Cybercrime ed aziende: il social engineering

05/05/2016
di Leonardo

L’innovazione digitale per le aziende ha rappresentato, e tuttora rappresenta visto l’elevatissimo tasso di sviluppo imposto dal mercato e dal contesto tecnologico in cui le imprese operano, un dato da cui è impossibile prescindere, anche per quello che riguarda il profilo della sicurezza. L’industria del crimine informatico infatti ha incontrato a sua volta un considerevole tasso di sviluppo ed incremento sostanziale, sia sotto il profilo della tipologia e tecnologia degli attacchi, sia sotto quello della complessità degli obbiettivi che ne sono bersaglio, ovvero in massima parte PMI e multinazionali.

Data breach e fattore umano

Secondo le previsioni recentemente divulgate dalla International Data Corporation (IDC), leader a livello mondiale nella ricerca ed informazione in materia ICT, i breach e glitch utilizzati dai cybercriminali comporteranno un necessario aumento della spesa che le aziende dovranno sostenere per la difesa delle loro infrastrutture informative, pari a circa il 20- 25% in più di quello attuale.

security_20855382_xlNel contesto di un data breach aziendale, le informazioni trafugate hanno, come è ovvio immaginare, natura estremamente riservata e prettamente commerciale, finanziaria, identificative e legate alla proprietà intellettuale. Un aspetto che l’Europa ha ben presente e sul quale insiste non poco nel Regolamento in materia di protezione dei dati personali (GDPR), approvato il 14 aprile scorso e pubblicato ieri in Gazzetta Ufficiale.

Contrariamente a quanto si potrebbe pensare, il metodo più utilizzato sinora sembra essere, parallelamente al data breach di tipo informatico, un metodo “umano”, ovvero l’utilizzo di meccanismi di social engineering. Tali metodi, di cui il celebre hacker Kevin Mitnick è stato uno dei primi divulgatori, consiste sostanzialmente nello studio del comportamento dei soggetti bersaglio, generalmente apicali aziendali e/o soggetti con alto profilo di operatività tecnica e di autorizzazioni di sicurezza all’interno dell’azienda, al fine di carpire informazioni di per sé di alto valore o a loro volta utili ad arrivare ad esse (ad esempio, codici di accesso, numero di carte, modalità di accesso e gestione della sicurezza del patrimonio aziendale ecc.).

In altre parole, il social engineer mira a sottrarre in un certo senso una parte della propria identità, sia personale che professionale. Ciò vale sia per il profilo fisico, come per quello digitale, e talvolta risulta anche aggravato per il secondo. E’ infatti da ritenersi relativamente semplice, per chi dovesse riuscire ad entrare in un profilo digitale sottrarre dati rilevanti e informazioni utili a danneggiare il proprietario o, eventualmente, l’azienda in cui esso lavora.

Violazioni di identità: le previsioni

La previsione del numero di identità potenzialmente oggetto di violazione può essere, secondo le stime di IDC, stimabile a più di 50 miliardi di unità. Questo perché la stima tiene conto del fatto che, ad ogni identità reale sussistente, siano di fatto assegnate più identità digitali. Si pensi, per fare un banale esempio, ad un soggetto iscritto a più social network, siti, forum, blog, piattaforme e-commerce etc.; l’iscrizione singola ad ognuno di questi elementi comporta una singola identità digitale per ciascuno degli stessi. Il calcolo della IDC ritiene che nel 2018 saranno imputabili a ogni soggetto singolarmente e fisicamente identificabile almeno una media di 24 identità digitali a lui riferite. Da questa previsione, emerge che entro il 2020 almeno un miliardo e mezzo di persone avrà subito, almeno per una volta, una sostanziale violazione dei propri dati.

Tale situazione comporterà di fatto una sostanziale lievitazione dei costi correlati dai 650 miliardi di dollari investiti nel 2016 a più di 1000 miliardi nel solo 2020. Una previsione che sembra piuttosto drastica per l’economia digitale in toto, ma che tiene conto in maniera lineare dello stato dell’arte della sicurezza digitale attuale e della mancanza di consapevolezza correlata ai rischi sussistenti.

Occorre un nuovo passo? Senza dubbio, poiché senza di esso non si cambia. Occorre garantire un’elasticità di fondo sia rispetto alla natura dei soggetti richiedenti i servizi di sicurezza, sia da parte degli enti erogatori degli stessi, affinché vi sia pieno coordinamento e partecipazione da ambo i lati e la struttura di sicurezza risulti adeguatamente protetta.

Riproduzione riservata ©

ALTRE NEWS

Dati personali e social network: quando si configura la contitolarità?

Un verdetto destinato a creare un significativo precedente in materia di contitolarità. Si tratta della sentenza pronunciata lo scorso 5 giugno nella causa C-210/16 con… Leggi Tutto

Cloud: le regole della “nuvola”

L’evoluzione tecnologica ha dato un forte impulso all’affermazione del cloud computing come paradigma tecnologico globale. Essa non si può fermare e ci impone di rimanere… Leggi Tutto

DI & P Srl vi aspetta a SMAU Milano 2013

Manca poco. Sta per arrivare uno degli eventi più autorevoli del panorama ICT nazionale. Stiamo parlando dell’edizione 2013 di SMAU Milano, terreno di incontro e confronto… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form