Insiding, errore umano e terze parti: la sfida della sicurezza dei dati

Le aziende continuano ad investire in firewall avanzati, in sistemi di rilevamento delle intrusioni e in soluzioni anti-malware. Tuttavia, spesso trascurano la vulnerabilità più critica e imprevedibile: il fattore umano. Le statistiche parlano chiaro: la maggior parte delle violazioni di sicurezza ha origine interna, attraverso azioni malintenzionate, oppure, più frequentemente, a causa di errori involontari di dipendenti, di consulenti e di partner commerciali

 

Anatomia di varie tipologie di data loss

Di seguito, spiegheremo alcuni casi di perdita di dati derivati da attività di insiding e di terze parti e da errore umano, al fine di acquisire la consapevolezza necessaria sulle modalità con cui possono verificarsi.

 

Caso 1 – Un copia-incolla può essere fatale

Immaginiamo un consulente senior che, lavorando da remoto su un progetto strategico, debba inviare al team una sintesi del budget e che, per rispettare una scadenza serrata, seleziona in fretta ciò che crede sia l’estratto corretto. Purtroppo, nella clipboard si cela per errore l’intero piano quinquennale dell’azienda, completo di dettagli in termini di brevetti in sviluppo e di future acquisizioni.

Una condivisione inappropriata di file, con persone non autorizzate sia internamente sia esternamente, può̀ comportare un’esposizione di dati. Inoltre, l’invio di email è il canale attraverso cui i dipendenti di un’organizzazione possono includere - in maniera volontaria o involontaria - dei dati da tutelare all’interno del corpo del messaggio. Pertanto, il consulente in questione spedisce, inconsapevolmente, il file non soltanto ai colleghi interni, ma anche a fornitori esterni coinvolti nel progetto. In pochi istanti, informazioni strategiche del valore di centinaia di milioni di euro finiscono in mani non autorizzate. Il consulente potrebbe non rendersi conto dell’accaduto fino a quando – se è fortunato – uno dei fornitori, con buona fede, gli segnala di aver ricevuto, per errore, documenti evidentemente riservati.

 

Caso 2 - L'USB: quando la praticità si converte in vulnerabilità

Un fornitore IT, ad esempio, incaricato di aggiornare i sistemi di backup, utilizza una chiavetta USB personale per trasferire alcuni script di configurazione. La procedura, apparentemente innocua, nasconde un rischio enorme: la chiavetta contiene anche strumenti di diagnostica che, una volta inseriti nel sistema dell’azienda, creano automaticamente un log completo dell'architettura di rete e dei database accessibili.

Il tecnico può essere ignaro del potenziale delle sue utilities e dimenticare la chiavetta in ufficio che, trovata da un dipendente dell’azienda, viene inserita nel computer del medesimo per identificarne il proprietario. I tool si attivano automaticamente, estrapolando e trasmettendo via email criptata -a un account personale del tecnico, configurato per ricevere i report diagnostici - l'intera mappa della rete aziendale, inclusi gli accessi ai sistemi.

 

Caso 3 – L’insider malintenzionato tradisce la fiducia riposta

Come ben noto, non tutti gli incidenti sono frutto di errori involontari. Poniamo il caso di una software house specializzata in soluzioni per l'automotive e che un ingegnere senior, in procinto di lasciare l'azienda per un competitor, decida di "portare con sé" alcuni asset strategici. Nel corso delle sue ultime settimane di lavoro il dipendente utilizza una combinazione di tecniche sofisticate per estrarre il codice sorgente di alcuni progetti critici. La sua strategia è metodica: utilizza servizi di cloud storage personale per sincronizzare cartelle che sembrano contenere documenti personali, ma che in realtà nascondono archivi compressi del codice. Inoltre, sfrutta la sua autorizzazione per accedere ai repository di sviluppo per clonare intere sezioni di codice su dispositivi USB apparentemente utilizzati per presentazioni aziendali. Purtroppo, l'attività viene scoperta solo sei mesi dopo, quando la nuova azienda del dipendente lancia un prodotto sorprendentemente simile a quello in sviluppo nella software house originale. L'analisi forense rivela che molte GB di proprietà intellettuale erano stati trasferiti nel corso di tre settimane.

