Cybercrime ed aziende: il social engineering

05/05/2016
di roberto

L’innovazione digitale per le aziende ha rappresentato, e tuttora rappresenta visto l’elevatissimo tasso di sviluppo imposto dal mercato e dal contesto tecnologico in cui le imprese operano, un dato da cui è impossibile prescindere, anche per quello che riguarda il profilo della sicurezza. L’industria del crimine informatico infatti ha incontrato a sua volta un considerevole tasso di sviluppo ed incremento sostanziale, sia sotto il profilo della tipologia e tecnologia degli attacchi, sia sotto quello della complessità degli obbiettivi che ne sono bersaglio, ovvero in massima parte PMI e multinazionali.

Data breach e fattore umano

Secondo le previsioni recentemente divulgate dalla International Data Corporation (IDC), leader a livello mondiale nella ricerca ed informazione in materia ICT, i breach e glitch utilizzati dai cybercriminali comporteranno un necessario aumento della spesa che le aziende dovranno sostenere per la difesa delle loro infrastrutture informative, pari a circa il 20- 25% in più di quello attuale.

security_20855382_xlNel contesto di un data breach aziendale, le informazioni trafugate hanno, come è ovvio immaginare, natura estremamente riservata e prettamente commerciale, finanziaria, identificative e legate alla proprietà intellettuale. Un aspetto che l’Europa ha ben presente e sul quale insiste non poco nel Regolamento in materia di protezione dei dati personali (GDPR), approvato il 14 aprile scorso e pubblicato ieri in Gazzetta Ufficiale.

Contrariamente a quanto si potrebbe pensare, il metodo più utilizzato sinora sembra essere, parallelamente al data breach di tipo informatico, un metodo “umano”, ovvero l’utilizzo di meccanismi di social engineering. Tali metodi, di cui il celebre hacker Kevin Mitnick è stato uno dei primi divulgatori, consiste sostanzialmente nello studio del comportamento dei soggetti bersaglio, generalmente apicali aziendali e/o soggetti con alto profilo di operatività tecnica e di autorizzazioni di sicurezza all’interno dell’azienda, al fine di carpire informazioni di per sé di alto valore o a loro volta utili ad arrivare ad esse (ad esempio, codici di accesso, numero di carte, modalità di accesso e gestione della sicurezza del patrimonio aziendale ecc.).

In altre parole, il social engineer mira a sottrarre in un certo senso una parte della propria identità, sia personale che professionale. Ciò vale sia per il profilo fisico, come per quello digitale, e talvolta risulta anche aggravato per il secondo. E’ infatti da ritenersi relativamente semplice, per chi dovesse riuscire ad entrare in un profilo digitale sottrarre dati rilevanti e informazioni utili a danneggiare il proprietario o, eventualmente, l’azienda in cui esso lavora.

Violazioni di identità: le previsioni

La previsione del numero di identità potenzialmente oggetto di violazione può essere, secondo le stime di IDC, stimabile a più di 50 miliardi di unità. Questo perché la stima tiene conto del fatto che, ad ogni identità reale sussistente, siano di fatto assegnate più identità digitali. Si pensi, per fare un banale esempio, ad un soggetto iscritto a più social network, siti, forum, blog, piattaforme e-commerce etc.; l’iscrizione singola ad ognuno di questi elementi comporta una singola identità digitale per ciascuno degli stessi. Il calcolo della IDC ritiene che nel 2018 saranno imputabili a ogni soggetto singolarmente e fisicamente identificabile almeno una media di 24 identità digitali a lui riferite. Da questa previsione, emerge che entro il 2020 almeno un miliardo e mezzo di persone avrà subito, almeno per una volta, una sostanziale violazione dei propri dati.

Tale situazione comporterà di fatto una sostanziale lievitazione dei costi correlati dai 650 miliardi di dollari investiti nel 2016 a più di 1000 miliardi nel solo 2020. Una previsione che sembra piuttosto drastica per l’economia digitale in toto, ma che tiene conto in maniera lineare dello stato dell’arte della sicurezza digitale attuale e della mancanza di consapevolezza correlata ai rischi sussistenti.

Occorre un nuovo passo? Senza dubbio, poiché senza di esso non si cambia. Occorre garantire un’elasticità di fondo sia rispetto alla natura dei soggetti richiedenti i servizi di sicurezza, sia da parte degli enti erogatori degli stessi, affinché vi sia pieno coordinamento e partecipazione da ambo i lati e la struttura di sicurezza risulti adeguatamente protetta.

Riproduzione riservata ©

ALTRE NEWS

Gmail e privacy, mai stati sinonimi

E’ cosa appurata che Google, attraverso il suo servizio di posta elettronica, abbia negli anni avuto accesso e scansionato le mail di milioni di utenti…. Leggi Tutto

Emanate Raccomandazioni urgenti dall’Agenzia per la Cybersicurezza Nazionale

Si innalza il livello di allerta informatico. L’Agenzia nazionale per la Cybersicurezza ha emanato nuove linee guida e raccomandazioni urgenti per aziende e PA a… Leggi Tutto

Privacy Shield: emanata la Raccomandazione 1/2020

Da Il Caffé Digitale (The Innovation Group)  A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, il Privacy Shield è stato dichiarato… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.