Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Insider: le minacce interne rappresentano un rischio che colpiscono pubblico, privato ed infrastrutture critiche

Daniela Farina : 6 Dicembre 2022 07:14

  

Cosa muove una impiegata dell’Ufficio Anagrafe di un Comune a commettere comportamenti di truffa e peculato ai danni della propria azienda ?

Cosa scatta nella mente di un uomo di Brescia che per 4 lunghi anni decide di svuotare dalle casse della propria azienda 790mila euro?  Ha mai provato la paura?

E l’amministrativa contabile addetta ai pagamenti dei fornitori che si sarebbe appropriata di disponibilità finanziare dell’azienda metalmeccanica per cui lavorava per un valore di 255mila euro, ha mai provato delle emozioni primarie come la tristezza, la, paura, il disgusto ?

Tuttavia non è solo la frode il problema preoccupante delle organizzazioni in quanto oggi c’è un’altra piaga complessa e dilagante ossia quella degli insider informatici.

In questo primo articolo, cercheremo insieme di analizzare le cause psicologiche che producono certi comportamenti «scorretti »

Un insider è una qualsiasi persona che ha, oppure ha avuto accesso autorizzato o conoscenza delle risorse di una organizzazione, incluso personale, strutture, informazioni, apparecchiature, reti e sistemi.

La minaccia interna è il potenziale per un insider di utilizzare il proprio accesso autorizzato o la comprensione dell’organizzazione per danneggiarla.

Questo danno può includere atti dolosi, consapevoli o non intenzionali che influenzano negativamente l’integrità, la riservatezza e la disponibilità dell’organizzazione, dei suoi dati, del personale o delle infrastrutture.

L’insider informatico in virtù delle conoscenze «privilegiate», del possesso di credenziali di autenticazione, della posizione di attacco all’interno della rete intranet è una minaccia particolarmente temibile.

Nella tipologia degli insider informatici ricadono anche coloro che inconsapevolmente cagionano dalla propria posizione privilegiata danno all’organizzazione, si pensi ad esempio, che una buona percentuale dell’esposizione di dati personali, piuttosto che ad un data breach causato da un attacco cyber, è dovuta al fenomeno del data leak dove i dati sono esposti, inconsapevolmente, dagli addetti ai lavori. Tale fenomeno non è dovuto esclusivamente all’imperizia della persona ma talvolta ai ritmi frenetici delle attività di delivery con i quali si evolvono i sistemi informatici.

Inoltre sono molti ormai gli esperti di cybersecurity che chiedono che la carenza di professionisti nel settore ICT venga affrontata con priorità, dal momento che le minacce informatiche non sono mai state così alte.

Analizziamo il contesto

La letteratura ha trattato in maniera esaustiva ed esemplare il fenomeno degli insider soprattutto con riferimento all’aspetto del fraud management.

La teoria classica stabilisce che la frode è un crimine che non avviene in maniera casuale ma in presenza di fattori specifici che permettono la sua realizzazione.

I tre elementi sono: la pressione (ad esempio :il bisogno finanziario),l’opportunità e la razionalizzazione.

“ Le persone tradiscono la fiducia che è stata loro accordata quando si trovano di fronte ad un problema finanziario, non condivisibile con altri, quando sono consapevoli che questo problema può essere risolto approfittando del proprio ruolo a danno della organizzazione e quando sono capaci di far convivere la concezione di loro stessi come persone degne di fiducia con quella di utilizzatori non autorizzati dei fondi o delle proprietà loro affidate” (Donald Cressey)

Il triangolo delle frodi fornisce un modello di riferimento per le organizzazioni, per analizzare le loro vulnerabilità alle frodi ed ai comportamenti non etici.

Tale ipotesi è stata ulteriormente raffinata nella sua evoluzione ossia nella teoria del diamante della truffa dove si aggiunge un ulteriore elemento quello della capacità oppure delle competenze. (Michael Porter)

Tale ultimo elemento è particolarmente rilevante,proprio negli insider informatici

Mentre negli anni 60 uno dei fattori era individuato,principalmente nel bisogno finanziario, al giorno d’oggi la pressione è un elemento altrettanto preponderante visto il contesto competitivo, dinamico e stressante in cui è immerso il lavoratore informatico.

Le risorse umane disponibili non sono sufficienti per le necessità di security.

Ma cosa spinge maggiormente alcuni lavoratori a compiere tali atti nocivi, il denaro?

Il comportamento «scorretto» può essere dettato dal danaro, dal bisogno,ossia saldare i propri debiti personali, dal desiderio di trasgressione,dall’ insoddisfazione, dal narcisismo.

E perché ci sia “infedeltà” devono essere violate alcune regole, sia in termini di fiducia che di esclusività.

L’infedeltà emotiva, in termini psicologici è alla base dei comportamenti di queste persone e questo può avvenire in diversi modi :

  • Stabilendo una connessione speciale con qualcun altro, singolo oppure organizzazione per danaro, per incompetenza, per manipolazione,
  • Avendo la necessità di investire energia, entusiasmo e tempo per trasgressione noia, narcisismo
  • Avendo la necessità di danneggiare per insoddisfazione.

Come possiamo renderci conto di avere a che fare con delle serpi in seno?

