Quali rischi per la sicurezza sono connessi al lavoro agile? In che modo i team IT possono proteggere il lavoro agile dagli attacchi? E qual è l’approccio moderno alla sicurezza da adottare?
Il lavoro agile è una necessità per le aziende: i dipendenti devono poter accedere alle app e ai dati aziendali da qualsiasi dispositivo, ovunque e in qualsiasi momento.
Negli ultimi mesi abbiamo assistito a una corsa a configurare il maggior numero di postazioni da remoto, per garantire la continuità operativa di tutti i dipendenti. Quello che sembrava essere un modo di lavorare “d’emergenza”, in realtà ha molti vantaggi e diverse aziende stanno scegliendo di proseguire su questa strada.
Il New Normal però ha un suo corrispettivo, il New Cyber Normal: più cresce il numero di device connessi da remoto, più aumenta in maniera esponenziale il numero di attacchi informatici.
Secondo il Rapporto Clusit 2021 sulla sicurezza ICT in Italia, sono aumentati del 12% e non passa giorno senza che i giornali ci restituiscano notizie di aziende cadute vittime di malware, ransomware o altri cyber-attacchi.
Perché qualsiasi azienda potrebbe finire nel mirino
Dal nostro osservatorio, abbiamo individuato le cause per cui gli attacchi minacciano il lavoro agile:
la scomparsa del perimetro
Con i dipendenti che lavorano da remoto, la superficie di attacco si è allargata. Molte più backdoor – ovvero porte di ingresso – da proteggere: gli hacker hanno capito che il punto più debole della catena sono i dispositivi personali dei dipendenti.
Nell’impossibilità di dotare tutti i dipendenti di laptop aziendali opportunatamente configurati e protetti, sono subentrati nell’infrastruttura aziendale i BYOD (Bring You Own Device). Un conto è difendere un perimetro aziendale definito, un altro è difendere un perimetro allargato composto da strumenti e sistemi informativi diversi.
L’approccio tradizionale alla sicurezza ICT che punta a proteggere il perimetro aziendale è superato. L’82% dei CISO intervistati dalla EMEA CISO survey concorda sul fatto che il lavoro agile ha accelerato la scomparsa del perimetro tradizionale che erano abituati a difendere.
La stragrande maggioranza di aziende configura l’accesso ai dati aziendali da remoto con una password: basta che l’utente si identifichi. Ma si tratta di una barriera fin troppo fragile all’ingresso delle minacce che, una volta aggirata, lascia il campo libero agli hacker.
Secondo un report di Verizon, l’81% delle violazioni avviene a causa di password deboli o compromesse. Nel dark web si trovano facilmente file enormi con miliardi di nomi utente, indirizzi mail e password rubate (vedi la raccolta RockYou2021).
Nessuno è al sicuro, in più se gli utenti usano reti wi-fi non sicure (caffè, piazze, aeroporti ecc.) o accedono ai dati da app non autorizzate, agli hacker semplificano molto la vita. Poi il danno si allarga a macchia di leopardo, perché gli utenti sono soliti a usare la stessa password su più siti web e app.
4 su 5 dei CISO intervistati ha dichiarato che le password non sono più un mezzo efficace di protezione.
c’è scarsa consapevolezza delle minacce
La terza causa è imputabile al fattore umano.
Per quanto vengano adottate in misura crescente tecnologie e strategie di sicurezza, il comportamento umano è fallibile. Superficialità, scarsa conoscenza, approssimazione caratterizzano la gestione della sicurezza. Soprattutto per quanto riguarda i BYOD, in cui gli aggiornamenti e le protezioni dalle minacce sono di responsabilità dell’utente.
Abbiamo già citato il fatto che ormai la stragrande maggioranza degli attacchi non sono di hacking, bensì sfruttano le vulnerabilità del fattore umano. Le password rientrano in questo ambito, ma ci sono molti altri attacchi che colpiscono le abitudini dell’utente. Parliamo del phising e del social engineering.
