Le minacce interne sono un serio pericolo per le aziende e persino per gli Stati. Il problema è in crescita e crea seri problemi e danni, economici e non solo. Ecco cosa sono e come difendersi
Le insider threat rappresentano un rischio che tocca potenzialmente tutti i settori, sia le aziende private che gli enti pubblici e che mette a repentaglio la sicurezza di chi le subisce. Le minacce interne sono le più difficili da individuare e da cui difendersi, perché – come vedremo – non sempre sono attuate in modo intenzionale. Più di due incidenti di insider threat su tre sono causati da negligenza.
I danni, economici e non solo, sono pesanti: costano milioni alle aziende, comportano violazioni che espongono dati sensibili di clienti e aziende e sono difficili da prevenire. Spesso si sottovaluta il problema e questo comporta grossi rischi: dipendenti e collaboratori possono essere, consapevolmente o meno, gli autori delle minacce, potendo avere accesso a risorse aziendali in termini di dati.
Giusto per comprendere quanto sia ancora poco percepita la necessità di approntare la giusta sicurezza, un report di Cybersecurity Insiders poneva la domanda alle aziende se monitorassero il comportamento degli utenti per rilevare attività anomale. Da quanto è emerso, solo il 28% delle aziende ha risposto di farlo impiegando l’automazione, mentre il 14% non monitora affatto il comportamento degli utenti e solo una su dieci lo fa solo dopo che si è verificato un incidente.
Così si arriva a esporsi a rischi e a pagare costi pesanti: come rivela il rapporto 2022 Cost of Insider Threats: Global Report, del Ponemon Institute, i casi di insider threat sono aumentati del 44% negli ultimi due anni, con un incremento dei costi per incidente di oltre un terzo, fino a 15,38 milioni di dollari. Le sole aziende statunitensi subiscono ogni giorno circa 2.500 violazioni della sicurezza interna, con grave rischio delle risorse e dei dati, mentre più di un terzo (oltre il 34%) delle aziende di tutto il mondo è colpito ogni anno da minacce interne.
Riportiamo qualche altro dato utile: il costo del furto di credenziali per le organizzazioni è aumentato del 65%, passando dai 2,79 milioni di dollari del 2020 ai 4,6 milioni di dollari attuali; il tempo per contenere un incidente di minaccia insider è salito da 77 a 85 giorni, portando le organizzazioni a spendere di più per il contenimento; gli incidenti che hanno richiesto più di 90 giorni per essere contenuti sono costati alle organizzazioni una media di 17,19 milioni di dollari su base annua.
![Il costo medio delle perdite causato dalle tipologie di Insider threat [fonte: rapporto 2022 "Cost of Insider Threats: Global Report" - Ponemon Institute]](https://universeit.blog/web/app/uploads/2022/09/insider-threat-perdite-globali.jpg)
![Il costo medio per tipo di minaccia Insider threat [fonte: rapporto 2022 "Cost of Insider Threats: Global Report" - Ponemon Institute]](https://universeit.blog/web/app/uploads/2022/09/Insider-Threat-minacce-e-costi.jpg)
Cos’è un insider threat
Partiamo dal definire cos’è un insider threat: come spiega bene la Cybersecurity & Infrastructure Security Agency (CISA) è una persona che ha o ha avuto accesso autorizzato o conoscenza delle risorse di un’organizzazione, compreso il personale, le strutture, le informazioni, le attrezzature, le reti e i sistemi. La stessa definisce così la minaccia interna: la possibilità che un insider utilizzi l’accesso autorizzato o la conoscenza di un’organizzazione per danneggiarla. Questo danno può includere atti dolosi, consapevoli o non intenzionali che influenzano negativamente l’integrità, la riservatezza e la disponibilità dell’organizzazione, dei suoi dati, del personale o delle strutture.
