L’educazione in tema di Cybersecurity può essere simile a dare un esame. Prima di tutto, ti serve per approfondire un tema e apprendere nuovi concetti ma, se non utilizzi le tue conoscenze per lunghi periodi, rischierai di dimenticare. Questo potrebbe essere l’effetto di un corso sulla cybersecurity per i tuoi dipendenti, che prendono parte ad un corso di formazione una o due volte l’anno e partecipano a presentazioni occasionali senza comprendere realmente il loro valore.
Indipendentemente dal livello di sicurezza informatica della tua azienda, gli attacchi informatici stanno diventando sempre più sofisticati. Ma se riesci ad aumentare il livello di attenzione dei tuoi dipendenti, allora loro diventeranno uno dei controlli di sicurezza più efficaci.
Stai cercando di pensare a nuove tipologie di formazione per i tuoi dipendenti? Leggi la nostra intervista a Daniel Chromek, Chief Information Security Officer di ESET.
Sembra chiaro esserci la necessità di aumentare tra i dipendenti la conoscenza in tema di minacce informatiche. Molti dipendenti non sono ancora in grado di riconoscere un attacco informatico. Cosa possono fare le aziende per risolvere il problema?
Le aziende generalmente sottovalutano l'educazione alla sicurezza informatica o la mantengono sempre allo stesso livello mentre gli attacchi informatici in realtà migliorano, si evolvono e cambiano nel tempo. Non possiamo più fare affidamento sulle funzionalità chiave che caratterizzano le e-mail fraudolente, come errori grammaticali o logici, per riconoscere gli attacchi. Sia il contenuto che la forma visiva di questi attacchi stanno diventando sempre più sofisticati. Non credo che siamo così lontani dal punto in cui molte persone non saranno in grado di distinguere il phishing dalle e-mail standard. Inoltre, il rischio di vishing è sempre più frequente, anche se, simulare una telefonata da un certo numero è difficile da eseguire in tempo reale. Ma non è difficile catturare la voce del CEO da YouTube e quindi preparare in anticipo il vishing per convincere le persone, ad esempio, a trasferire denaro.
Che dire dei deepfake o dei sistemi di riconoscimento facciale? Influiranno anche sulla forma dei futuri attacchi?
Certamente. Ci sono già deepfakes che è difficile distinguere dalla realtà, specialmente sui video. Tuttavia, i deepfakes sono molto più difficili da fare se utilizzati in un'interazione in tempo reale, come nella simulazione di una video call. In generale, è semplice attaccare qualcuno con le email di phishing che contengono testo e immagini statiche piuttosto che con un attacco che richiede un'interazione diretta con la vittima. Tuttavia, l'impatto sulle pubbliche relazioni della diffusione di deepfake tramite un social network potrebbe essere un evento significativo oggi.
Quindi, questi tipi di attacchi non succedono ancora?
Finora, ho sentito parlare solo di un caso in Francia, in cui un gruppo di truffatori ha organizzato una videochiamata in cui hanno usato una maschera di silicone per impersonare un ministro della difesa francese e hanno chiesto a individui e gruppi facoltosi di sostenere finanziariamente una falsa operazione del governo. Sebbene non fosse ancora un deepfake generato al computer - era più paragonabile ad una scena teatrale - possiamo aspettarci che il problema possa solo peggiorare.
Quali sono gli ostacoli nell'insegnare ai dipendenti a riconoscere questi attacchi?
Quando ho lavorato come consulente IT alcuni anni fa, ho notato che le aziende spesso pensano alla sicurezza informatica come a un problema che rientra automaticamente nella responsabilità del dipartimento IT. Ma i professionisti IT non sono sempre in grado di fornire una formazione semplice da comprendere e a cui le persone siano realmente interessate. Semplicemente non è così facile come sembra. Richiede know-how in materia di sicurezza - su cose come phishing, scelta della password, crittografia - e anche un efficace know-how nei processi di formazione dedicati ai team aziendali.
È importante che i professionisti IT lavorino con gli psicologi, per esempio?
Certamente, o con qualcuno che abbia una laurea in psicologia del lavoro o semplicemente sappia come erogare corsi di formazione pensati per incidere sul comportamento dell’utente. Oggi è possibile organizzare corsi di formazione personalizzati. Le aziende più grandi spesso risolvono questo problema creando collaborazione con i reparti IT e le risorse umane. La chiave è trovare qualcuno che possa fornire informazioni ai dipendenti in modo chiaro e interessante. Ecco perché spesso oggigiorno durante i corsi si fa ricorso ad un approccio ludico che possa catturare maggiormente l’attenzione.
E’ importante che la maggior parte delle piccole e medie imprese abbia al proprio interno una qualche forma di formazione dei dipendenti?
Si. Molti di loro fanno almeno un corso di formazione sulla cybersecurity — per esempio la formazione che è disponibile sulle piattaforme online. Ma, secondo me, si ha bisogno di fare di più se si vuole costruire una consapevolezza informatica in azienda. Quando pianifichi attività di formazione solo una volta all’anno, il risultato è lo stesso delle altre formazioni — dopo “l’esame” gli studenti dimenticano in fretta — e sono punto a capo.
Quanto spesso è necessario fare formazione?
