Sicurezza informatica e luogo di lavoro
La pandemia da Covid 19 e la conseguente necessità di distanziamento fisico ha portato molte aziende a trasformare i propri archivi in formato digitale e a consentire ai dipendenti di poter lavorare dalle rispettive abitazioni, al fine di ridurre la minimo le presenze indispensabili sui luoghi di ordinario svolgimento delle prestazioni lavorative.
Dopo una prima e comprensibile fase di disorientamento, causata soprattutto dalla non prevedibilità di un evento come quello verificatosi, di portata planetaria, molte realtà produttive hanno ottimizzato i flussi documentali al punto da valutare positivamente l’esperienza e decidere di trasformarla in condizione abituale di lavoro, con discreta soddisfazione anche da parte dei lavoratori, sollevati dall’onere, certo non trascurabile, soprattutto nelle grandi aree metropolitane, di doversi spostare tra l’abitazione e la sede di lavoro.
Alcune aziende hanno infatti reso permanente la trasformazione, procedendo anche alla risoluzione dei contratti di locazione di spazi ed uffici che, effettivamente, non avevano più motivo di essere occupati, anche grazie al crescente ricorso al cloud da parte di molti fornitori di software e di servizi.
In Italia, la crescita esponenziale delle richieste di connessione ha fortunatamente colto preparati gli operatori di telecomunicazioni, già da tempo impegnati negli investimenti per la realizzazione delle reti in fibra ottica, che hanno potuto sopportare agevolmente l’incremento di prestazioni richiesto dall’aumento degli utenti collegati. Meno preparate la maggior parte delle aziende, che hanno dovuto far ricorso, spesso, ad upgrade rilevanti per adeguare le infrastrutture tecnologiche e le misure di protezione.
Purtroppo, ogni evento di tale portata genera delle comprensibili perdite di efficienza ed errori nella configurazione o scelta dei sistemi, che hanno portato molte realtà a subire incidenti ed attacchi informatici dagli esiti infausti.
L’attenzione dei criminali informatici, in particolare, si è incentrata sulle connessioni da remoto e sulla scarsa malizia della maggior parte dei dipendenti, abituati a delegare qualsiasi scelta sulla sicurezza di dati e comunicazioni all’Amministratore di sistema, potendo confidare in una infrastruttura adeguatamente protetta. Nelle abitazioni, al contrario, gli apparati di rete sono normalmente quelli di ridotto valore forniti dagli operatori telefonici, dotati di meccanismi di protezione dalle aggressioni esterne inesistenti o poco efficienti, solitamente lasciati configurati alle impostazioni di fabbrica, senza aggiornamento alcuno o con aggiornamenti imposti da malfunzionamenti e conseguente collegamento da remoto dei centri di assistenza.
Non migliora la situazione dei dispositivi di casa, utilizzati in modo promiscuo da ragazzi e genitori, per il lavoro, per il gioco, per lo studio, per la didattica a distanza, tutti collegati alla stessa rete su cui viaggiano anche i dati delle Smart Tv e dei vari oggetti collegati ad Internet, assistenti digitali inclusi, ed alla quale si connettono anche gli occasionali ospiti della famiglia, con una potenziale “deflagrazione” degli effetti di eventuali virus o attacchi informatici pari se non superiore a quella della pandemia.
Per non parlare della vulnerabilità agli ormai sempre più frequenti attacchi basati su tecniche di social engineering, che aggirano le protezioni basandosi su informazioni e credenziali acquisite dalle stesse vittime, inducendo in errore il malcapitato dipendente con messaggi che lo invitano a collegarsi a siti civetta, per eseguire aggiornamenti o effettuare controlli, che, in realtà, servono a carpire informazioni riservate o le stesse credenziali di autenticazione. Una recente modalità di aggressione consiste nel clonare, grazie all’utilizzo di operatori telefonici virtuali con sede all’estero, i numeri di servizio di istituti di credito ed altri soggetti (ad esempio, i centri assistenza), per inviare agli utenti messaggi di allerta su ipotetiche cancellazioni o movimentazioni non autorizzate. La vittima, vedendo il messaggio accodarsi agli altri già pervenuti da un interlocutore che reputa affidabile, non esita a contattare il numero suggerito o ad utilizzare il link proposto e si trova, quindi, a contattare egli stesso i criminali che, con abile accondiscendenza, lo rassicurano e, nel contempo, lo inducono ad eseguire proprio quelle operazioni che non dovrebbe porre in essere, come cedere le proprie credenziali o fornire i codici dell’autenticazione a due fattori, con i quali, ovviamente, saranno poi realizzate la sottrazione di dati o di somme di denaro.
