaltatori hanno accelerato la necessità che la politica BYOD si espandesse oltre gli smartphone.

Più di recente, la pandemia di COVID-19, e la conseguente carenza di chip e interruzioni della supply chain hanno costretto molte più organizzazioni ad adottare la politica BYOD, per consentire ai nuovi assunti di lavorare in attesa che venisse loro assegnato un dispositivo aziendale.

Oltre agli immaginabili vantaggi che possono intravvedersi, tale pratica porta con sé anche varie criticità, anche ai fini della sicurezza: i dipendenti potrebbero non attenersi sempre, sui loro dispositivi personali, alle best practice di sicurezza informatica, ad esempio una adeguata politica di gestione delle password o della sicurezza dei dispositivi fisici, aprendo la porta a hacker, malware e violazioni dei dati[8].

Misure di sicurezza per il BYOD nella Pubblica Amministrazione

In Italia, nella PA le misure minime AgID datate 2017 e basate sui controlli degli standard SANS e NIST, di cui si è accennato in precedenza, prevedono che tutti i dispositivi che accedono alla rete siano accreditati sulla stessa: un dispositivo, quindi, deve essere autorizzato, noto, e verificato al momento dell’accesso[9].

In linea di massima, le politiche di difesa preventiva per mitigare i rischi derivanti da una erronea ed involontaria condotta umana, oltre a quelle di natura squisitamente tecnica, devono indirizzarsi verso una continua ed efficace formazione della componente umana. Considerata l’elevata percentuale di casi di data breach determinati dal comportamento umano, la riduzione di questo margine di vulnerabilità avrebbe risultati sicuramente importanti.

Insider threat: quando la minaccia viene dall’interno

Passando, invece, alle condotte volontarie, consistenti in errori umani, le stesse possono essere agevolmente comprese facendo riferimento ai soggetti che in genere le attuano, ossia i cosiddetti insider threat (le minacce interne).

In genere, gli insider sono soggetti che per motivi vari hanno o hanno avuto rapporti con l’organizzazione, in virtù dei quali è concesso loro la possibilità di accedere a tutto o a parte del patrimonio informatico/informativo.

Qualsiasi dipendente o collaboratore esterno può rivelarsi un insider malevolo, ma solitamente si tratta di soggetti che hanno elevati privilegi di accesso ai dati: si pensi ad un ingegnere programmatore, a operatori di sistemi esterni, ma anche a dipendenti rancorosi attuali o licenziati [10], a fornitori, a collaboratori esterni, a soggetti incaricati dello sviluppo di prodotti o servizi, a persone che hanno accesso ad informazioni riservate o che hanno conoscenza dei processi organizzativi interni.

Il loro eventuale comportamento malevolo è molto più difficile da rilevare, in considerazione del rapporto confidenziale con l’organizzazione.

Ciò che rende peculiare il fenomeno dell’insider threat è il fatto che a innescare la minaccia non sono sempre ragioni di carattere economico; spesso sono motivi ideologici o istintivi, ad esempio per vendetta. In alcuni casi, l’insider è semplicemente un dipendente scontento il cui unico intento è quello di danneggiare l’azienda per cui lavora o ha lavorato.

Resta inteso che un comportamento doloso da parte di uno qualsiasi dei soggetti citati può configurare uno dei reati a tutela dei sistemi informatici ovvero del patrimonio dell’organizzazione.

I presidi penali contro le minacce interne

Il presidio penale, in tal senso, può essere costituito a titolo esemplificativo da uno dei seguenti reati:

  • 615-ter c.p. – Accesso abusivo ad un sistema informatico o telematico;
  • 615-quater c.p. – Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • 615-quinquies c.p. – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • 616 c.p. – Violazione, sottrazione e soppressione di corrispondenza;
  • 635-bis c.p. – Danneggiamento di informazioni, dati e programmi informatici;
  • 635-ter c.p. – Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;
  • 635-quater c.p. – Danneggiamento di sistemi informatici o telematici;
  • 635-quinquies c.p. – Danneggiamento di sistemi informatici o telematici di pubblica utilità;
  • 640-ter c.p. – Frode informatica;
  • 646 c.p. – Appropriazione indebita[11]
  • 624 c.p. – Furto[12]

Se da un punto di vista repressivo, sono previste tutele di carattere penale, tuttavia appare molto interessante affrontare la questione in via preventiva, atteso peraltro la difficoltà, in taluni casi, di individuare il soggetto responsabile e, aspetto più importante per un’organizzazione, di mantenere la disponibilità dei dati e delle informazioni.

Indicatori di anomalie e rilevazione delle minacce interne

Durante la condotta tesa ad acquisire illecitamente i dati, è ipotizzabile che un insider tenti di coprire le proprie tracce, per impedire o quantomeno rendere difficoltosa l’attribuzione a suo carico delle responsabilità.

