Cybercrime ed aziende: il social engineering

L’innovazione digitale per le aziende ha rappresentato, e tuttora rappresenta visto l’elevatissimo tasso di sviluppo imposto dal mercato e dal contesto tecnologico in cui le imprese operano, un dato da cui è impossibile prescindere, anche per quello che riguarda il profilo della sicurezza. L’industria del crimine informatico infatti ha incontrato a sua volta un considerevole tasso di sviluppo ed incremento sostanziale, sia sotto il profilo della tipologia e tecnologia degli attacchi, sia sotto quello della complessità degli obbiettivi che ne sono bersaglio, ovvero in massima parte PMI e multinazionali.

Data breach e fattore umano

Secondo le previsioni recentemente divulgate dalla International Data Corporation (IDC), leader a livello mondiale nella ricerca ed informazione in materia ICT, i breach e glitch utilizzati dai cybercriminali comporteranno un necessario aumento della spesa che le aziende dovranno sostenere per la difesa delle loro infrastrutture informative, pari a circa il 20- 25% in più di quello attuale.

Nel contesto di un data breach aziendale, le informazioni trafugate hanno, come è ovvio immaginare, natura estremamente riservata e prettamente commerciale, finanziaria, identificative e legate alla proprietà intellettuale. Un aspetto che l’Europa ha ben presente e sul quale insiste non poco nel Regolamento in materia di protezione dei dati personali (GDPR), approvato il 14 aprile scorso e pubblicato ieri in Gazzetta Ufficiale.

Contrariamente a quanto si potrebbe pensare, il metodo più utilizzato sinora sembra essere, parallelamente al data breach di tipo informatico, un metodo “umano”, ovvero l’utilizzo di meccanismi di social engineering. Tali metodi, di cui il celebre hacker Kevin Mitnick è stato uno dei primi divulgatori, consiste sostanzialmente nello studio del comportamento dei soggetti bersaglio, generalmente apicali aziendali e/o soggetti con alto profilo di operatività tecnica e di autorizzazioni di sicurezza all’interno dell’azienda, al fine di carpire informazioni di per sé di alto valore o a loro volta utili ad arrivare ad esse (ad esempio, codici di accesso, numero di carte, modalità di accesso e gestione della sicurezza del patrimonio aziendale ecc.).

In altre parole, il social engineer mira a sottrarre in un certo senso una parte della propria identità, sia personale che professionale. Ciò vale sia per il profilo fisico, come per quello digitale, e talvolta risulta anche aggravato per il secondo. E’ infatti da ritenersi relativamente semplice, per chi dovesse riuscire ad entrare in un profilo digitale sottrarre dati rilevanti e informazioni utili a danneggiare il proprietario o, eventualmente, l’azienda in cui esso lavora.

Violazioni di identità: le previsioni

La previsione del numero di identità potenzialmente oggetto di violazione può essere, secondo le stime di IDC, stimabile a più di 50 miliardi di unità. Questo perché la stima tiene conto del fatto che, ad ogni identità reale sussistente, siano di fatto assegnate più identità digitali. Si pensi, per fare un banale esempio, ad un soggetto iscritto a più social network, siti, forum, blog, piattaforme e-commerce etc.; l’iscrizione singola ad ognuno di questi elementi comporta una singola identità digitale per ciascuno degli stessi. Il calcolo della IDC ritiene che nel 2018 saranno imputabili a ogni soggetto singolarmente e fisicamente identificabile almeno una media di 24 identità digitali a lui riferite. Da questa previsione, emerge che entro il 2020 almeno un miliardo e mezzo di persone avrà subito, almeno per una volta, una sostanziale violazione dei propri dati.

Tale situazione comporterà di fatto una sostanziale lievitazione dei costi correlati dai 650 miliardi di dollari investiti nel 2016 a più di 1000 miliardi nel solo 2020. Una previsione che sembra piuttosto drastica per l’economia digitale in toto, ma che tiene conto in maniera lineare dello stato dell’arte della sicurezza digitale attuale e della mancanza di consapevolezza correlata ai rischi sussistenti.

Occorre un nuovo passo? Senza dubbio, poiché senza di esso non si cambia. Occorre garantire un’elasticità di fondo sia rispetto alla natura dei soggetti richiedenti i servizi di sicurezza, sia da parte degli enti erogatori degli stessi, affinché vi sia pieno coordinamento e partecipazione da ambo i lati e la struttura di sicurezza risulti adeguatamente protetta.