L’insider threat colpisce, come detto, le aziende di qualsiasi dimensione come gli enti governativi: la minaccia, infatti, può arrecare danni sotto forma di spionaggio, terrorismo, divulgazione non autorizzata di informazioni sulla sicurezza nazionale o perdita o degrado di risorse o capacità organizzative.
Gli insider malintenzionati hanno un netto vantaggio rispetto ad altre categorie di cyber delinquenti, in quanto hanno familiarità con i sistemi aziendali, i processi, le procedure, le policy e gli utenti. Sono consapevoli delle versioni dei sistemi e delle loro vulnerabilità. Per questo le organizzazioni devono quindi affrontare le minacce interne con lo stesso rigore con cui affrontano quelle esterne.
Spesso, però, non è facile riscontrare le insider threat, anche impiegando strumenti avanzati di rilevamento delle minacce alla sicurezza. Ciò è probabilmente dovuto al fatto che in genere questo tipo di minaccia non si rivela fino al momento dell’attacco. A ciò si aggiunge il fatto che l’utente malevolo ha le sembianze di un utente legittimo e quindi è difficile distinguere tra un comportamento normale e un’attività sospetta.
Le diverse tipologie
Detto che la insider threat può essere involontaria o intenzionale, è possibile distinguere varie tipologie di questo tipo di minaccia.
Partiamo dalle minacce involontarie: possono essere causate per negligenza o accidentalmente. Nel primo caso, spiega ancora CISA, gli insider negligenti sono generalmente a conoscenza delle politiche di sicurezza e di information technology, ma scelgono di ignorarle, creando un rischio per l’azienda o l’ente. Esempi di negligenza possono essere lo smarrimento di un dispositivo di archiviazione portatile contenente informazioni sensibili, ignorare consapevolmente i messaggi di installazione di nuovi aggiornamenti e patch di sicurezza o anche aver dato il permesso di accesso alle risorse aziendali a terzi senza alcuna autorizzazione.
Le minacce accidentali, proprio per la loro natura, non possono essere completamente evitate, ma quanto meno mitigate. Un esempio è l’apertura inavvertitamente di un collegamento ipertestuale o di un allegato contenente un virus in un’e-mail di phishing.
Diverso è il discorso delle minacce intenzionali che vengono condotte per ottenere un vantaggio o un guadagno personale o per agire in base a una rimostranza personale, danneggiando consapevolmente l’azienda o l’ente di cui si fa (o si faceva) parte. Gli esempi di azioni malevole consapevoli vanno dal prelievo di informazioni sensibili al sabotaggio di attrezzature fino al furto di dati per sperare di fare carriera.
Ci sono poi le minacce collusive messe in atto da persone che collaborano con un attore esterno per compromettere un’organizzazione. Questi incidenti spesso coinvolgono criminali informatici reclutati per attuare frodi, furti di proprietà intellettuale o azioni di spionaggio.
Delle insider threat fanno parte le minacce di terze parti i cui protagonisti sono appaltatori o fornitori che pur non essendo membri formali di un’azienda o di un ente è stato concesso loro un determinato livello di accesso a strutture, sistemi, reti o persone per completare il loro lavoro.
Riguardo le tipologie di insider threat, ci sono differenze di classificazione. Ponemon Institute definisce le minacce interne utilizzando i concetti di negligente, criminale e phishing. Gartner, invece, preferisce definire le minacce interne in quattro gruppi diversi: pedine (Pawns); incompetenti (Goofs); collaboratori (Collaborators); lupi solitari (Lone wolves).
Le 4 categorie di Gartner (e le talpe)
Veniamo allora alla classificazione di Gartner delle insider threat.
Pedine:questa categoria comprende i dipendenti dell’azienda inconsapevolmente manipolati per intraprendere attività dannose che potrebbero portare a una violazione dei dati. Scaricando malware, le pedine possono danneggiare la sicurezza dei dati aziendali e rivelare le credenziali a seguito di attacchi di phishing e social engineering.
