Le minacce incentrate sulla persona continuano ad avere un impatto importante sulle organizzazioni italiane: la formazione da sola è insufficiente.
Nonostante la formazione in cybersecurity, i dipendenti aziendali italiani continuano a cliccare su link sospetti, a riciclare password e a fornire credenziali a fonti non affidabili. E facendolo mettono rischio la sicurezza della propria azienda. È un dato decisamente preoccupante che esce dal report annuale State of the Phish di Proofpoint giunto alla sua decima edizione.
Più nello specifico, i dati del report su cui è d’obbligo una riflessione sono i seguenti: il 72% dei dipendenti italiani ammette di aver compiuto almeno un'azione rischiosa che ha rischiato di compromettere la propria azienda. I danni alla reputazione riconducibili agli attacchi cyber sono lievitati del 385%. Soprattutto, l'MFA non è una protezione completa, dato che ogni mese viene lanciato oltre un milione di attacchi MFA-bypass.
I numeri preoccupano, ma quello che più spaventa è che i risultati del report a questo giro mettono in discussione la convinzione che le persone compiano azioni pericolose a causa della mancanza di conoscenze in materia di cybersecurity, e che la formazione sulla sicurezza sia sufficiente a prevenire completamente i comportamenti a rischio. In particolare, quello che dimostrano i numeri è che esiste un forte divario tra limiti della tecnologia di sicurezza individuale e formazione degli utenti. In altre parole, la formazione da sola non è efficace in quanto “sapere cosa fare ed metterlo in pratica effettivamente sono due cose diverse”, come sottolinea Ryan Kalember, Chief Strategy Officer di Proofpoint.
Quindi è inutile fare formazione? Non del tutto. Ma di certo non basta spiegare com’è fatta una email di phishing per fare che nessuno abbocchi più. Che il problema della sicurezza informatica sia fra la sedia e la tastiera è noto da tempo, i criminali informatici lo sanno e investono continuamente in tecniche più raffinate di ingegneria sociale per raggirare utenti distratti, stanchi, oberati di lavoro, e semplicemente superficiali nel momento in cui valutano il contenuto di una email. Quello che servirebbe, consigliano gli esperti, è di dismettere il focus sugli “how-to” e di lavorare per attivare un cambiamento del comportamento, che deve necessariamente riguardare l’approccio agli strumenti informatici a 360 gradi, sia professionali che privati, in qualsiasi luogo e in qualsiasi momento del giorno e dell’anno, anche in vacanza.
Una impresa difficilissima che fa attrito con una povertà culturale enorme in materia di cybersecurity, a tutti i livelli, che non riguarda solo i dipendenti ma i cittadini tutti, a partire dall’età scolastica in avanti.