Mettere in sicurezza il top management

Indice

Ultimi post

Post cover

Automating Threat Intelligence series
4 Maggio 2025

Post cover

Palo Alto Networks automation serie
26 Febbraio 2025

Post cover

Fondamentali sull'automazione di rete
25 Febbraio 2025

Post cover

Scegli il tuo percorso di apprendimento: sblocca la potenza dell'automazione
22 Febbraio 2025

Post cover

OT/ICS serie
18 Febbraio 2025

Categorie

Category cover

Automazione
28 posts

Category cover

CISO
15 posts

Category cover

Corsi
9 posts

Category cover

Sicurezza Personale
9 posts

Category cover

Infrastruttura
5 posts

Category cover

Sicurezza
5 posts

Category cover

Libri
3 posts

Category cover

Vita
1 posts

Category cover

OT/ICS
1 posts

Category cover

UNetLab
1 posts

Category cover

Write-up
1 posts

Mettere in sicurezza il top management

Andrea Dainese
25 Gennaio 2021
CISO
Post cover

L’esempio di MyFreeCams mi ha offerto l’esempio perfetto per spiegare al top management di un’azienda perchè sia importante parlare di sicurezza digitale della persona a tutti i livelli dell’azienda. Il loro data breach ha infatti impatti sia sulla reputazione sia sulla sicurezza digitale. MyFreeCams è quindi usato solo come esempio.

Il caso

MyFreeCams, un servizio di chat per adulti, è stato vittima di un data breach : 2 milioni di account sono stati esfiltrati. I dati in vendita comprendono username, indirizzo email, password in chiaro.

Ancora una volta vediamo che spesso i servizi su Internet mancano delle più elementari misure di sicurezza, e queste mancanze sono una minaccia per gli utenti.

Threat modeling

Quando parlo di addestramento sul tema di sicurezza digitale delle persone, mi auguro che l’attività di threat modeling diventi un processo automatico: prima di iscriversi e utilizzare un nuovo servizio, occorre riflettere su come esso possa diventare una minaccia. Chiaramente è solo col tempo che le persone comprendono a fondo le moltissime sfacettature di ciascun servizio.

Analizziamo quindi a posteriori come il data breach di MyFreeCams possa impattare direttamente sulle persone.

Furto di identità

Tantissime persone utilizzano ancora la stessa password per molti dei loro account, conoscendo quindi username, email e password, è possibile tentare di accedere a numerosi servizi che l’utente potrebbe avere: email, social, siti di ecommerce… È possibile inoltre estromettere l’utente dal suo account (furto di identità), accedendo con le credenziali recuperate dal data breach e impostando una nuova password.

Se i servizi più strutturati (come Google ad esempio), effettuano regolarmente delle verifiche per capire se ci sono anomalie nell’accesso degli account bloccando eventuali accessi sospetti, i servizi minori molto probabilmente non avranno lo stesso tipo di difesa.

Ricatto

Nel caso specifico, MyFreeCams offre video chat erotiche ad un gruppo adulto: la diffusione di tali informazioni potrebbe essere un pericolo per la reputazione dei suoi utenti. È probabile che gli utenti di MyFreeCams riceveranno una email di richiesta di riscatto: ad un eventuale rifiuto l’aggressore minaccerà di rivelare che la persona in questione frequentava un sito di chat erotiche.

Non sto ipotizzando nulla di nuovo, nel 2015 il servizio di appuntamenti Ashley Madison è stato vittima di un data breach che ha coinvolto 32 milioni di utenti, esponendo, tra gli altri, più di 15000 persone che lavoravano in ambito militare o per il governo e che si sono visti recapitare diverse richieste di denaro.

Ashley Madison blackmail letter

È bene ricordare che il ricatto può riferirsi non solo alla richiesta di denaro, ma anche a qualcosa che l’utente potrebbe dover fare o non fare.

Come difendersi (a posteriori)

La difesa, come vedremo nelle conclusioni, andrebbe progettata in anticipo. Tuttavia occorre imparare anche a gestire situazioni a posteriori. Ipotizziamo quindi due tipi di minacce legate al data breach di MyFreeCams:

  • furto di identità causato dal riutilizzo della stessa password da parte dell’utente;
  • ricatto che ha come obiettivo screditare la reputazione dell’utente.

Il primo tipo può essere risolto in modo semplice: occorre cambiare tutti gli account che hanno quella stessa password, utilizzandone una sicura, complessa, non determinabile, non mnenomica.

Il secondo tipo è più complesso e delicato: se ci si trova in questa situazione, il mio consiglio è di avvertire prima di tutto le forze dell’ordine. Occorre tenere presente che non ha senso contrattare con malintenzionati che hanno come unico scopo fare denaro.

Conclusioni

La sicurezza digitale della persona è uno dei temi che più mi sta a cuore, ed è sempre al centro dei miei pensieri: sia quando ne parlo ai ragazzi che quando ne parlo agli adulti. Per lavoro mi trovo spesso a parlare con manager di aziende, ma l’argomento rimane centrale: se l’infrastruttura è solida, è molto più semplice attaccare le persone piuttosto che spendere tempo a demolire le difese più resistenti: attacchi alla reputazione delle persone possono riflettersi negativamente anche sull’azienda, specialmente se le persone in gioco sono figure chiave.

Occorre quindi partire dal top management per costruire un percorso basato sulla consapevolezza: ritengo che la cultura della sicurezza digitale debba essere al centro delle vite di ciascuno, sia in ambito privato che in quello lavorativo. E se le persone imparano a muoversi consapevolmente nell’uso delle tecnologie in ambito privato (famigliare), tale consapevolezza verrà portata anche in azienda, portando grandi benefici.

Limitarsi a fornire video corsi in azienda sulla sicurezza informatica, privacy (GDPR), SPAM/Phishing… produrrà solamente degli sterili concetti che rimarranno nella maggior parte dei casi privi di contesto, di valore e quindi di utilità ed efficacia.