Che cos'è una minaccia interna?

Una minaccia interna è causata dall'uso improprio di dati aziendali, sia esso di natura accidentale o dolosa, che possono essere impiegati con un intento criminale o visualizzati da persone che non potrebbero altrimenti accedervi in modo legittimo. 

Le minacce interne sono tra le minacce alla sicurezza più comuni a cui devono far fronte le aziende; nella maggior parte dei casi provengono da utenti che compiono errori.

Se non ti va di leggere l'articolo, puoi guardare questo breve video sulle minacce interne.

A volte può non comportare alcun rischio, in altri casi molti. Le conseguenze dipendono dai danni che potenzialmente può arrecare la divulgazione di un singolo segreto commerciale o la ripetizione inosservata di tanti piccoli errori.

Alcune minacce interne possono portare al fallimento intere aziende, mettere in imbarazzo le persone, minacciare la sicurezza di clienti o partner commerciali, avere un costo elevato o rendere vulnerabile la sicurezza nazionale di un paese o un'infrastruttura chiave. Numerose sono le agenzie federali statunitensi che descrivono i rischi dell'insider threat:

• Cybersecurity & Infrastructure Security Agency (CISA)
• Dipartimento della sicurezza interna degli Stati Uniti (DHS)
• National Institute of Science and Technology’s (NIST’s) Computer Security Resource Center (CSRC)
• Federal Bureau of Investigation (FBI)

Anche Red Hat, fermo sostenitore dell'approccio open source nonché leader nella fornitura di soluzioni open source per le aziende, adotta scrupolose procedure per difendersi dalle minacce interne. Il modello di sviluppo open source di Red Hat® Enterprise Linux® viene rilasciato al pubblico tramite la community open source CentOS Stream, ma soltanto dopo molteplici processi di revisione, test e controllo di qualità.

Contrariamente all'opinione comune, la maggior parte delle minacce interne non sono perpetrate da ex dipendenti che intenzionalmente puntano a un attacco doloso. La maggior parte delle volte sono causate da utenti normali, proprio come te.

Probabilmente non hai mai considerato la possibilità di diventare il vettore di una minaccia, tanto meno di una minaccia interna per la tua azienda. Tuttavia, è bene riflettere su tutte le preziose informazioni a cui accedi legittimamente ogni giorno: proprietà intellettuale, processi di software engineering, credenziali della rete organizzativa, dati sulle prestazioni aziendali.

Ecco perché prestare attenzione alle domande finali dei corsi di etica aziendale è fondamentale. Non vanno considerate con superficialità, ma vanno valutate molto, molto attentamente, perché aiutano a rilevare le potenziali minacce interne.

• Quali sono gli indicatori di una potenziale minaccia interna?
• Quale condizione potrebbe indicare una minaccia interna da riferire ai superiori?
• Quanti indicatori di potenziali minacce interne puoi individuare?

In genere, è possibile ascrivere gli utenti responsabili delle minacce interne a tre tipologie:

• Utente interno malintenzionato: l'utente cerca intenzionalmente di causare danno o trarre vantaggio dal furto o dal danneggiamento di dati o servizi.
• Informatore: l'utente ritiene che l'azienda stia facendo qualcosa di sbagliato.
• Errore dell'utente: l'utente compie semplicemente uno sbaglio.

Infine, c'è il phishing. Il phishing è un tipo di attacco basato sull'ingegneria sociale nel quale un utente viene indotto a fornire informazioni sensibili o dati personali tramite una richiesta ingannevole, ad esempio una falsa email o un'offerta che in realtà ha lo scopo di truffarlo. Se è un interno ad avviare l'attacco di phishing, parliamo di minaccia interna. Se il mandante è esterno, ad esempio l'autore del malware, si tratta di un altro tipo di minaccia di sicurezza.

La sicurezza è una responsabilità condivisa. I team della sicurezza possono gestirne i criteri e aiutare gli altri a fare più attenzione ai protocolli di sicurezza, ma contare esclusivamente sugli specialisti per il controllo di ogni aspetto risulta inefficace.

I sistemi di sicurezza di un'azienda sono sempre attivi, a prescindere dai controlli di sicurezza, dai team CERT responsabili in caso di emergenza informatica o dai programmi contro le minacce interne. Basta pensare a tutte le agenzie locali, regionali, nazionali e internazionali che si occupano di sicurezza informatica e antitrust.

La protezione più ovvia contro le minacce interne è una gestione ottimale di autorizzazioni e firewall, mirata a impedire la perdita dei dati, ma una strategia di sicurezza efficiente deve tenere conto anche di altre tre componenti:

• Formazione: i team di sicurezza possono ridurre le possibilità di minacce esterne e di attacchi interni insegnando alle persone come agire correttamente ed enfatizzando la responsabilità che ogni dipendente ha nell'adottare tali pratiche. Educare all'utilizzo dei report e dei sistemi di segnalazione serve anche a promuovere un senso di appartenenza e condivisione all'interno dell'azienda, di cui il team di sicurezza è parte integrante insieme agli altri utenti.
• Sicurezza per impostazione predefinita: è l'approccio alla sicurezza più semplice, ovvero un ambiente bloccato in cui l'accesso è l'eccezione alla regola. È più semplice agire correttamente per impostazione predefinita quando il percorso più facile è anche quello più sicuro. Adottare questo approccio può significare passare al controllo degli accessi basato sui ruoli o fornire agli utenti esclusivamente il necessario per svolgere il proprio lavoro, secondo il principio dell'accesso minimo.
• Buona comunicazione: è importante che le persone abbiano familiarità nel parlare con i propri responsabili. In questo modo saranno incoraggiate a riferire anche in modo proattivo. Il personale deve percepire di avere un partner con cui collaborare per accertarsi che le attività vengano svolte nel rispetto della sicurezza.
• Umiltà: non dimenticare che errare è umano. Non fai parte di una giuria, devi solo gestire la situazione: limitati a risolvere il problema. Non ci si deve preoccupare del fatto che sia stato compiuto un errore, perché punire gli errori a prescindere incita una cultura del timore e della riluttanza, in cui le persone aspetteranno fino all'ultimo minuto per segnalare i problemi.

Red Hat collabora con le community open source upstream per realizzare software di livello enterprise consolidati, testati e distribuiti in modo sicuro. Da questa collaborazione nascono prodotti open source per le aziende con i quali creare, gestire e automatizzare la sicurezza di cloud ibridi, catene di distribuzione, applicazioni e persone.