L’assenza dal luogo di lavoro e la mancanza del rapporto quotidiano con il collega e con i responsabili della sicurezza, giocano, ovviamente, un ruolo fondamentale nel successo dell’attacco, poiché il dipendente non ha la possibilità di consultarsi con una persona più esperta o, quantomeno, meno coinvolta emotivamente, e, incalzato dalla pressione psicologica indotta dal messaggio o dall’interlocutore, finisce quasi sempre per commettere l’errore che consentirà il buon esito dell’operazione fraudolenta.
A ciò si aggiunga l’accennata promiscuità degli strumenti di lavoro e delle reti di comunicazione presenti presso l’abitazione del dipendente, molto lontane dallo standard di protezione di una qualsiasi impresa, per quanto di piccole dimensioni.
Antivirus di tipo gratuito (e, per tale ragione, meno efficaci se non addirittura contenenti backdoor e sistemi di tracciamento); programmi scaricati per altre finalità (e, quindi, potenziali strumenti di violazione del sistema); gestione e trasmissione in chiaro dei dati, senza adottare alcun programma di cifratura; ricorso a risorse on-line estranee a quelle aziendali (solitamente protette da VPN e Firewall); download di interi database per ragioni di praticità nell’esecuzione delle attività lavorative, magari a causa di una connessione lenta; sono tutti elementi che, presi singolarmente, potrebbero non creare particolari problemi ma che, in una realtà come quella casalinga, possono costituire una miscela esplosiva per la sicurezza dei dati e delle informazioni private ed aziendali.
Le soluzioni più adeguate possono essere di due tipologie, una formativa e l’altra tecnologica, non necessariamente alternative ed, anzi, possibilmente da adottare congiuntamente.
Dal punto di vista della formazione, i dipendenti devono essere resi edotti dei rischi connessi all’utilizzo dei sistemi informatici di casa, della loro maggiore vulnerabilità rispetto a quelli aziendali, delle principali fonti di rischio, ed essere messi in grado di comprendere, attivarsi e migliorare la situazione.
Il primo passaggio dovrebbe essere quello di consigliare una separazione delle reti, di tipo fisico (se il dipendente ha la possibilità di far portare presso la propria abitazione una seconda linea dati) o di tipo logico, attraverso l’opportuna configurazione del dispositivo di collegamento ad Internet fornito dall’operatore telefonico o acquistabile presso un qualsiasi fornitore. La separazione delle reti permette di isolare la postazione lavorativa dal resto dell’abitazione e rende quindi decisamente più difficile la propagazione di un virus o di un attacco informatico. Allo stesso modo, il dipendente dovrebbe essere consapevole di non dover utilizzare, per il lavoro, lo stesso dispositivo in uso ai propri familiari o, peggio ancora, agli ospiti, avendo cura, quantomeno, di configurare utenti diversi (separando così quantomeno i dati e gli ambienti) e adottando opportune misure di sicurezza come antivirus, credenziali robuste, cifratura del disco e VPN per la connessione verso l’esterno.
Anche l’uso della rete cablata dovrebbe essere preferito a quello della connessione WiFi, che per sua natura è più vulnerabile agli attacchi dall’esterno.
Sessioni dedicate di formazione dovrebbero poi essere incentrate sulle tecniche di phishing e di social engineering, affinchè il dipendente sia smaliziato a possa riconoscere contatti e messaggi sospetti.
Dal punto di vista tecnologico, l’azienda dovrebbe fornire ai dipendenti i dispositivi per svolgere l’attività lavorativa, per garantirsi anche da un uso o da un collegamento improprio, giacchè sia il telefono che il computer potrebbero essere configurati per utilizzare solo le applicazioni aziendali e con tutte le protezioni attive (inclusa la cancellazione da remoto in caso di furto o smarrimento). Sebbene tale soluzione sia più dispendiosa, occorre considerare che l’investimento è integralmente deducibile dal reddito d’impresa e che le sanzioni per l’eventuale perdita di confidenzialità, integrità o riservatezza dei dati sono decisamente elevate, fatta salva l’ulteriore azione risarcitoria da parte dei soggetti eventualmente danneggiati dall’interruzione dei servizi o dalla sottrazione dei dati.
Gianluca Pomante
Fonte Sicurezza Magazine