Come rendere efficace il training per la Security Awareness

Le persone rappresentano oggi un tassello critico della strategia complessiva delle organizzazioni per la sicurezza cyber. Così come è importante dotarsi di corrette soluzioni di protezione, è altrettanto importante formare le persone perché siano in grado di individuare un possibile attacco, evitarlo e soprattutto segnalarlo internamente a chi deve prendere immediate misure di contenimento. Oggi il tema della Security Awareness è di grande interesse.

Ce ne parla Raoul Brenna, Responsabile della Practice Information Security & Infrastructures di Cefriel, che il 6 Luglio 2017 ha tenuto un Webinar con The Innovation Group su “Phishing simulato e Security Awareness concreta”.
 
 TIG. La scarsa accortezza delle persone rispetto alla sicurezza e al valore dei dati possono essere all’origine di facili varchi per gli hacker che si pongono l’obiettivo di entrare nei sistemi ICT aziendali. L’uso sempre più frequente di siti social ha reso inoltre più facile la raccolta di dati personali, che possono essere utilizzati da chiunque per sferrare attacchi — come le mail di phishing — basati su informazioni che fanno cadere facilmente in trappola gli utenti. Quanto può essere rilevante oggi il “fattore umano” nel determinare la vulnerabilità complessiva di un’organizzazione e quindi della sua esposizione ai rischi cyber?

Raoul Brenna. Il comportamento del personale di un’azienda (così come quello degli utenti di una rete domestica) è oggi estremamente determinante nel caratterizzare l’esposizione complessiva al rischio di attacchi informatici, soprattutto alla luce del fatto che ormai la maggior parte degli attacchi iniziano proprio colpendo le persone. Gli elementi che citi, sebbene possano influenzare effettivamente la propensione dell’utente a “cadere” nell’attacco, in realtà hanno un impatto abbastanza limitato. Prendiamo a esempio la costruzione di email veramente contestualizzate alla persona mediante reperimento delle informazioni sui “social” (che oggi vuol dire qualsiasi cosa). Nelle nostre prove, di fatto funzionano in modo analogo a esche “ben curate” ma per nulla contestualizzate. Per esempio, basta far leva sulla possibilità di usufruire di sconti o promozioni per invogliare qualunque utente a compiere un’azione potenzialmente pericolosa.

Quindi in definitiva: il fattore umano è estremamente determinante … e non occorrono approcci particolarmente sofisticati per manipolarlo a vantaggio di un attaccante.

TIG. Comportamenti inadeguati all’interno delle organizzazioni sono spesso presenti in caso di attacchi andati a segno, come i data breach con esfiltrazione di grandi moli di dati degli ultimi anni. Le aziende, anche con l’arrivo il prossimo anno del nuovo regolamento europeo sulla privacy (GDPR), saranno tenute ad adottare maggiori misure di protezione dei dati, e anche a formare le persone. Non basta più però un training tradizionale: i comportamenti vanno modificati generando una reale consapevolezza del rischio cyber, che spesso è silenzioso, poco apparente, passa inosservato. Quali sono oggi secondo te le tecniche più efficaci per diffondere una maggiore cultura della sicurezza in azienda?

Raoul Brenna. Oggi non è più applicabile un approccio che punti alla formazione delle persone “fornendo istruzioni”. Secondo la nostra esperienza, aiutano molto di più approcci in cui si solleva invece l’attenzione sulla problematica generale, mostrando come anzi non siano presenti schemi ricorrenti negli attacchi, e in particolare incentivando a dubitare in modo costruttivo e a segnalare eventi sospetti all’opportuno Contact Point reso disponibile aziendalmente. Un altro aspetto a mio avviso importante è legato alla condivisione (nella maniera appropriata) dei risultati di campagne di simulazione, potenzialmente ripetute nel tempo. La condivisione consente di innalzare la consapevolezza a tutti i livelli.

Io vedo come promettenti anche i metodi di awareness basati su “gamification” e “rewarding”… Tuttavia occorre prestare molta attenzione all’impostazione dell’iniziativa, perché troppo spesso la sicurezza si associa ai “film da hacker”, mentre è importante che la connotazione di serietà del tema venga preservata.

TIG. Un’attività di Security Awareness non dovrebbe richiedere, oltre a competenze di tipo tecnologico sull’evoluzione delle minacce cyber, anche competenze di tipo comportamentale, psicologico, da scienze sociali, per essere in grado di comprendere meglio e predire quali saranno i comportamenti a rischio delle persone?

