Il 20% delle violazioni di dati sono causate da personale interno

Oltre ai malintenzionati esterni, quando le organizzazioni pianificano la propria strategia di sicurezza informatica, devono tenere conto anche di un altro tipo di minacce: quelle al loro interno. Gli interni che costituiscono una minaccia (insider) possono essere di vario tipo. Da un lato, vi sono persone che conoscono segreti e creano aperture che mettono a rischio l'organizzazione in modo non intenzionale; dall'altro ve ne sono altre che causano danni intenzionalmente, mosse da motivazioni quali guadagno, estorsione o rancore. Si possono quindi classificare come segue:
- Accidentali: persone interne all'organizzazione che inconsapevolmente eseguono azioni improprie e potenzialmente pericolose.
- Negligenti: membri del team che non cercano di danneggiare l'azienda intenzionalmente ma decidono di imbarcarsi in azioni rischiose e improprie, sperando non diventino un problema.
- Malevoli: interni che agiscono volutamente con l'intento di arrecare danno all'organizzazione.
Il report 2022 di Verizon sulla violazione dei dati svela che, a livello globale, gli interni sono stati responsabili del 20% delle violazioni di dati. Da uno studio del Ponemon Institute si osserva inoltre che occorrono 85 giorni in media per attenuare un incidente di sicurezza interno, obbligando l'organizzazione a investire più risorse in prevenzione, rilevamento e rimedi.
Interni malevoli
Il report di Verizon indica anche che quest'anno si sono verificati 275 incidenti causati dall'abuso intenzionale di privilegi, 216 dei quali sono sfociati in divulgazioni dei dati confermate. L'incidente avvenuto presso General Electric è un esempio eclatante di minaccia proveniente dall'interno, in cui un ex dipendente e un dipendente in servizio si sono appropriati di registrazioni di un programma informatico e di un modello matematico utilizzati da GE per calibrare con perizia le centrali elettriche, scaricando anche, dal sistema dell'azienda, migliaia di file che comprendevano segreti commerciali, per fondare una propria azienda e fare concorrenza all'ex datore di lavoro.
La motivazione principale che spinge a commettere violazioni di dati interni è finanziaria (78%), sebbene fra i risultati del report figurino anche risentimento (9%), spionaggio (8%) e praticità (6%). Queste persone, motivate principalmente da guadagni finanziari, rubano dati personali (70%) e in minor misura dati medici (22%), che sono entrambi tipi di informazioni facili da monetizzare.
Il ruolo che giocano i partner in una difesa proattiva
I partner per la sicurezza informatica sono posizionati in modo ottimale per attenuare questo tipo di attacchi. Per fornire il valore di cui i clienti necessitano, il loro portafoglio prodotti deve includere una soluzione per la protezione degli endpoint che apporti visibilità dei dispositivi in rete e sia in grado di offrire prevenzione, rilevamento e risposta alle minacce, oltre a rilevare i comportamenti anomali degli utenti. La soluzione deve avere le seguenti caratteristiche:
- Funzionalità EDR per il monitoraggio continuo che impediscono l'esecuzione di processi non noti e automatizzano il rilevamento, il contenimento e la risposta alle minacce avanzate.
- Funzionalità EPP che proteggono da virus, malware, spyware e phishing.
- Analisi comportamentale e rilevamento di script, macro, ecc. degli indicatori di attacco (IoA).
- Filtro degli URL, controllo dei dispositivi e un firewall gestito
La soluzione per la protezione degli endpoint deve essere corredata anche da funzionalità per il monitoraggio delle informazioni sensibili e personali, utili per applicare meccanismi di prevenzione e controllo valutando nel contempo l'origine e l'impatto di una potenziale violazione dei dati.
Gli strumenti di crittografia dei dati costituiscono il sistema più efficace per evitare di incorrere negli elevati costi associati alla gestione della violazione dopo la perdita o il furto di laptop e unità di archiviazione rimovibili. Gli MSP devono unire una soluzione per gli endpoint integrata a prodotti di crittografia e controllo dei dati.
Per un partner per la sicurezza informatica partner, la visibilità è di importanza cruciale nella risposta agli alert. La possibilità di coordinare soluzioni diverse da un'unica dashboard gestita dal cloud conferisce agli MSP un vantaggio a livello di competitività. In base al sondaggio Pulse, il 95% degli MSP ritiene che si perda in efficienza passando da un'interfaccia prodotto all'altra. Per questo motivo, le soluzioni integrate nel loro portafoglio prodotti devono semplificare le attività e fornire nel contempo la sicurezza necessaria nell'attuale scenario delle minacce informatiche sempre più complesso. È giunto il momento di adottare una difesa proattiva.