Nelle ultime settimane ci sono tantissime notizie legate alla situazione dei
dipendenti in smart working. Sono emersi molti problemi di sicurezza dei dispositivi BYOD, di
protezione degli endpoint e delle reti.
Giampaolo Dedola, ricercatore di sicurezza del GReAT Team, il team di analisi e ricerca di Kaspersky, ci spiega il suo punto di vista e le maggiori criticità.
Giampaolo Dedola, ricercatore di sicurezza del GReAT Team di Kaspersky
Una combinazione pericolosa
Le criticità si stanno reiterando nelle ultime settimane, perché abbiamo una condizione in cui gli utenti si trovano a lavorare in un contesto a cui molti non sono abituati. Se non ci sono le
adeguate misure di sicurezza c'è una
maggiore esposizione ai rischi. Siamo inoltre in un periodo specifico, dove ci sono alcuni
argomenti "hot" che vengono sfruttati in maniera importante dagli attaccanti per fare diverse azioni. Attacchi di tutte le tipologie che sfruttano il tema del coronavirus. Dallo spam, al phishing al malware. Da una parte c'è una forte attività criminale sui temi sensibili, dall'altra una forte esposizione degli utenti.
È una combinazione pericolosa.
Chi è più preparato e chi meno
La situazione è eterogenea. Ci sono aziende che sono più preparate e avevano predisposto delle condizioni abbastanza buone per gestire il lavoro da remoto. Altre sono
impreparate su molti aspetti, altre non sono preparate per niente. Quelle poco preparate magari non hanno a disposizione servizi come le VPN o non hanno dotato i dipendenti di portatili. Devono usare prodotti BYOD che non hanno un'adeguata dotazione di sicurezza.
Tutti gli aggiornamenti di cyber sicurezza sul coronavirus sono raccolti nello speciale Coronavirus e sicurezza: proteggersi dal contagio digitale
Ci sono poi aziende che hanno situazioni ibride, nel senso che hanno implementato servizi per lavorare da remoto solo a determinati gruppi o per determinate mansioni. Oppure che hanno dotato i dipendenti di portatili ma non li hanno equipaggiati con servizi VPN per connettersi all'azienda, di conseguenza hanno solo una
parziale visibilità sulla sicurezza. Ci sono infine le condizioni ottimali, che riguardano quelle aziende che hanno fornito batterie di portatili con connessioni sicure e aggiornamenti completi. In questi casi i dati della detection sono visibili anche da remoto.
La formazione ai dipendenti è importante
Ci sono alcune aziende che fanno regolarmente
campagne di sensibilizzazione del personale per metterlo a conoscenza dei problemi che si possono presentare. Si pensi ad esempio alle
email di phishing. Ci sono contesti in cui queste pratiche sono assenti, quindi si verifica una maggiore esposizione.
Sappiamo che
l'utente è sempre il primo elemento di vulnerabilità e la sensibilizzazione è importante. Anche perché nella situazione attuale tutti gli utenti cercano informazioni online. È importante cercarle solo su fonti attendibili per limitare l'esposizione.
Ci sono alcune casistiche che vale la pena menzionare. Non sono solo gli argomenti legati al coronavirus ad essere rischiosi. Anche gli eventuali strumenti che dovrebbero servire a proteggere l'utente o a facilitare le comunicazioni da remoto possono essere veicolo di attacchi. Pensiamo ad esempio
al caso di Zoom e delle
finte VPN. Quando ci si connette a un servizio, occorre verificare che il sito che lo eroga sia quello corretto, controllare i domini, controllare i link HTTPS, ossia un canale cifrato e certificato. E bisogna controllare che il certificato sia valido.
Gli strumenti di sicurezza
Non possiamo pretendere che l'utente faccia tutto, per quello esistono strumenti di sicurezza che devono essere implementati. Noi cerchiamo di offrire vari pacchetti di soluzioni usabili sia dall'azienda direttamente sia per gli utenti finali, che sono quelli di protezione degli endpoint. Tra le cose che in questo momento possono interessare gli utenti perché li possono tutelare da diverse problematiche ci sono i
password manager.
Soprattutto in questo momento in cui ci sono molti attacchi, anche di phishing, il fatto di avere credenziali diversificate è utile per mitigare eventuali perdite. L'utente non può ricordarle tutte e in questo il password manager è fondamentale.
Un altro servizio utile è la
VPN, che serve per proteggere i dati in assenza di una propria rete fissa, crea un canale cifrato fra il proprio dispositivo e un'altra rete esterna affidabile.
Altre soluzioni di sicurezza sono quelle per la
protezione della navigazione, sempre incluse nei pacchetti endpoint. Permettono di monitorare traffico e verificare se ci si connette a un sito sospetto. Altri strumenti creano un ambiente protetto quando si entra in alcuni siti, come ad esempio quello della banca. Quando facciamo home banking un software monitora i permessi e gli accessi alle applicazioni e si garantisce che la finestra di navigazione non possa essere intercettata da altre applicazioni malevole eventualmente installate sul dispositivo. È una sorta di sandbox, che evita l'injection di codice malevolo da parte di altri software.
Tutti questi software fanno uso dell'
Intelligenza Artificiale per gestire la quantità di minacce informatiche. L'80% delle analisi è fatto automaticamente tramite automi configurati e addestrati per riconoscere le componenti malevole. Il lavoro consiste nell'individuare i comportamenti sospetti rispetto a quelli che normalmente terrebbe un utente.
La situazione nelle aziende, un panorama diversificato
Quella attuale è una situazione che può e deve essere sfruttata per rivalutare il livello di sicurezza aziendale. E anche la capacità dei singoli di poter lavorare in remoto.
Molte aziende dovranno rivedere le proprie politiche, gli strumenti su cui dovrebbero investire, la dotazione di soluzioni di sicurezza ai dipendenti e di dispositivi che possano essere controllati dall'azienda, almeno dal punto di vista della sicurezza. Se un utente deve usare uno strumento per lavorare, dev'essere protetto almeno dalle policy di base.
Devono essere installate almeno le patch e dev'esserci una condizione per la quale almeno il personale IT dell'azienda possa lavorare da remoto sui prodotti. È auspicabile che i sistemi possano inviare centralmente log e rilevazioni. Chi si occupa di sicurezza in azienda deve avere almeno un minimo di
visibilità per identificare gli incidenti informatici.
Il dipendente dovrebbe poi avere accesso a una VPN accessibile tramite client che usa un certificato, possibilmente su un token esterno, a cui collegare il computer. Molti lamentano
problemi con le VPN, perché la VPN era configurata per far intervenire pochi dipendenti e/o solo in condizioni di reperibilità. Le VPN presenti erano
sottostimate e inadeguate per supportare tutta la forza lavoro in remoto.
È per questo che è il momento di verificare il proprio stato attuale e rivalutarlo. In un caso come quello appena ipotizzato
la configurazione VPN dev'essere estesa, il che implica aggiungere server e aumentare la capacità di banda. Quelli emersi sono limiti prettamente di risorse hardware, che non devono esentare i dipendenti da un accesso sicuro alle risorse aziendali.
In ultimo, vale la pena ricordare che è importante installare prodotti di sicurezza che coprano non solo i portatili, ma anche tablet e smartphone che contengono informazioni lavorative e che devono essere tutelati. È inoltre fondamentale la
cifratura dei dispositivi, così che qualsiasi cosa accada i dati siano tutelati dalla crittografia. Inoltre, per prevenire la perdita di dati, è indispensabile disporre di
backup aggiornati e funzionanti.