(di Dave Russell, Vice President of Enterprise Strategy at Veeam e di Rick Vanover, Senior Director Product Strategy, Veeam) Dopo la recente rivelazione che un giovane aviatore ha fatto trapelare online documenti riservati, il governo degli Stati Uniti si trova ancora una volta a fare i conti con la realtà che i cattivi attori – sia dall’interno che dall’esterno – sono intenzionati a condividere i segreti del Paese. Già questo è sufficiente a tenere svegli i responsabili della sicurezza. Se a questo si aggiunge una minaccia continua meno ostile ma altrettanto distruttiva, si ottiene uno scenario da incubo in piena regola.
La minaccia meno ostile: le fughe di notizie accidentali e involontarie da parte del personale interno. Questi leaker non hanno un vero intento malevolo. Stanno semplicemente svolgendo il loro lavoro, vivendo la loro vita, accedendo e/o condividendo informazioni che non dovrebbero, mettendo a rischio i loro dipartimenti e gli interessi degli Stati Uniti in modo negligente e approssimativo.
L’errore umano è – ed è stato – di gran lunga la causa principale delle violazioni dei dati nel settore pubblico e privato. Il Rapporto sui rischi globali 2022 del World Economic Forum riconduce il 95% delle minacce alla sicurezza informatica a una qualche forma di errore umano. Un’altra fonte, il Data Breach Investigations Report (DBIR) del 2022, ha rilevato che l’82% delle violazioni deriva da errori umani.
Le fughe accidentali di notizie sono da anni una spina nel fianco dei governi. In tutto il mondo si sono verificati casi di un funzionario britannico che ha lasciato file di Al-Qaeda su un treno, di file del governo australiano trovati in armadi venduti e di strumenti antiterrorismo del governo britannico divulgati inavvertitamente su Trello. Negli Stati Uniti, nel 2015 sono state pubblicate online le informazioni personali di 191 milioni di elettori e i soldati statunitensi hanno accidentalmente divulgato segreti nucleari su un’applicazione di studio.
Se non altro, il problema potrebbe peggiorare prima di migliorare. La portabilità dei dati sta crescendo in modo esponenziale, dando ai governi la possibilità di ospitare i dati in diversi luoghi e di consentire l’accesso a più dipartimenti in ambienti di lavoro ibridi. L’aumento del lavoro virtuale spesso riduce il livello di supervisione delle organizzazioni sulle pratiche tecnologiche dei dipendenti. Una maggiore quantità di dati nel cloud crea più portali per gli hacker, che possono approfittare di una gestione poco attenta dei dati. Queste tendenze, unite alla mancanza di conoscenze del personale in materia di igiene informatica o di OPSEC, rendono le fonti di dati governativi il sogno degli esfiltrati.
Quindi, cosa possono fare il settore pubblico e quello privato per aiutare i dipendenti a non lasciar trapelare informazioni attraverso i secchi che perdono?
In primo luogo, le organizzazioni possono assicurarsi di proteggere i propri dati negli ambienti cloud e container. Quando le aziende investono nel cloud, molte non riescono a creare strutture di rete e di sicurezza che soddisfino gli standard rigorosi che si aspettano in azienda. Se le organizzazioni non creano modelli di sicurezza per il cloud prima dell’implementazione, spesso è troppo tardi per tornare indietro e impostare controlli adeguati. Questo mette a rischio la proprietà intellettuale dell’azienda. È come permettere a un attore disonesto di sedersi in un cubo in un corridoio con un cavo collegato alla rete.
In secondo luogo, le organizzazioni possono affinare le politiche relative a chi ha accesso a quali dati. Dato il valore critico delle informazioni, soprattutto se classificate, le organizzazioni devono stabilire modelli di sicurezza a fiducia zero e procedure di controllo degli accessi basate sui ruoli (RBAC) e sul principio del “minimo privilegio”.
I modelli di sicurezza a fiducia zero obbligano gli utenti a dimostrare attivamente che ci si può fidare di loro per accedere alle informazioni che cercano. Ciò significa che è necessario implementare strumenti in grado di identificare gli utenti noti in base a password, dettagli di login o dati biometrici. Il principio del minimo privilegio restringe l’imbuto consentendo agli utenti di accedere solo agli strumenti, alle tecnologie e ai documenti che sono autorizzati a utilizzare. Se e quando i loro ruoli cambiano, l’organizzazione può modificare i privilegi di accesso degli utenti.
In terzo luogo, le organizzazioni dovrebbero considerare il problema delle fughe involontarie di notizie come un’occasione per migliorare la pratica dell'”igiene digitale” da parte del personale.
Ciò include regolari cicli di formazione sulle pratiche di cybersecurity e sulla necessità di gestire i dati in modo appropriato. Le organizzazioni non dispongono di esperti di sicurezza da cima a fondo, quindi devono fornire le conoscenze di base e delineare le azioni appropriate da intraprendere in caso di incidente. Inoltre, devono verificare ripetutamente l’efficacia dei loro programmi di formazione sulla sicurezza informatica. Molte organizzazioni organizzano corsi di sensibilizzazione sulla sicurezza una o due volte l’anno. Questo non è sufficiente. La formazione dei firewall umani deve essere continua, con i dipendenti che ricevono aggiornamenti e nuovi briefing in base all’insorgere delle minacce.
Inoltre, comporta l’etichettatura di importanti risorse digitali. Per creare un piano di risposta di cybersecurity di successo è fondamentale capire quali sono gli asset critici per un’organizzazione e come proteggerli efficacemente.
Altre buone pratiche sono le seguenti:
- Utilizzare l’autenticazione a più fattori (MFA). Configurare l’MFA per garantire una maggiore sicurezza dell’account
- Utilizzate una solida politica di password e una politica di blocco dell’account
- Rimuovere i dispositivi, le applicazioni, i dipendenti che hanno lasciato il lavoro e i programmi e le utility non essenziali.
- Disattivate l’accesso a Internet, le porte e altre connessioni quando non sono necessarie.
- Gestione delle patch: Assicurarsi che tutti i software, l’hardware e il firmware in uso abbiano livelli di software aggiornati.
I governi e le organizzazioni private sono sotto attacco. I malintenzionati diventano ogni anno più creativi e più esperti, costringendo le organizzazioni a fare di più per proteggere le risorse vitali dalle mani sbagliate. Le tattiche di protezione devono concentrarsi sulle minacce ostili, ma devono estendersi anche a quelle non ostili, perché la condivisione involontaria di informazioni può mettere le organizzazioni ugualmente a rischio.