Vedi le mail che sembrano provenire da fonti affidabili ma in realtà sono un modo di procurarsi i dati personali o aziendali. O gli allegati che una volta aperti infettano i computer tramite malware (software malevoli) o aprono collegamenti a siti infetti. Con il termine social engineering facciamo riferimento a quell’insieme di tecniche che spingono gli utenti ignari a rilasciare i propri dati o a compiere azioni pericolose per l’igiene del pc e della rete.
Con il mobile, aumentano le probabilità di successo. La comodità dei dispositivi in mobilità incentiva a prendere decisioni rapide e nel caso degli smartphone, le interfacce ridotte rendono difficile verificare l’autenticità dei link e la visione di informazioni chiave.
Perché non possiamo stare a guardare
Il rapporto Clusit già citato afferma che nel 2020 ci sono stati danni per oltre 3000 miliardi di euro, quasi due volte il PIL dell’Italia. Possono essere di molteplice natura:
danni economici diretti
Possono essere i costi legati all’interruzione dell’attività o perdita di produttività generati da attacchi informatici.
È il caso avvenuto alla Geox lo scorso anno: i pirati si sono inseriti nel sistema operativo aziendale, hanno sottratto tutti i dati e lo hanno bloccato. Una settimana fermi, perché Geox voleva far ripartire il back up dei dati, senza cedere al riscatto.
danni economici indiretti
Pensiamo all’intercettazione di documenti sensibili, furto di brevetti, spionaggio industriale che possono mettere l’azienda in condizioni svantaggiate.
danni di immagine
Se il furto dei dati riguarda i clienti, i loro dati personali o le conversazioni secretate, capiamo che il danno di reputazione è altissimo.
Ma c’è un quarto motivo non indifferente: con l’edge e il 5G ci saranno enormi flussi di dati che verranno elaborati in tempo reale. Applicazioni e dispositivi intelligenti (il cosiddetto IoT – Internet of Things) figureranno a pieno titolo negli strumenti che rientrano nel perimetro informatico da proteggere.
Questo vuol dire che gli hacker potranno sabotare anche il mondo fisico: pensiamo a una fabbrica con macchinari comandati a livello informatico e a quale disastro sarebbe perdere il controllo anche della catena produttiva e logistica.
Problemi di sicurezza: l’approccio moderno
Nell’Everywhere Workplace, in cui la difesa perimetrale non è più sufficiente, ci vogliono nuovi modelli di cyber-security.
La risposta ci viene dal modello di sicurezza Zero Trust, un framework coniato da Forrester, che si basa sulla consapevolezza che nemmeno all’interno della propria rete aziendale si sia al sicuro. Gli approcci tradizionali – basati su identificazione dell’utente – danno per scontato che tutto quello che si trova all’interno della rete aziendale sia affidabile.
È un approccio che si basa sulla fiducia “zero” e il suo assunto è “never trust, always verify”: qualsiasi utente, dispositivo, applicazione che tenta l’accesso al network aziendale va verificato e così il suo contesto (ad es. la rete da cui si collega).
Zero Trust combina molteplici tecnologie che garantiscono l’accesso sicuro alle risorse aziendali da dispositivi in mobilità. Strumenti di convalida dell’utente (ad es. autenticazione multi-fattore), di eliminazione delle password (Zero Sign-On), verifica dell’affidabilità del dispositivo, micro-segmentazione della rete ecc.
Il tutto con l’obiettivo di mitigare il più possibile i rischi derivanti da cyber-attacchi. Il risultato è una sicurezza edge-to-edge per qualsiasi dispositivo connesso.
Le ultime novità in tema Zero Trust riguardano l’applicazione dell’Intelligenza Artificiale: grazie al deep learning e alle sue capacità di apprendimento automatizzato, le tecnologie possono rilevare le vulnerabilità presenti sui sistemi e sanarle in modo automatico. Prevenendo così qualsiasi tipo di attacco o interruzione.
