L’allentarsi delle restrizioni legate all’obbligo di stare a casa e relative all’ambito lavorativo portano con sé una serie di problematiche ulteriori per la sicurezza informatica, dovute al rapido rientro dei lavoratori in ufficio dopo un periodo di attività svolte da remoto. Anche le aziende preparate al passaggio allo smart working sono soggette a questi rischi. Abbiamo provato a classificare i rischi per la sicurezza informatica in quattro grandi categorie: dispositivi personali, applicazioni personali non approvate, sistemi non presidiati ed errore umano. Ciascuna di queste categorie può fungere da vettore per l’introduzione di malware e/o per la perdita di dati sensibili nella propria azienda.
Uso di dispositivi personali
Il passaggio repentino al lavoro da remoto si è tradotto in un maggiore ricorso ai dispositivi personali per finalità lavorative. Inoltre, le conseguenze del COVID-19 sulla produzione e sulle spedizioni internazionali hanno reso più complicato reperire dispositivi per l'uso professionale, con il conseguente aumento dell'utilizzo dei dispositivi personali a scopo lavorativo. Tra questi, non soltanto i telefoni e i computer personali, ma anche i dispositivi di archiviazione USB e altre periferiche capaci di archiviare o di trasmettere dati. Se compromessi dagli hacker e successivamente collegati a un'infrastruttura aziendale, questi dispositivi costituiscono un potenziale vettore per l'introduzione di malware nella rete dell'azienda al rientro in ufficio, con il rischio che si scateni il caos.
Idealmente, al rientro i dispositivi personali non dovrebbero essere né introdotti né impiegati sul posto di lavoro. Tutte le attività svolte sui dispositivi personali dovrebbero essere messe in sicurezza e quindi trasferite nelle infrastrutture dell'azienda. Tuttavia, poiché non sempre queste operazioni sono attuabili, le aziende dovrebbero stabilire le modalità di integrazione dei dispositivi personali nel workflow in base alle proprie esigenze.
Ad esempio, si può pensare a reti distinte e monitorate destinate ai soli dispositivi personali, oppure a soluzioni disponibili sul mercato capaci di rendere sicuri i dispositivi mobili, i laptop e i pc.
Applicazioni personali non approvate
Il lavoro da remoto può tradursi nella sovrapposizione tra vita privata e lavorativa. Spesso, i lavoratori hanno difficoltà a non utilizzare i dispositivi professionali per scopi personali. Questa situazione può tradursi nella presenza, nell’hardware professionale, di applicazioni non approvate e non verificate quali, a puro titolo esemplificativo, software per teleconferenze, applicazioni personali di archiviazione su cloud, driver di stampanti o altro hardware, videogame. Inoltre, l’uso dei social media e in generale la navigazione su Internet dai dispositivi forniti dal datore di lavoro possono aumentare l’esposizione a phishing e attacchi malware. Tali applicazioni presentano rischi simili al caso dei dispositivi personali, ma possono rivelarsi più problematiche dal momento che si trovano su dispositivi verosimilmente considerati affidabili o sicuri in base agli standard dell'infrastruttura.
Le imprese devono disporre di piani per l’individuazione e la messa in sicurezza dei dispositivi che sono stati impiegati per operare da remoto. L’inventario deve essere aggiornato sia prima di rientrare al lavoro sia durante il periodo di lavoro da remoto. Le attività di messa in sicurezza dei dispositivi devono prevedere l'individuazione e la risoluzione di errori di configurazione, l'applicazione di patch, la rimozione di risorse che non dovrebbero essere online, la scansione/pulizia di malware e, se possibile, il ripristino dei dispositivi da un backup noto e valido. Tutte queste operazioni vanno eseguite prima di qualsiasi collegamento a sezioni interne della rete aziendale.
Reintroduzione di sistemi non presidiati
Da una prospettiva prettamente informatica, un altro punto dolente è costituito dalla reintroduzione di sistemi e servizi rimasti offline o non presidiati durante lo smart working, periodo in cui le aziende potrebbero aver sospeso parzialmente o integralmente le funzioni IT.