Più spesso possibile. Secondo me, ha più senso dividere le informazioni che devi trasmettere in blocchi in modo che i dipendenti possano assimilare meglio i concetti importanti. Per esempio, fare video di 10-minuti che si focalizzano su un contenuto chiave, o che riassumono i cambiamenti principali che si vuole implementare. È quindi possibile distribuire regolarmente tali esempi in modo più semplice possibile per ricordare ai dipendenti che è importante mantenere sotto controllo i problemi di sicurezza. E se c'è un tentativo di attacco in azienda, è l’occasione giusta per spiegare ai dipendenti come funziona un tale attacco e quali misure è necessario adottare.
Nel caso in cui volessi costruire un'azienda che resista agli attacchi informatici, cosa dovrebbe sapere ogni dipendente?
Innanzitutto, tutti dovrebbero sapere cosa vuole l'azienda dai dipendenti. Come devono utilizzare la tecnologia fornita, quali sanzioni vengono applicate in caso di perdite o danni? È necessario rispondere a queste domande prima che succeda qualcosa, idealmente all'inizio dell’attività lavorativa. Poi ci sono alcuni argomenti standardizzati che si riferiscono alle misure di sicurezza di base: come impostare una password sicura; come utilizzare l'autenticazione a due fattori e, naturalmente, come riconoscere i siti Web fraudolenti e di phishing in base agli attributi caratteristici e al contenuto dei messaggi. I dipendenti devono anche sapere a chi segnalare attività sospette; come utilizzare software o servizi cloud; cosa fare nel caso in cui notino individui sospetti all'interno dei locali dell'ufficio; e come utilizzare la tecnologia di sicurezza, come un gestore di password.
Inoltre, l'azienda dovrebbe spiegare ai dipendenti che nel momento in cui utilizzano un dispositivo mobile aziendale o un iPad, dovrebbero fare attenzione a ciò che scaricano e installano su di esso. Esistono molte applicazioni mobili fraudolente, quindi è importante mostrare ai dipendenti dove cercare per verificare l’autenticità di un'applicazione prima di installarla. Una cosa simile si applica all'installazione di vari programmi su un computer mentre si lavora in remoto. E, naturalmente, il dipendente dovrebbe anche sapere chi contattare se succede qualcosa. Alla fine dello scorso anno, ad esempio, abbiamo notato chiamate false effettuate come se fosse Microsoft a contattare l’azienda: è stata un'opportunità per “educare” i dipendenti in materia di sicurezza e sul perché stava succedendo.
Perché un Management Team aziendale dovrebbe evitare di spaventare le persone presentando le possibili conseguenze personali degli attacchi informatici?
Perché dopo cinque minuti in cui i dipendenti vengono spaventati in tal senso, smettono di avere paura, si convincono che poi non è così vero che qualunque cosa facciano andrà male, arrivando addirittura ad essere licenziati o ad andare in prigione. Il pericolo derivante dalla creazione di una mentalità così disfattista è che può portare i dipendenti ad arrendersi fin dall'inizio e a pensare che non ha senso stare attenti, poiché in ogni caso sbaglieranno. Pertanto, è meglio comunicare in modo positivo, affrontare il problema della sicurezza condividendo le informazioni che realmente possono aiutare ad identificare le possibili minacce così come presentare tutte le possibili azioni per evitarle, non solo nell’ambiente di lavoro ma anche nella sfera privata. Tutti noi abbiamo persone a noi care e, se nel condividere una politica di sicurezza aziendale si mostra ai dipendenti come proteggere non solo gli interessi dei loro datori di lavoro, ma anche quelli dei loro genitori, coniugi o figli, allora questa è la chiave di volta che può suscitare il loro interesse.
L’invio di quiz all’interno dell’azienda come metodo di sensibilizzazione: la ludicizzazione è un buon modo per spiegare tutto questo ai dipendenti?
Se usato saggiamente. Se decidi di provare la simulazione di un attacco di phishing in un'azienda, ad esempio, è importante pianificarlo bene. L'obiettivo non è catturare quante più persone possibile, ma dare loro la possibilità di riconoscere un possibile attacco di phishing e di "vincere" sconfiggendo l'attaccante. Quando le persone sanno di aver fatto il passo giusto e sono state in grado di segnalare un attacco, credono nelle loro capacità e si rafforzano.
Un altro bell'esempio di ludicizzazione consiste nell'addestramento alla sicurezza informatica. Di solito, si tratta di realizzare e condividere una storia a fumetti interattiva, attraverso un video, in cui il personaggio principale affronta diverse missioni e guadagna punti man mano che si raggiungono gli obiettivi: i giocatori più bravi alla fine riceveranno una piccola ricompensa.
Quindi, riassumendo, è così che si crea una cultura informatica?
Abbiamo parlato di tanti piccoli passi che possono essere seguiti per costruire un corretta cultura informatica. Tutti all'interno dell'azienda dovrebbero conoscere quali sono i principali problemi di sicurezza, dai dipendenti ai dirigenti di alto livello. L'obiettivo è quello di poter supportare la sicurezza e, quindi, l'azienda stessa. E quando tutti lo capiranno e noteranno cosa sta succedendo intorno a loro, supporteranno la resilienza dell'intera azienda.
