Lo sfruttamento degli errori umani ai fini dell’attacco alle organizzazioni è diventata da tempo la migliore strategia a disposizione dei cybercriminali. Negli ultimi anni, infatti, gli attacchi all’elemento umano sono cresciuti del 300%.

Le realtà organizzative complesse, con molti ruoli, competenze ed eterogenee sono più vulnerabili di altre dal punto di vista tecnologico. Modificare comportamenti ed abitudini tramite programmi di awareness è difficile e nel migliore dei casi avviene con estrema lentezza, questo si traduce in una vulnerabilità persistente, difficile da sradicare.

Una nuova dimensione di sicurezza informatica

Occorre quindi introdurre una nuova dimensione di sicurezza informatica che si concentri sull’elemento umano. La fonte di rischio cyber non è un sistema informatico, ma una persona o un gruppo di persone in carne ed ossa.

Si può affermare, quindi che la social engineering, come forma di attacco, sta vivendo una sorta di “seconda giovinezza” per via della crescente incidenza delle minacce informatiche che vanno a colpire l’anello più debole del sistema informativo: i suoi utenti.

Alla base di questa crescita ci sono due motivazioni principali:

• L’arrivo del Covid-19 e la conseguente esplosione del Work from Anywhere (WfA) che ha creato molti utenti nomadici, spesso impreparati, esposti alle minacce internet in prima persona;
• L’inizio della guerra tra Ucraina e Russia, che ha aggiunto motivazioni geopolitiche che prima erano prevalentemente di natura economica.

La Visione del Cefriel

Secondo la visione del Cefriel, Centro di innovazione digitale fondato dal Politecnico di Milano, la sicurezza dell’elemento umano passa tramite 7 temi, che qui riportiamo.

Vulnerability Assessment/Penetration Testing dell’elemento umano

Come per ogni sistema vulnerabile, anche per le persone occorre poter testare la sicurezza effettiva con adeguati test di sicurezza, allo scopo di indentificare le vulnerabilità e porvi rimedio.

Ecco perché parliamo di Vulnerability Assessment (VA) e Penetration Testing (PT) della componente umana, con lo scopo di misurare il rischio che le persone rappresentano per l’integrità aziendale.

Humans in the loop

Ovunque sono coinvolte delle persone (Humans in the loop) nel mondo IT, esiste anche un potenziale problema. I problemi di cybersecurity legati all’elemento umano riguardano qualsiasi azione, o errore, che comporti un rischio cyber per l’organizzazione. Di conseguenza coinvolge sia i dipendenti che gli addetti alla sicurezza.

Lo scopo ultimo di un VA o di un PT è quello di comprendere il grado di resilienza dell’infrastruttura di difesa aziendale ad una particolare minaccia, oppure ad una particolare tecnica di attacco.

Il test può essere compiuto in due modi:

• Contro l’intero armamentario delle difese aziendali, sia tecniche che umane
• Saltando gli strati di tecnologia che proteggono ed isolano gli umani esponendoli direttamente

Nella prima modalità l’elemento umano è una parte della sequenza di attacco, mentre nella seconda ci si concentra maggiormente sulle persone esponendole direttamente ad una minaccia informatica, saltando tutte le infrastrutture tecnologiche sovrastanti.

Conclusioni

Un recente progetto americano è alla ricerca di modi per utilizzare teorie psicologiche per contrastare gli attacchi cyber. Gli scienziati stanno studiando come comprendere e prevedere il comportamento degli hacker per essere più efficaci nel fermare gli incidenti informatici. Ad oggi, infatti, non c'è abbastanza attenzione nella sicurezza informatica.