uomo pensieroso al pc
uomo pensieroso al pc

Il volto umano della cyber security

Di concerto con il volto organizzativo e con quello tecnologico, il volto umano definisce la triade cruciale della sicurezza di un’infrastruttura IT, così da ridurre le possibilità di attacchi informatici. Presentiamo qui le attività fondamentali da questo punto di vista, nonché le principali tipologie di attacco che minacciano un sistema da questa prospettiva.

Se per il volto tecnologico il vero protagonista è il tecnico, per il volto umano l’attenzione si sposta su ogni singolo utente finale: questo aspetto riguarda tutte le persone che si affacciano allo schermo di un PC o di un dispositivo mobile. Ecco gli elementi fondamentali:

· Cultura della sicurezza: è la visione orizzontale della cybersecurity e per questo deve essere estesa a tutti, dal dipendente al CEO. Ognuno, in quanto membro di un’azienda, può rappresentare una vulnerabilità: tale assunto è la base necessaria per capire come migliorare il proprio comportamento.

· Consapevolezza: è la visione verticale, ossia la “quantità” di cultura della sicurezza che ogni persona deve avere per tutelare l’integrità dell’azienda. Si pensi per esempio a un responsabile amministrativo che ha regolare accesso ai conti aziendali: egli dovrà avere piena consapevolezza che ogni suo errore costerà molto caro all’azienda e dovrà quindi essere molto più attento e formato di chi, magari, ha accesso solamente alla rubrica dei contatti dei fornitori. La pericolosità degli errori possibili aumenta via via che ci si avvicina alle posizioni manageriali, con la possibilità di accesso a dati più importanti.

· Formazione: ogni quesito deve trovare una risposta, ogni dubbio deve essere cancellato attraverso corsi, letture e laboratori. Maggiori saranno le competenze di tutte le persone coinvolte, minore sarà il rischio di incidente informatico.

· Aggiornamento: la formazione deve essere continua. Ogni conoscenza va rinfrescata, per non rischiare di diventare obsoleta in tempi brevissimi.

Social engineering: i tipi di attacco

Esiste un termine preciso per indicare gli attacchi informatici che sfruttano il comportamento umano per rubare informazioni riservate: parliamo del social engineering. L’hacker che si muove in questo modo mette in campo delle truffe mirate prima di tutto a entrare in possesso di informazioni sensibili, e in secondo luogo a sfruttare quanto raccolto per effettuare furti, frodi o crimini di altro tipo. Stando all’ultimo rapporto Clusit, circa il 10% degli attacchi registrati sarebbe da ricondurre proprio al social engineering.

Un esempio di attacco di questo tipo è quello che vede un hacker che, per via di una password molto debole scelta dall’utente (si pensi che la password più usata nel 2021 è “123456”, seguita da “123456789” e da “12345”) riesce ad accedere al suo account Facebook. A quel punto raccogliere le più disparate informazioni sull’utente diventa estremamente facile, così da aprire le più diverse possibilità al malintenzionato. Questo potrebbe, per esempio, ricavare informazioni preziose sulle amicizie dell’utente, così da scegliere la “preda” perfetta per una truffa: a quel punto potrà mandare un messaggio o un’email a nome dell’utente all’amico, domandando una richiesta di bonifico. Arrivando da un contatto affidabile, l’amico potrebbe decidere di effettuare il bonifico come richiesto, andando a versare i propri soldi su un conto intestato all’hacker stesso o su un conto a cui l’hacker ha facile accesso.

Già da questo semplice esempio si può capire come gli attacchi di social engineering permettano ai malintenzionati di fare danni consistenti facendo leva non su difficili algoritmi o tecniche complesse, quanto invece unicamente sulle ingenuità degli utenti.

grafica rappresentativa di un uomo incappucciato al pc

Vediamo alcune tipologie di attacco:

  • 1

    Phishing: è una truffa online attraverso la quale un malintenzionato cerca di ingannare la vittima, fingendosi un contatto affidabile. L’obiettivo è convincere l’utente a fornire di propria volontà informazioni personali. Il phishing viene tipicamente effettuato attraverso l’email;

  • 2

    Smishing: una forma specifica di phishing che utilizza per lo più i telefoni cellulari e gli smartphone, attraverso SMS o altri messaggi;

  • 3

    Vishing: come lo smishing, ma con la differenza che l’attacco avviene stavolta via voce, tramite call center.

Come difendersi, a partire dalla gestione delle password

Molto spesso gli attacchi che riguardano il volto umano della cyber security partono da una gestione distratta delle password da parte dell’utente. Per essere ritenuta sicura una password deve essere:

1. diversa per ogni servizio;

2. sempre segreta, da non condividere nemmeno con i colleghi;

3. aggiornata regolarmente, per vanificare così gli sforzi di chi è già riuscito a impossessarsi degli accessi;

4. del tutto originale, e quindi non realizzata a partire da parole presenti nei dizionari

composta da numeri, simboli, lettere maiuscole e minuscole;;

5. lontana da noi, non realizzata a partire da nomi di amici, parenti o animali, né da date di nascita;

6. possibile da ricordare, senza quindi richiedere trascrizioni di alcun tipo;

7. lunga almeno 12 caratteri;

8. se per l’ambito lavorativo, costruita adottando un modello diverso rispetto a quello usato per le password per l’ambito personale (e viceversa);

9. Non essere salvata sul PC in un file “password.doc”, e neanche in una nota del telefono.

 

Indubbiamente la gestione ottimale delle password in azienda prevederebbe altri due passaggi. Prima di tutto l’uso di un buon password manager, in secondo luogo, se possibile, l’introduzione di un sistema a doppia autenticazione.

immagine che rappresenta una ragazza inserire una password al pcimmagine che rappresenta una ragazza inserire una password al pc

Come difendersi dal Phishing

Elenchiamo qui dei consigli basilari per difendersi dagli attacchi di Phishing: ecco cosa fare di fronte a un’email sospetta:

· Gli hacker giocano spesso sull’urgenza di compiere un’azione (cliccare subito, accedere subito, pagare subito). È bene alzare il livello di diffidenza tutte le volte in cui subentra questo elemento:

· Si aspettava un’email da quell’utente, da quella azienda o da quel servizio? Se la risposta è no, meglio essere cauti;

· In presenza di un link sospetto, prima di cliccare, controllare sempre utente e indirizzo;

· Quando si ha un dubbio, meglio controllare che il mittente sia sia coerente con l’indirizzo di posta elettronica;

· Un sito sicuro, tendenzialmente, presenta il protocollo “https” nonché un dominio corretto;

· Delle email scritte con un italiano farcito di errori dovrebbero sempre destare sospetto;

· In caso di dubbio, può essere utile fare una breve ricerca su Google indicando mittente, oggetto e contenuto: in molti casi si potrà scoprire se ci sono attacchi di quel tipo in corso;

· Una buona base di scetticismo, quando si tratta di sicurezza informatica, fa sempre bene. Nel ricevere un’email che sembra “troppo bella per essere vera” meglio raddoppiare l’attenzione;

· In caso di messaggio dubbio da parte di un mittente noto, evitiamo di cliccare o di effettuare quanto richiesto, e contattiamo in altro modo la persona che dovrebbe essere dietro a quella email.

immagine che mostra donna al pc che inserisce i dati della sua carta di credito