Questi comportamenti potrebbero tradursi in anomalie di funzionamento del sistema informatico o telematico, la cui rilevazione può indicare una potenziale minaccia ed evidenziare la condotta illecita in corso. Alcuni indicatori di anomalie potrebbero riguardare:

  • l’installazione di backdoor[13] per dare accesso ai dati internamente o da sistemi remoti;
  • l’installazione di hardware o software per accedere ai sistemi aziendali da remoto;
  • il cambio di password da account non autorizzati;
  • la disabilitazione di firewall e di antivirus senza essere autorizzati;
  • l’istallazione di malware;
  • l’installazione di software non autorizzato;
  • tentativi di accesso a dispositivi di altri utenti o server che contengono dati riservati.

L’analisi di detti indicatori di anomalie e di altre condizioni di un sistema informatico o telematico può essere svolta avvalendosi di soluzioni tecnologiche quali quelle di Data Loss Prevention.

Nel prossimo articolo della serie, esploreremo il tema “Data Loss Prevention e controlli difensivi”, analizzando in profondità le strategie e le tecnologie più efficaci per prevenire la perdita di dati sensibili. Per una comprensione più completa di queste tematiche, vi invitiamo a scaricare il white paper di Vito Sinforoso “Data Loss Prevention: Privacy e Diritti dei Lavoratori“, che fornisce un’analisi dettagliata delle soluzioni DLP, con particolare attenzione al contesto normativo sulla privacy e alla tutela dei diritti dei lavoratori.

Note bibliografiche

[1]Il riferimento è ai casi in cui, ottenuti dati reali, gli stessi vengano utilizzati ulteriormente per accedere ad altre informazioni, portando oltre le finalità criminali.

[2]Il phishing è una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli, solo apparentemente provenienti da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.).

Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali. Fonte: https://www.ibm.com/it-it/topics?topic=all&page=3 (consultato in data 17/02/2024).

[3]Il pretexting è l’uso di una storia inventata, o pretesto, che ha l’obiettivo di ottenere la fiducia della vittima e ingannarla o manipolarla affinché condivida informazioni da tutelare, scarichi malware, invii denaro ai criminali o danneggi in altro modo sé stessa o l’organizzazione per cui lavora. La maggior parte dei “pretesti” è composta da due elementi principali: un personaggio e una situazione.

Il personaggio è il ruolo che il truffatore svolge nella storia, per ottenere credibilità nei confronti della potenziale vittima. Il truffatore di solito impersona qualcuno che ha autorità o ascendente sulla vittima, come un capo o un dirigente, o qualcuno di cui la vittima è propensa a fidarsi. Alcuni aggressori possono tentare di impersonare amici o persone care della vittima. La situazione è la trama della finta storia del truffatore, il motivo per cui il personaggio chiede alla vittima di fare qualcosa per lui. Le situazioni possono essere generiche (ad esempio, “devi aggiornare i dati del tuo account”) o molto specifiche, soprattutto se i truffatori si rivolgono a una vittima in particolare. Fonte: https://www.ibm.com/it-it/topics/pretexting (consultato in data 17/02/2024).

[4]Lo spear phishing è una truffa tramite cui i cybercriminali spingono le vittime a rivelare informazioni da tutelare, come le credenziali di accesso. Ciò che contraddistingue lo spear phishing dal più generico phishing è la natura mirata di questo tipo di attacco, che vengono perpetrati tramite l’invio di messaggi altamente personalizzati, confezionati dai truffatori servendosi di informazioni pubbliche raccolte sulla vittima, come: il campo lavorativo, il ruolo ricoperto nell’azienda in cui lavora, gli interessi che coltiva, la zona in cui abita, informazioni fiscali e ogni altra informazione che può emergere dai social network. Fonte: https://www.proofpoint.com/it/threat-reference/spear-phishing (consultato in data 17/02/2024).

[5]Il whale phishing, o whaling (caccia alle balene), è un particolare attacco phishing che colpisce funzionari aziendali di alto livello con e-mail, messaggi di testo o telefonate fraudolenti. I messaggi sono scritti con cura, per manipolare il destinatario e indurlo ad autorizzare pagamenti di grandi somme ai criminali informatici, o a divulgare informazioni aziendali o personali sensibili e di valore. Fonte: https://www.ibm.com/it-it/topics/whale-phishing (consultato in data 17/02/2024).

