I dati ballano di qualche unità, ma oggi sappiamo che una percentuale tra il 96 e il 98% degli attacchi informatici si basa, in toto o in parte, sull’utilizzo di social engineering, cioè di tecniche psicologiche con le quali si convince un utente, suo malgrado, a cliccare, aprire allegati e, quindi, permettere all’attacco di andare a segno (Fonte: Purplesec).
Il motivo del “successo” del social engineering è molto semplice: si tratta di tecniche a basso costo, che espongono poco o nulla il criminale informatico e che possono essere declinate verso più obiettivi.
A ciò si aggiunge l’erronea convinzione delle aziende che il compito di protezione da questo tipo di attacchi spetti esclusivamente al reparto IT e alle soluzioni tecnologiche implementate, tralasciando l’importante ruolo svolto dalle persone.
E così si spiega l’impatto economico che i cyberattacchi hanno verso le aziende. Accenture, nel suo studio “Securing the Digital Economy: Reinventing the Internet for Trust”, stima che entro il 2024 la criminalità informatica costerà alle aziende fino a 5200 miliardi di dollari.
E di questi, buona parte sarà imputabile ad attacchi che coinvolgono, in toto o in parte, proprio il social engineering. Basti pensare che, già oggi, si assiste ad attacchi capaci di sottrarre cifre milionarie alle vittime. Di recente, una delle principali aziende dell’industria della lavorazione di carni, l’americana JBS Foods, ha dovuto pagare un riscatto di ben 11 milioni di dollari per disattivare un ransomware contratto proprio grazie a una semplice email di phishing.
Riconoscere le minacce, la cybersecurity awareness
Detta così, il social engineering assume i connotati di una minaccia senza via d’uscita, ma la verità è che la sua percentuale di riuscita, rispetto ai tentativi mediamente fatti dal criminale informatico, dipende dal fatto che le sue tecniche sono facilmente riconoscibili a un occhio attento.
In altri casi, gli attacchi di social engineering possono essere più sofisticati e mirati a obiettivi precisi, per esempio figure aziendali ben definite, ma anche in tali circostanze, con le giuste nozioni, è possibile smascherarli anzitempo.
In questo, ci viene in aiuto la così detta cybersecurity awareness, cioè una formazione dedicata non tanto ai dettagli tecnici di un malware, ma alle modalità di diffusione e trasmissione delle minacce, in particolare, non occorre sottolinearlo, a quelle che derivano dal social engineering.
Dove gli antivirus non possono nulla
Visti i dati in gioco, è chiaro che qualsiasi azienda dovrebbe investire sulla formazione di cybersecurity awareness, perché mettersi al riparo dalle più comuni tecniche di social engineering equivale a difendersi da minacce di cui difficilmente strumenti come antivirus e firewall potrebbero occuparsi.
Basti pensare alla pratica del vishing, cioè il voice phishing, tanto in voga negli anni ‘70 e ‘80 e tornata di recente alla ribalta. Si tratta di ingegneria sociale basata su semplici telefonate in cui il criminale si spaccia per una figura apicale dell’azienda e convince i subordinati a eseguire determinati comandi. Zero informatica, solo voce: antivirus e protezioni endpoint sotto scacco. Ecco perché la cybersecurity awareness deve proporre programmi personalizzati in base all’azienda, in grado di unire nozioni tecniche a soft skill e ingegneria sociale.
Una formazione orizzontale e frequente
È essenziale che la formazione sia disponibile per chiunque abbia accesso a un sistema aziendale, proprio perché i criteri di scelta di una vittima, da parte dell’attaccante, sono spesso imprevedibili, arrivando al paradosso che vengono scelti soggetti insospettabili e con scarse conoscenze informatiche, perché appunto meno preparati nel riconoscere i segnali di un tentativo di attacco in corso ma spesso dotati degli stessi diritti di accesso a dati e applicazioni. Del resto, il candidato ideale deve avere solo la possibilità di interagire con l’infrastruttura di rete, di modo che un semplice click a un allegato possa dare il via all’attacco o alla catena del contagio. Per questo motivo la cybersecurity awareness non può essere targettizzata su alcuni individui specifici, ma deve interessare l’intera azienda.
La cybersecurity awareness impone un cambio di approccio alla protezione: non si impara più a basarsi in modo pedissequo su strumenti tecnologici, ma si prende coscienza che ogni azione eseguita su un endpoint può trasformarsi in una potenziale breccia nel sistema.
Aggiornamenti sulle nuove minacce
È proprio per questo che una buona formazione di cybersecurity awareness, oltre a includere varie tematiche ed essere molto orizzontale, per quanto concerne il bacino d’utenza, dovrebbe essere il più possibile continua. Si tratta di preparare collaboratori e dipendenti ad affrontare le minacce più comuni, ma anche aggiornarli a intervalli regolari sull’evoluzione delle minacce e sulle tecniche di social engineering più recenti e pericolose. Grazie a strumenti di simulazione è possibile, inoltre, mettere periodicamente alla prova gli utenti e, sulla base dei risultati, fornire loro linee guida e suggerimenti, così da mantenere alta la guardia. Con lo stesso scopo esistono anche diversi tool che ci possono venire in aiuto nella quotidianità dell’attività lavorativa, ad esempio attraverso pillole “on-the-job” in grado di indirizzare le risorse nell’adottare sempre comportamenti sicuri.
Da parte delle aziende occorre capire, ora più che mai, che la protezione passa, prima di tutto, da ogni singolo individuo che acceda alle loro risorse. La cybersecurity awareness serve a risolvere proprio queste criticità.
Matteo Querzé riveste il ruolo di Change Management & Learning Director in 4wardPRO.
Con studi universitari in ingegneria informatica, ha una lunga esperienza nel mondo della formazione, in particolare nel training su tecnologie digitali, gestione manageriale e soft skill. Specializzato in learning platform su tecnologie Microsoft, lavora sul servizio di adozione e change management per Microsoft 365. Da qualche anno, ha esteso le sue competenze al mondo della CyberSecurity Awareness.