Oggi i cyber criminali utilizzano le persone ed i loro errori come mezzo per carpire i dati. Tali errori spesso nascono dalla mancanza di comprensione del panorama della cybersecurity, ma a volte derivano anche da cali di concentrazione e pigrizia. Purtroppo, errare è umano e le aziende devono quindi adottare delle misure di precauzione per proteggere i propri dati ed i propri dipendenti.
Qualche anno fa la sicurezza informatica aziendale si basava su avanzati hardware e software di protezione, ma nel panorama odierno le tecniche e le tipologie di Social Engineering si sono evolute. I cyber attacchi possono assumere diverse forme: Phishing (un’e-mail, un SMS o persino una telefonata fatta per ingannare l’utente), Pretexting (il criminale contatta la vittima telefonicamente e, inventando una situazione “urgente”, induce l’utente a commettere frettolosamente un’azione e/o rivelare informazioni), Baiting (adescamento che sfrutta la curiosità degli utenti), Trashing (le informazioni sensibili vengono cercate nel “cestino digitale” delle vittime), Quid pro quo (il social engineer offre un servizio o un aiuto in cambio di un benefit, solitamente rappresentato da informazioni) e Tailgating (il cybercriminale segue un dipendente autorizzato o chiede di entrare in un’area riservata fingendo di aver dimenticato il badge di accesso).
Anche i canali coinvolti sono molteplici: e-mail, telefoni, app di messagistica istantanea, siti web, Social Media, servizi Cloud.
Il Social Engineering sfrutta “l’anello debole” delle aziende: la componente umana. Questo è possibile grazie alla non formazione dei dipendenti in materia di cybersicurezza. Per proteggere le aziende dai cyber attacchi è quindi necessario diffondere una cultura della sicurezza digitale.
Diversi studi hanno dimostrato che è possibile insegnare ai dipendenti come riconoscere e affrontare i cyber attacchi attraverso esercitazioni e simulazioni. Una divisione di cybersecurity interna all’azienda diventa un comparto fondamentale, in grado di controllare che le implementazioni di sicurezza funzionino e di occuparsi della formazione del personale. Un esempio di provvedimento utile puo’ essere stabilire un protocollo di sicurezza che definisca quali dati sensibili debbano essere conservati e come/dove. Da regolamentare sono anche i rifiuti: le aziende devono assicurarsi che tutte le informazioni sensibili vengano cestinate in modo appropriato. Inoltre, le aziende che utilizzano un’infrastruttura cloud ibrida risultano più resistenti agli attacchi e subiscono meno violazioni.
Il Social Engineering è talmente diffuso oggi che le aziende devono essere sempre pronte. I dati mostrano che nel 2022 il 92% delle organizzazioni è stato vittima di attacchi di phishing e nel 2023 le e-mail spam inviate ogni giorno sono circa 3,4 miliardi.
Dal momento che questa forma di cyber attacco sfrutta la vulnerabilità delle persone, è su queste che bisogna lavorare. Le aziende devono adottare strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. È necessario ideare programmi di formazione, in modo che i dipendenti siano aggiornati e consapevoli dei rischi e acquisiscano le competenze necessarie non solo per prevenire gli attacchi, ma anche per saper reagire di fronte ad eventuali situazioni critiche.
M.M.