 

Come i sistemi di Data Loss Prevention (DLP) prevengono inconvenienti fatali

I sistemi di Data Loss Prevention (DLP) rappresentano la prima linea di difesa contro diverse tipologie di minacce, tra cui quelle sopra illustrate. Inoltre, essi utilizzano sempre più algoritmi di machine learning per analizzare non solo i nomi dei file, ma anche il loro contenuto effettivo. Nel caso del consulente esterno, un DLP configurato correttamente avrebbe potuto rilevare che l'email conteneva termini chiave relativi a brevetti e strategie aziendali, bloccando automaticamente l'invio e richiedendo un'autorizzazione esplicita del responsabile della sicurezza.

Monitoraggio dei dispositivi rimovibili – Un DLP integrato con l’endpoint protection, nel caso della chiavetta USB, avrebbe potuto rilevare l'inserimento del dispositivo non autorizzato e bloccare qualsiasi tentativo di scrittura o lettura di dati sensibili. Inoltre, avrebbe messo automaticamente in quarantena i tool diagnostici, impedendo loro di accedere alle risorse di rete.

Analisi comportamentale - Un sistema DLP con capacità di user behavior analytics, nel caso dell'ingegnere malintenzionato, avrebbe potuto rilevare l'anomalia nel pattern di accesso ai repository e la frequenza inusuale di download di grandi quantità di codice, allertando immediatamente il team di sicurezza.

 

Come implementare una strategia di DLP

Un'implementazione efficace di soluzioni DLP richiede una strategia olistica che consideri tre pilastri fondamentali, quali:

• Classificazione Intelligente dei Dati - Non tutti i dati sono uguali e un sistema DLP efficace deve essere in grado di distinguere automaticamente tra informazioni pubbliche, interne, confidenziali e strettamente riservate. Pertanto, tale classificazione deve essere dinamica e adattarsi al contenuto effettivo dei documenti, non solo alla loro posizione o alla denominazione.
• Policy contestuali - Le regole di sicurezza devono essere sufficientemente flessibili da permettere il normale flusso di lavoro, ma – al contempo - abbastanza rigorose da bloccare comportamenti anomali. Ad esempio, è normale che un sviluppatore scarichi codice sorgente durante l'orario di lavoro, ma diventa sospetto se lo fa di notte o nei giorni precedenti alle dimissioni.
• Integrazione con i vari ecosistemi - Un DLP moderno deve dialogare con tutti gli altri sistemi di sicurezza aziendali, ovvero: SIEM per la correlazione degli eventi; sistemi di identity management per verificare le autorizzazioni; soluzioni di email security per proteggere le comunicazioni esterne.

 

Educazione e consapevolezza del personale: non è un’opzione

La tecnologia da sola non basta. È essenziale implementare programmi di formazione che vadano oltre le classiche sessioni di awareness. I dipendenti devono essere esposti a scenari realistici che simulino le situazioni in cui potrebbero commettere errori critici. In tale direzione vanno anche le diverse normative e direttive emanate recentemente dall’UE e che richiedono una formazione periodica accompagnata da test ed esercitazioni. Pertanto, si consiglia di implementare programmi di formazione ed esercitazioni che si basano su:

 

• Simulazioni di phishing avanzate – Si tratta di includere scenari che coinvolgano la condivisione di documenti, l'uso di dispositivi rimovibili e la collaborazione con terze parti.
• Gamification della sicurezza - Creare sistemi di punti e riconoscimenti per comportamenti virtuosi, rendendo la sicurezza un elemento competitivo e coinvolgente, piuttosto che un ostacolo burocratico.
• Cultura della sicurezza partecipativa - I dipendenti devono sentirsi parte della soluzione, non il problema da controllare. Ciò comporta creare canali di comunicazione aperti dove possano segnalare potenziali vulnerabilità senza timore di ritorsioni, oltre a coinvolgerli attivamente nella definizione delle policy di sicurezza.

 

Conclusione

La protezione contro insider threat ed errori umani non deve essere vista come un costo o un ostacolo alla produttività, ma come un vantaggio competitivo strategico. Le aziende che riescono a creare un ambiente di lavoro sicuro - dove la tecnologia supporta le persone senza limitarne la creatività e l'efficienza - ottengono non solo una maggiore protezione dei propri asset, ma anche una maggiore fiducia da parte di clienti, partner e investitori.