Le aziende costrette a chiudere completamente potrebbero inoltre aver messo offline alcune sezioni dell'infrastruttura IT per l'intero periodo del lockdown. In tale intervallo potrebbero non aver integrato eventuali patch per la sicurezza e, quindi, tali sistemi potrebbero rivelarsi di nuovo vulnerabili al momento della loro reintroduzione. Nel caso in cui, invece, siano stati lasciati online ma non presidiati né monitorati, i sistemi potrebbero essere stati subdolamente compromessi dagli hacker, ai quali non resta che attendere la ripresa delle attività dell'azienda per introdurre malware nella rete aziendale.
Di conseguenza, prima di rientrare al lavoro, tutti i sistemi critici che sono stati lasciati privi di monitoraggio devono essere scansionati integralmente con un antivirus ed occorre inoltre controllare gli accessi per evidenziare eventuali intrusioni. Vanno inoltre verificate le configurazioni e le patch per la sicurezza di tutti i dispositivi, in particolare di quelli che sono stati spenti o scollegati dall'infrastruttura nel periodo delle attività da remoto.
Nel caso in cui, invece, i sistemi siano stati lasciati online ma non presidiati né monitorati, potrebbero essere stati subdolamente compromessi dagli hacker, ai quali non resta che attendere la ripresa delle attività dell'azienda per introdurre malware nella rete aziendale.
Errore umano
La possibilità di tornare alla normalità e il desiderio di recuperare le perdite subite per via della pandemia potrebbero essere alla base di errori umani al rientro in ufficio del personale. Tali errori potrebbero tradursi nel cadere vittima del phishing, violare involontariamente le prassi per la sicurezza, dimenticare procedure che non sono state attuate per mesi, fughe accidentali di informazioni e simili. Nella fase di rientro sul posto di lavoro, con i dispositivi vulnerabili come descritto in precedenza, verosimilmente potrebbe crearsi una situazione delicata rispetto alle policy e alle procedure da adottare relativamente alle applicazioni e ai dispositivi personali. Inoltre, gli attacchi di phishing presentati sotto forma di servizi finanziari o IT possono rivelarsi più persuasivi del solito e la fretta di riprendere le normali attività potrebbe influire negativamente. Non bisogna dimenticare le prassi di sicurezza fisica, perché dopo un periodo di isolamento il personale potrebbe essere meno pronto a gestire il social engineering.
Devono quindi essere riprogrammate le attività formative e le esercitazioni sul phishing. Ricorrere a test sul phishing è utile per ottenere statistiche sui rischi legati a questo metodo di attacco. Il monitoraggio e l’aggiornamento costante delle regole per il filtro delle mail devono rimanere una priorità assoluta. Inoltre, al momento del rientro al lavoro dell'intera popolazione aziendale è opportuno prevedere una formazione specifica per le questioni relative alla sicurezza fisica.
Ulteriori suggerimenti
Le aziende possono adottare ulteriori misure per una maggiore sicurezza, quali:
I clienti di É«¶à¶àÊÓƵpossono avere accesso a S-RM , uno dei nostri partner in ambito di sicurezza informatica, in grado di fornire consulenza su ogni questione relativa alla cyber security. S-RM può fungere da facilitatore nei workshop dei CISO per la sicurezza informatica con la dirigenza, aiutando a comprendere l'ambiente di ciascuna azienda e a fornire indicazioni puntuali per i piani di sicurezza informatica. Inoltre, i clienti di É«¶à¶àÊÓƵpossono avvalersi del test del phishing di S-RM, che consente alle organizzazioni di valutare la consapevolezza del proprio staff nei confronti della sicurezza informatica, oltre che dei workshop di Incident Response e di Plans Review, così che ogni azienda si doti di un piano per gestire eventuali attacchi cyber.