Pivelli: sono una categoria che incide sensibilmente in termini di rischi per la sicurezza aziendale. Essi pensano di essere esenti dalle politiche di sicurezza dei dati aziendali, vuoi per ignoranza o per arroganza. Il risultato è identico: causano una minaccia interna a causa della propria incompetenza, mettendo a rischio i dati aziendali.
Collaboratori: sono i dipendenti che collaborano con i concorrenti dell’azienda o di uno Stato straniero per commettere reati informatici. Grazie alla possibilità di impiegare il loro accesso privilegiato possono rubare informazioni sensibili, per esempio su brevetti, o sui clienti. Inoltre, sono in grado di provocare interruzioni intenzionali delle operazioni aziendali a vantaggio dell’azienda/Stato con cui è in partnership o per proprio tornaconto personale.
Lupi solitari: sono coloro che si muovono in modo del tutto autonomo, alla ricerca di vantaggi puramente personali ottenibili grazie al furto di dati sensibili. Un caso famoso è quello denominato “incidente di Waymo”, in quanto ha colpito l’impresa del gruppo Alphabet che si occupa della progettazione di auto a guida autonoma. Nel 2018 un ingegnere informatico che lavorava per Google è stato arrestato e accusato del furto di oltre 14mila documenti sensibili, relativi al funzionamento del sistema di intelligenza artificiale per veicoli autonomi Waymo di Alphabet. L’ingegnere aveva rubato questi dati e utilizzato le informazioni per creare una società concorrente chiamata Otto, che è stata poi venduta a Uber.
Oltre a queste, c’è chi ha individuato anche la categoria delle talpe (Moles): si tratta di persone esterne a un’azienda o a un ente che entrano in azione guadagnandosi la fiducia di un dipendente in servizio per ottenere l’accesso a sistemi e dati. Spesso provengono da un’organizzazione esterna che spera di rubare segreti commerciali. L’ingegneria sociale è una tattica comunemente utilizzata per ottenere un accesso non autorizzato.
Come accorgersi e difendersi dall’insider threat
La difesa dalle insider threat parte da un’attenta analisi delle persone che lavorano e di atteggiamenti anomali, sia a livello comportamentale che digitale. Nel primo caso, se una persona tende a lavorare regolarmente fuori orario, mostra risentimento nei confronti dei colleghi, opera spesso in violazione delle politiche organizzative è meglio prestare attenzione. Nel caso, invece, degli indicatori digitali, un aumento insolito di volumi di traffico di rete, magari in orari insoliti può essere il segnale di un furto di dati, oppure anche accedere a risorse che di solito non si usano o a cui non si è autorizzati oppure richiedere ripetutamente accesso a risorse di sistema non pertinenti alla loro funzione lavorativa.
Per attuare forme di prevenzione o di difesa è bene cominciare dal formare al meglio il personale in modo da fornire loro indicazioni utili in termini di sicurezza e di attento accesso alle risorse aziendali. Spesso, infatti, gli utenti autorizzati non sono adeguatamente formati o consapevoli di leggi specifiche o requisiti normativi relativi ai dati che impiegano per il proprio lavoro. I dipendenti devono essere adeguatamente formati sui potenziali rischi per la sicurezza, in modo da capire come utilizzare i sistemi dell’organizzazione in modo sicuro e protetto. I team di sicurezza dovrebbero ricevere una formazione specifica sul rilevamento delle minacce interne.
Occorre, inoltre, prestare attenzione a identità e protocolli di controllo degli accessi, evitando il proliferare di accessi autorizzati. È bene, anche in questo caso, promuovere iniziative di formazione e di sensibilizzazione al tema.
Molti strumenti di cybersecurity sono in grado di scansionare e monitorare le funzionalità per scoprire minacce come spyware, virus e malware, oltre a fornire analisi del comportamento degli utenti.
È inoltre possibile implementare controlli di sicurezza per proteggere le fonti di dati, con l’ausilio della crittografia, con periodici – e frequenti – backup, svolgendo manutenzione programmata.