L'investimento in soluzioni DLP avanzate, combinato con programmi di formazione mirati e una cultura aziendale orientata alla sicurezza, rappresenta uno degli approcci più efficaci per trasformare il potenziale rischio umano in un baluardo di protezione. Di fatto, in un mondo dove i dati sono sempre più preziosi e strategici, proteggere tali asset dalle minacce interne significa proteggere il futuro stesso dell'organizzazione.

In sintesi, la sfida non è eliminare il fattore umano dall'equazione della sicurezza, ma renderlo un alleato consapevole e attrezzato per affrontare le minacce del futuro digitale.

 

RemoteGrant e FileGrant due soluzioni di DLP efficaci per la tua azienda

Le soluzioni di RemoteGrant e FileGrant di CyberGrant sono di supporto alle aziende nella protezione dei dati proprio per le loro funzionalità che contribuiscono a gestire con successo le minacce multiforme ai dati. E, rispettivamente

RemoteGrant – È in grado di garantire:

• Monitoraggio e rilevamento di attività sospette sui dispositivi.
• Applicazione automatica della cifratura post-quantum (standard AES-256 con scambio di chiavi tramite l’algoritmo CRYSTALS-Kyber) ai file aziendali, limitando l’accesso esclusivamente alle applicazioni e ai dispositivi autorizzati e dotati di agenti di sicurezza approvati dall’organizzazione.
• Invio di avvisi, in caso di rilevamento di attività anomale non autorizzate.
• Monitoraggio e controllo dell'accesso remoto agli endpoint.
• Registrazione e monitoraggio di tutti gli eventi e delle attività sugli endpoint.
• Raccolta di log dettagliati che possono essere analizzati per identificare e rispondere a incidenti di sicurezza.
• Autenticazione a più fattori (MFA).
• Controllo delle applicazioni che possono operare sui dati sensibili e limitare azioni quali: copia, incolla o esportazione.
• Crittografia delle informazioni in modo che rimangano protette anche in caso di accesso non autorizzato.
• Selezione delle applicazioni con cui operare sui dati sensibili, utilizzando le eccezioni per escludere eventuali processi non desiderati.
• Indicazione delle estensioni dei file da proteggere, in modo che possano essere letti esclusivamente dalle applicazioni scelte, oltre alla selezione dei computer sui quali applicare questa protezione.
• Impedire la copia di dati da macchine remote in RDP, limitando altresì la possibilità di trasferire o duplicare file da percorsi remoti non autorizzati.
• Vietare la scrittura di file in zone riservate, impedendo la creazione o modifica di file in cartelle protette, oltre a ridurre il rischio di alterazioni accidentali o malevoli.

FileGrant Enterprise– È in grado di garantire:

• Blocco del data scraping dell’AI, proteggendo i dati da sistemi di AI Gen, quali CoPilot o ChatGPT, oltre a salvaguardare i diritti d’autore e la proprietà intellettuale da apprendimento non autorizzato.
• Crittografia quantum-proof (standard AES-256 con scambio di chiavi tramite l’algoritmo CRYSTALS-Kyber), che assicura la massima sicurezza nei documenti cifrati.
• Crittografia in modalità offline, che mantiene i file protetti anche in modalità offline, grazie alla crittografia «a riposo».
• Crittografia integrata nel PDF, che consente un'anteprima sicura con qualsiasi lettore PDF.
• Sicurezza via API, che permette di crittografare rapidamente i file e, al contempo, protetti con una semplice chiamata API.
• Massimo controllo delle operazioni che permette di conseguire - in tempo reale e in maniera dettagliata - le informazioni su: tutte le attività effettuate dai singoli utenti e secondo le procedure di accesso basate sui ruoli (i.e. Role-based access control - RBAC); file presenti nella piattaforma in termini di accessi, di modifiche, di download; comportamento degli utenti.

Inoltre, sia RemoteGrant sia FileGrant supportano le aziende nel rispettare i requisiti di conformità in termini di protezione dei dati e di privacy per quanto riguarda le principali regolamentazioni e normative vigenti, quali GDPR, NIS2, DORA, ecc.

In definitiva, scegliere soluzioni come RemoteGrant e FileGrant Enterprise non rappresenta solo una decisione strategica, ma un elemento chiave per rafforzare la resilienza aziendale e costruire la fiducia degli stakeholder nell’attuale contesto digitale.

Per approfondire ulteriormente le funzionalità di RemoteGrant e FileGrant Enterprise in termini di protezione di dati sensibili, contatta CyberGrant.