Phishing in azienda e formazione
Secondo l’ultimo report Spam and phising in Q3 2018, gli attacchi phishing intercettati dalle soluzioni software di Kaspersky Lab hanno raggiunto a livello mondiale i 137 milioni nel terzo trimestre 2018, con una crescita del 27% sul trimestre precedente. In più, gli attacchi sono sempre più spesso diretti verso utenti aziendali, mettendo a rischio informazioni riservate, accesso agli ambienti digitali dell’organizzazione, conti e sistemi di pagamento…
Come ci si difende? Non solo con i software: poiché la crescita delle frodi online – phishing e altro – è trainata dalla bassa consapevolezza dei rischi e da un utilizzo superficiale di internet da parte degli utenti, la soluzione consiste nello sviluppo di digital awareness in azienda, con azioni di comunicazione interna e formazione.
Cos’è il phishing
Il phishing è una tipologia di frode informatica, che ha l’obiettivo di estorcere dati sensibili agli utenti, ad esempio password o dati di carte di credito. La forma tipica è un messaggio email, o un sms, o un banner, che imita una comunicazione ufficiale della tua banca, dell’azienda in cui lavori, del tuo gestore telefonico… attraverso un link, il messaggio invita a collegarsi a un sito web nel quale vengono chieste le credenziali della banca o di un sistema di pagamento, iInformazioni che vengono poi utilizzate a danno della vittima. Nel tempo le tecniche del phishing si sono evolute in termini di contraffazione dei contenuti e della grafica, di imitazione degli URL legittimi, con risultati sempre più difficili da distinguere rispetto agli “originali”.
Il phishing in azienda
I test SDVA (Social Driven Vulnerability Assessment) condotti da Cefriel su 40 mila dipendenti di più di 20 imprese in tutta Europa, palesano una netta impreparazione del personale aziendale: il 60% degli utenti clicca il link malevolo e circa il 75% di questi cede le proprie credenziali senza approfondire fonte e motivazioni della richiesta.
Un fattore rilevante in questa analisi è risultato essere il tempo: il 50% del totale delle vittime “abbocca” entro i primi 20 minuti, mentre i processi e i sistemi di sicurezza aziendali necessitano verosimilmente di almeno un paio d’ore per attivare varie forme di contromisure.
A livello di settori, è quello bancario/assicurativo a manifestare le maggiori vulnerabilità. Dagli attacchi condotti su più aziende del settore risulta che in media il 41% clicca sul link ingannevole, mentre in media il 27% inserisce le proprie credenziali. Numeri più bassi, ma comunque preoccupanti sono stati rilevati per le aziende nella pubblica amministrazione.
Come proteggersi
Come arginare nelle nostre aziende questo fenomeno in crescita esponenziale, legato a fattori sia tecnici sia umani?
In primo luogo, come best practice generale, è ovviamente fondamentale dotarsi di sistemi di sicurezza digitale: antivirus, firewall, antiphishing… per ridurre al minimo le possibili interazioni con contenuti ingannevoli. Ma la tecnologia non basta; è necessario anche avviare in azienda processi di formazione, finalizzati ad un approccio più consapevole al digitale da parte dei dipendenti, che devono saper individuare e distinguere un tentativo di frode dalle normali interazioni digitali con colleghi e con l’esterno, cogliendo i segnali che, seppur nascosti, sono sempre presenti.
Le persone devono essere quindi al centro della sicurezza online dell’azienda: bisogna aiutarle a sviluppare un modo di lavorare orientato alla prevenzione del rischio digitale, attraverso la formazione sugli elementi base della cyber-security e l’adozione di pratiche aziendali “di buon senso”, definite e trasmesse a livello dell’intera organizzazione.