Altre misure utili, a questo proposito, riguardano la possibilità di aggiungere l’analisi comportamentale e il monitoraggio dei dipendenti. Strumenti di tracciamento sofisticati, come le piattaforme di rilevamento e risposta, utilizzano tecniche d’intelligenza artificiale e machine learning per rilevare anche cambiamenti minimi nei modelli che l’uomo potrebbe non vedere.
Un’altra buona idea è ridurre la superficie di attacco attraverso il monitoraggio continuo. Gli strumenti di monitoraggio continuo e di gestione della superficie di attacco contribuiscono alla scansione costante dei sistemi informatici e delle reti, all’inventario delle vulnerabilità.
Infine, è possibile applicare le patch alle vulnerabilità. Non appena vengono individuate nuove vulnerabilità, attraverso il monitoraggio continuo, gli strumenti ASM o le notifiche dei fornitori.
Alcuni casi celebri
Per comprendere meglio quanto il rischio di esporsi a insider threat non risparmi anche le più importanti società o addirittura Stati, segnaliamo qualche esempio famoso accaduto.
Cominciamo dai più recenti, avvenuti pochi mesi fa: lo scorso giugno, l’appaltatore civile della difesa Shapour Moinian si è dichiarato colpevole in California di accuse federali, ammettendo di aver agito come agente non registrato della Cina e di aver accettato denaro da rappresentanti del governo cinese per fornire loro informazioni relative all’aviazione dai suoi datori di lavoro della comunità dell’intelligence e della difesa statunitensi.
Il mese successivo una giuria federale di New York ha condannato l’ex programmatore della Central Intelligence Agency Joshua Schulte per violazioni derivanti dal furto e dalla diffusione illegale di informazioni altamente riservate. Nutrendo risentimento nei confronti della CIA, il programmatore aveva usato il suo accesso ad alcuni dei più preziosi strumenti informatici di raccolta di informazioni sensibili del Paese per raccogliere materiali e fornirli a WikiLeaks, rendendoli noti al pubblico e agli avversari degli Stati Uniti.
Di uno dei casi più celebri di insider threat ne ha fatto le spese General Electric. Nel 2020 due suoi dipendenti hanno scaricato migliaia di file con segreti commerciali dai server aziendali. Hanno caricato i file sul cloud o li hanno inviati a indirizzi e-mail privati. Non si sono fermati qui: hanno convinto un amministratore di sistema a concedere loro un accesso inappropriato a dati aziendali sensibili. Uno dei dipendenti ha successivamente fondato una nuova società con la proprietà intellettuale rubata su modelli informatici avanzati utilizzati per calibrare con competenza le turbine delle centrali elettriche. Questa società ha poi fatto concorrenza a GE nelle gare d’appalto per la calibrazione delle turbine, presentando offerte molto più basse di GE. La denuncia del colosso energetico statunitense all’FBI ha portato a una lunga indagine che ha permesso di smascherare i due insider malintenzionati, che sono stati arrestati e condannati a pagare una multa di 1,4 milioni di dollari alla loro ex società.
Va segnalato anche un altro caso che ha destato scalpore e che ha riguardato Capital One, holding bancaria statunitense specializzata in carte di credito. L’insider in questo caso è stato un ex ingegnere software di Amazon Web Services, società di cloud hosting di cui si serviva Capital One. Approfittando di un firewall per applicazioni web mal configurato, il cyber delinquente ha avuto accesso a oltre 100 milioni di account e applicazioni di carte di credito di clienti. Un lato curioso della vicenda è che il colpevole non si è preoccupato di nascondere la propria identità. Tutt’altro: ha condiviso il suo metodo di hackeraggio su Slack e ha pubblicato le informazioni su un servizio di hosting per progetti software, usando il suo nome completo, vantandosene anche sui social network. Il colpevole è stato arrestato e accusato di frode e abuso informatico. Ma il danno per Capital One è stato pesante: la stessa società prevede che la violazione gli costerà fino a 150 milioni di dollari.