[6]Una dipendente di una compagnia di Hong Kong è stata ingannata e spinta a trasferire quasi 25 milioni di euro dell’azienda durante un meeting virtuale in cui uno o più cybercriminali si sono finti colleghi e dirigenti della compagnia stessa usando la tecnica del deepfake. Secondo quanto riferito da RTHK (l’equivalente della Rai di Hong Kong), la denuncia sarebbe stata presentata il 29 gennaio 2024, dopo che la donna era stata invitata a partecipare a una videoconferenza cui avrebbero dovuto prendere parte “numerose altre persone”. Che però non erano effettivamente persone. Fonte: https://www.repubblica.it/tecnologia/2024/02/08/news/deepfake_scam_truffa_hong_kong_intelligenza_artificiale-422086807/ (consultato in data 17/02/2024).

[7]Tutto ciò che riguarda la sicurezza dovrebbe avere una condivisione molto limitata. Questo proprio per evitare un fenomeno paradossale per cui la chiave necessaria a sbloccare le informazioni sia in realtà disponibile a tutti. Nell’epoca della condivisione di massa questo potrebbe rappresentare uno dei più seri problemi all’adozione di tali sistemi ed è in primis un problema di origine sia culturale che tecnologico”; brano tratto dalle conclusioni di un articolo di Edoardo Limone, dal titolo “La sicurezza della biometria”, avente ad oggetto l’assurdo paradosso di ricorrere a chiavi biometriche che vengono poi, in qualche modo, condivise pubblicamente. Fonte: https://www.edoardolimone.com/2023/03/20/la-sicurezza-della-biometria/ (consultato in data 17/02/2024).

[8]Vedasi https://www.ibm.com/it-it/topics/byod (consultato in data 17/02/2024).

[9]Una possibile soluzione per mitigare i rischi connessi al BYOD è l’adozione di un Network Access Control o NAC, ossia il processo che impedisce a utenti e dispositivi non autorizzati di accedere a una rete aziendale o privata. Noto anche come network admission control, il NAC garantisce che solo gli utenti autenticati e i dispositivi autorizzati e conformi alle politiche di sicurezza possano accedere alla rete. Fonte: https://universeit.blog/network-access-control-nac/ (consultato in data 17/02/2024).

[10]Significativa è la figura del dipendente che è stato licenziato o che si è dimesso, ma le cui credenziali sono ancora funzionanti. Il rischio è tanto più elevato in relazione a quanto la rottura del rapporto sia stata pacifica o contrastata, per cui in quest’ultimo caso è elevata la possibilità che sia messa in atto un’azione vendicativa da parte dell’ex dipendente.

[11]Art. 624 – Appropriazione indebita: “Chiunque s’impossessa della cosa mobile altrui, sottraendola a chi la detiene, al fine di trarne profitto per sé o per altri, è punito…”. Anche i dati informatici, con la sentenza 10 aprile 2020, n. 11959, della Suprema Corte “…devono essere considerati ‘cose mobili’ ai sensi del codice penale, in considerazione della loro struttura fisica, misurabilità delle dimensioni e trasferibilità”. Fonte: https://www.sistemapenale.it/it/sentenza/cassazione-11959-2020-barile-appropriazione-indebita-file-informatici-cosa-mobile (consultato in data 18/02/2024).

[12]Si segnala come una sentenza isolata (Sentenza n. 32383/2015) della Corte di Cassazione – Sezione penale abbia qualificato come furto la condotta dell’ex collaboratore che, prima di lasciare lo studio associato in cui svolgeva la propria attività, aveva copiato tutti i dati informatici presenti nel server dello studio, eliminando la copia presente. Fonte: https://www.smartius.it/wp- content/uploads/2021/03/cass_32383-2015_furto_dati.pdf (consultato in data 18/02/2024).

[13]Le backdoor, letteralmente “porte sul retro”, sono righe di codice informatico grazie alle quali un utente può entrare come amministratore all’interno di siti web e computer, senza avere alcun accesso autorizzato. Come è facilmente intuibile, le backdoor danno la possibilità a un malintenzionato di accedere da remoto al sistema informatico della vittima su cui vengono montate, che avrà così intero controllo del sistema della vittima. Fonte: https://www.cybersecurity360.it/nuove-minacce/backdoor-tipologie-tecniche-di-infezione-e-consigli-per-la-rimozione- sicura (consultato in data 18/02/2024).

Profilo Autore

Vito Sinforoso è dipendente presso una pubblica amministrazione centrale, nell’ambito della quale ha svolto vari incarichi, dedicandosi negli ultimi anni alla gestione di alcuni degli aspetti relativi al settore telematico della p.a., con particolare riferimento a quelli delle telecomunicazioni.

Laureato in giurisprudenza presso l’Università Tor Vergata di Roma, ha seguito nel 2023 un Master di 2° livello dal titolo “Informatica giuridica, nuove tecnologie e diritto dell’informatica” presso l’Università Sapienza di Roma.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/cyber-security-errori/