Insoddisfazione ed assenza di comunicazione sicuramente sono i primi campanelli di allarme.  Analizziamo insieme alcuni profili psicologici dei lavoratori e vediamo se possono essere a rischio:

  • un dipendente non valorizzato e non adeguatamente remunerato, che si trova davanti l’opportunità di colmare questo malumore ai danni dell’azienda
  • un lavoratore insoddisfatto che cerca di danneggiare la propria organizzazione volontariamente attraverso la distruzione dei dati o l’interruzione dell’attività.
  • un impiegato distratto che si appropria indebitamente di risorse e gestisce i dati in modo sbagliato, installando, ad esempio, applicazioni e soluzioni non autorizzate.
  • un malintenzionato che si serve dei privilegi esistenti per accedere alle informazioni allo scopo del guadagno personale;
  • un incompetente che compromette la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali.

Che ne dite potrebbero essere potenziali insider?

Io direi proprio di sì ed allora quali sono le soluzioni per contrastare questo fenomeno?

Selezionare con attenzione la risorsa e curare soprattutto il suo grado di soddisfazione all’interno dell’azienda, attraverso percorsi di crescita personale, di consapevolezza della propria figura e responsabilità.

Ascolto e rispetto, sono indispensabili perché la «centralità della persona» non siano solo una frase a effetto e sia affermato il principio della «responsabilità personale»

Imparare ad ascoltare ma anche osservare ed osservare le cose così come sono, uscendo dalla propria zona di comfort per «vedere» ciò che è presente anche accettandone l’eventuale disagio è ciò che dovrebbe fare continuamente l’azienda

L’azienda non è solo un sistema tecnico economico, ma un sistema sociale dove i sentimenti, le emozioni ed i comportamenti dei lavoratori possono essere accolti e sviluppati.

Del resto l’attenzione al personale è uno dei punti sempre presenti nelle diverse best practice di security, a partire dalla norma ISO 27001.

Sono numerosi gli studi che dimostrano i vantaggi che derivano da un ambiente di lavoro sereno, sia nell’incrementare i livelli di motivazione dei collaboratori, sia per la loro soddisfazione derivante dal raggiungimento di obiettivi aziendali.

«Rare sono le persone che usano la mente poche coloro che usano il cuore e uniche coloro che usano entrambi.»  Rita Levi Montalcini

Oggi si parla tanto nelle aziende di work life balance e di clima aziendale e sicuramente se applicati veramente ed in maniera efficace potrebbero diventare dei forti strumenti di prevenzione dalle minacce interne dei lavoratori «infedeli» e questo più che mai è applicabile al contesto ICT.

Non sarà mai possibile prevenire a tutto tondo e completamente tale minaccia ma è auspicabile l’attenzione e la cura al fattore umano per ridurre tale rischio.

Occorre sviluppare in azienda la capability non soltanto in termini di principio by design che permette ai programmi utente lo scambio diretto eseguendo il principio del privilegio minimo ed all’infrastruttura del sistema operativo di rendere questi passaggi efficienti e sicuri ma occorre soprattutto sviluppare la capability psicologica e personale.

Le persone devono riuscire a fare oppure essere quello che desiderano fare o essere!

Capacità è un concetto legato all’economia del benessere. 

Il «Capability Approach» è sicuramente da implementare anche in ambito umano. 

Non mi soffermerò ancora sul concetto di work life balance e di capabilities in quanto  credo che sia chiaro a tutti i vantaggi che derivano da un ambiente sereno, sia nell’ incrementare i livelli di motivazione dei collaboratori,sia per la loro soddisfazione derivante dal raggiungimento degli obiettivi aziendali. Si puà infatti essere «infedele» non soltanto per danaro  

Gli attacchi da parte di persone interne all’organizzazione sono difficili da individuare e spesso vengono rilevati dopo molto tempo.

Sovente, inoltre, il management si mostra restio a riconoscere o intraprendere azioni nei confronti dei dipendenti che agiscono in questo modo criminale, ritenendo implicitamente che un dipendente «infedele» sia una macchia alla propria reputazione come azienda.

Conclusione

Le organizzazioni sono certamente consapevoli del problema, ma raramente dedicano le risorse o l’attenzione esecutiva necessaria per risolverlo.

Risulta quindi essenziale attuare un approccio innovativo di gestione del rischio nell’ambito del proprio sistema informatico che contempli in aggiunta agli aspetti tecnologici il potenziamento del fattore umano.

Occorre comprendere che il tradimento non è dettato sempre e comunque dalle medesime motivazioni e «l’infedeltà» può addirittura rivelarsi un elemento utile per portare a galla i problemi che l’hanno determinata, divenendo spesso il primo passo per la loro soluzione.

È fondamentale tutelarsi in modo attivo, adottando misure sicurezza interne adeguate.

Non basta la sola tecnologia! Ricordiamocelo sempre

Abbiamo visto le principali motivazioni psicologiche che spingono un lavoratore ad essere infedele nel prossimo articolo cercheremo di analizzare insieme le principali cause psicologiche della carenza di risorse in ambiti informatico che come ha dichiarato Guillaume Poupar, responsabile francese per la sicurezza informatica «ci limiterà negli anni a venire»

Stay tuned

Daniela Farina
Laureata in Filosofia e Psicologia, counselor professionista, appassionata di work life balance e di mindfulness, a supporto di un team di cyber security tester in TIM S.p.a.