Raoul Brenna. Certamente … almeno in parte. Tuttavia riscontro, nelle realtà in cui ho condotto attività sul tema, una forte necessità di colmare alcuni gap di natura squisitamente tecnologica, in termini di competenze, che gli “addetti ai lavori” possono far fatica a inquadrare. Mi spiego: domande come “Ah, ma anche i telefonini prendono i virus?” o “Ma davvero basta solo andare su un sito per infettarsi?” o ancora “Ma perché non devo registrarmi sui siti con la stessa password della mia email?” sono molto più frequenti di quanto si possa pensare. Quindi, ritengo che una diffusa alfabetizzazione “di base” su alcuni aspetti sia fondamentale. Poi si può lavorare anche “di fino” sulle motivazioni.

TIG. In base alle tue osservazioni, ci sono pattern che si ripetono per quanto riguarda i comportamenti scorretti delle persone? Quali sono quelli più frequenti che hai riscontrato, ad esempio in imprese dello stesso settore?

Raoul Brenna. In realtà non notiamo specificità per settore, ma certamente pattern ricorrenti, che (riscontro con piacere) vengono in parte scardinati da esecuzioni ripetute di campagne di phishing simulate, e conseguente diffusione dei risultati. La tendenza al “non riportare” una sospetta campagna di phishing in atto, specie se “ci si è cascati”, è un classico. E in questo caso deve essere il Contact Point (assumendo che sia unico, definito, e ben segnalato agli utenti) a mostrare il corretto atteggiamento e a “smontare” la percezione dell’utente non tecnico di non essere adeguatamente supportato.

L’impulsività nella reazione ad un’esca ben confezionata è un altro tema molto ricorrente, e spesso si concretizza in un comportamento errato, come per esempio cliccare su un link potenzialmente infetto o aprire un allegato malevolo. E ancora una volta, una corretta interazione tra il personale e le funzioni a cui dirigere le segnalazioni è una delle chiavi per affrontare il problema.

TIG. Ad oggi molte delle competenze sui problemi di sicurezza informatica sono dominio di pochi specialisti e non trovano momenti di condivisione con tutte le persone dell’azienda. Come costruire nel tempo un migliore travaso di conoscenza tra le varie parti dell’organizzazione? Quali sono le best practices che hai osservato e i consigli che dai di solito? Quali i vincoli e i freni ancora da superare?

Raoul Brenna. Sono pienamente d’accordo sulle competenze spesso settoriali, ma, come dicevo in precedenza, è possibile identificare alcuni messaggi “base” che non riflettono vera competenza, ma solo consapevolezza… e che tuttavia aiutano. Sebbene oramai è vero che il livello di tecnicismo raggiunto dagli attacchi, in relazione alle numerose funzionalità offerte dalla tecnologia, siano difficilmente affrontabili mediante soli messaggi semplificati.

Mi spiego con un esempio, per chiarire in che senso alcuni messaggi non possano più venire veicolati come semplici “istruzioni per l’uso”: il famoso “lucchetto” nella barra degli indirizzi del browser. Per 10 anni si è andati avanti a dire agli utenti: “verifica che ci sia il lucchetto, così il sito è sicuro”. Oggi questo non basta più. Ci sono le differenze tra le interfacce dei browser stessi (a volte vedi un lucchetto, altre volte un colore verde o rosso, ecc.). Esiste la possibilità (e la semplicità) di ottenere certificati “plausibili” da parte degli attaccanti, che mostrano comunque “il lucchettino” agli utenti… e potrei nominare una serie di altri distinguo. Non per questo si può smettere di dire agli utenti “Occhio al lucchetto!”. E’ questione di trovare il giusto compromesso tra la semplicità del messaggio e il riscontro sulla tecnologia. Non è facile, ma a mio avviso alcuni messaggi chiave possono essere identificati.

Vincoli e freni da superare per una maggiore cultura della sicurezza? A livello aziendale certamente la “tradizionale” attribuzione dell’ambito Information Security alla categoria “ICT” e le scarse sinergie in termini di budget con la formazione, per citarne solo uno. Ma ancora di più, in termini personali … l’utente vuole cliccare! I freni sono forse più da costruire che da superare.