Il dato è recente e proviene da una fonte attendibile, il rapporto Clusit 2020, pubblicato solo lo scorso novembre: il phishing aumenta ogni anno dell’80%. Attacchi apparentemente banali, che arrivano via email e fanno leva sulla distrazione o la poca preparazione del personale, ma che possono provocare ingenti fuoriuscite di dati personali e sensibili. E conseguenze molto spiacevoli per le aziende.
Il fattore umano si dimostra ancora una volta l’anello debole della catena, ecco perché tutti i quadri normativi di riferimento per l’information security – in primis la ISO 27001 e non da ultimo il GDPR– sono concordi nel sottolineare l’importanza del ruolo della formazione dei dipendenti in materia di sicurezza informatica. Eppure, evidentemente, qualcosa ancora non funziona: da un lato la formazione tradizionale non è pienamente efficace, dall’altro molte aziende devono ancora crescere in consapevolezza, ossia in quella che si definisce Security Awareness.
Perchè misurare la Security Awareness
Molte aziende in Italia, soprattutto PMI, non conoscono il loro livello di esposizione a un potenziale attacco informatico. Questo non permette loro né di crescere in termini di cultura della sicurezza, né, tantomeno rafforzarla concretamente. Ecco perché è così importante partire dalla misurazione.
Un progetto di security awareness può, come punto di partenza, simulare queste tipologie di attacchi attraverso una piattaforma di phishing simulation, che invierà in un certo arco temporale una serie di finte campagne malevoli di cui i dipendenti dell’azienda dovranno essere, ovviamente, completamente ignari.
Conoscere il tasso di incidenza di queste campagne permette al management dell’azienda di capire il livello di security awareness dei propri dipendenti e mettere in atto le più opportune strategie di formazione. Ripetere gli invii a distanza di tempo permetterà all’azienda di stabilire un trend per ottenere un ROI tangibile.
PHISHING, quanto e’ insidioso?
In queste campagne un indicatore molto importante è quello di tipo qualitativo e riguarda la tipologia di e-mail phishing. La più comune è quella “drive by”, che si serve di una email contenente un link che se cliccato porta all’installazione automatica del malware. C’è poi la campagna di tipo “data entry” che invece invita l’utente a inserire credenziali di accesso o dati sensibili come quelli delle carte di credito all’interno di una landing page apparentemente legittima.
L’esperienza in progetti di questo tipo ci dice che per le campagne “drive by” si ha una media di utenti compromessi che oscilla tra il 12% e il 18% alla quale è opportuno aggiungere che circa il 25% dei soggetti quantomeno apre l’email. Per quanto riguarda la tipologia “data entry” le percentuali vanno mediamente dal 5% all’8%. Sono numeri preoccupanti, percentuali alte considerata la pericolosità degli attacchi che possono causare danni difficilmente pronosticabili.
LA FORMAZIONE IN SECURITY AWARENESS
Un buon programma di formazione in security awareness è molto efficace per aumentare il “firewall umano” delle aziende. Alla simulazione degli attacchi andranno affiancati moduli formativi per gli utenti colti in fallo dalle campagne sui temi del phishing, delle fake invoices, del conctact spoofing e della conservazione delle password. Di solito i tassi di apertura crollano sensibilmente già dopo la terza tornata di simulazione. In particolare, le percentuali diminuiscono fino al 5% per quanto riguarda gli attacchi “drive by” e fino a percentuali prossime allo zero per la tipologia “data entry”.
