Hacker, la minaccia viene soprattutto dai dipendenti interni: "C'è un mercato disposto a pagare per avere i dati"

Dossieraggio, dipendenti infedeli e il mercato nascosto dei dati aziendali

La questione del dossieraggio aziendale e della protezione dei dati è una tema caldo degli ultimi giorni che ha portato alla ribalta anche un aspetto spesso trascurato: non solo gli hacker esterni sono una minaccia per le informazioni sensibili. Un rischio altrettanto rilevante è quello rappresentato dai dipendenti interni, autorizzati ad accedere ai dati e quindi talvolta inclini a farne un uso illecito.

Esiste addirittura un vero e proprio mercato di dati aziendali, alimentato da chi, pur avendo legittimo accesso alle informazioni, ne abusa totalmente. La questione, dunque, non riguarda solo l’intrusione esterna, ma richiederebbe anche un sistema interno di controllo che possa identificare e prevenire accessi anomali a dossier sensibili. Per approfondire il tema, Affaritaliani.it ha interpellato l’avvocato Andrea Cavalloni, partner dello studio legale 42LawFirm, che da tempo affianca da vicino diverse aziende nell’implementazioni di policy adeguate contro questo fenomeno.

Avvocato, nel suo lavoro a stretto contatto con aziende vulnerabili a fughe di dati, quali sono i segnali più ricorrenti di un abuso di accesso autorizzato?

In molte aziende italiane esfiltrare dati è una operazione piuttosto agevole per dipendenti e personale autorizzato ad accedere ai database aziendali e questo a causa del poco controllo sull’utilizzo in azienda di dispositivi di memorizzazione esterna come pen drive o hard disk esterni. La gran parte delle aziende non immaginano quanto spesso e quanti loro dati vengano esfiltrati dai dipendenti, soprattutto nel periodo di poco precedente alla loro uscita dalla azienda.

Molti dati vengono estratti non da hacker esterni, ma da persone interne che sfruttano il loro accesso. Come avviene concretamente questo abuso, e quali sono i punti deboli del sistema che permettono queste violazioni?

Si è proprio così, la maggior parte dell’esfiltrazione dei dati non è causato da hacker che si insinuano abilmente nei sistemi informatici, ma da soggetti interni che hanno lecitamente accesso a quei dati e che abusano della loro posizione, come peraltro i recenti casi di cronaca stanno dimostrando.

Di fatto l’operazione è piuttosto semplice, un soggetto che ha le necessarie credenziali di accesso al database e le relative autorizzazioni per trattare i dati presenti nel database per o svolgimento delle loro funzioni lavorative, sfruttano queste credenziali di accesso per porre in essere condotte di consultazione ed esfiltrazione di dati che esulano dalla attività lavorativa.

I punti deboli solitamente sono legati al controllo sulle attività condotte sui database e spesso di eccesso di autorizzazioni alle credenziali, in quanto è diffusa l’opinione, specie in piccole e medie imprese, che restrizioni troppe rigorose pregiudichino l’operatività aziendale.

Le aziende tendono a concentrarsi su cyberattacchi esterni; crede che questa percezione errata possa diventare un alibi per evitare di potenziare i controlli interni?

Credo sia già utilizzata come alibi. I cyberattacchi ci sono e sono un fenomeno in rapidissima ascesa e di cui bisogna tener conto.  La sicurezza informatica è necessaria non solo per difenderci da attacchi di terzi esterni, ma anche per controllare e proteggerci da condotte scorrette messe in atto di chi ha più facile accesso ai dati. Possiamo creare il caveau più protetto e inattaccabile dall’esterno, ma se il malintenzionato è dentro al caveau, tutti i nostri sforzi saranno stati vani.

LEGGI ANCHE: Dossieraggio e hacker? Prigione, 100 milioni di multa e interdizione perpetua dai pubblici uffici per mandanti e beneficiari

Perché le aziende non hanno ancora implementato sistemi di analisi preventiva, come sistemi di alert per monitorare comportamenti anomali nei dipendenti?

Il tessuto imprenditoriale italiano è fatto soprattutto di piccole e medie imprese, le quali preferiscono investire risorse su aspetti aziendali che per loro hanno la precedenza e questo a volte tralasciando aspetti basilari sulla sicurezza informatica. Tuttavia, tali aspetti sono importanti e non dovremmo tralasciarli neanche per il nostro computer di casa, figuriamoci per l’infrastruttura tecnologica aziendale. La cultura del curare il problema e non di prevenirlo è ancora prevaricante su questi temi. Troppe spesso mi capita di essere chiamato dalle aziende per gestire una problematica di esfiltrazione dei dati a causa di un dipendente infedele e scoprire che tali aziende non erano neanche a norma su una basilare normativa come quella in materia di privacy e solo dopo quell’evento provvedere alla messa a norma sulla base delle disposizioni del GDPR.

Quel che invece sorprende di più è constatare come le aziende, le banche  o le pubbliche amministrazioni che gestiscono dati e informazioni di grande valore economico, strategico o comunque particolarmente riservate non dispongano o comunque non utilizzino dei sistemi di monitoraggio e alert per condotte anomale.

Secondo lei, l’introduzione di sanzioni o una maggiore formazione continua sui temi di corruzione e sicurezza dei dati potrebbe davvero ridurre la propensione dei dipendenti a comportamenti fraudolenti?

Sicuramente la maggior formazione, unita a maggior sanzioni, possono migliorare la situazione e soprattutto creare una cultura sui temi della sicurezza e della protezione di dati e informazioni, anche perché molto spesso i dati aziendali vengono portati via da dipendenti che più che infedeli, io tendo a definirli sprovveduti, in quanto lo fanno pensando che sia loro diritto o comunque che sia per loro utile averli, ma senza un preordinato fine “malevolo”.

Tuttavia, formazione e sanzioni non bastano a combattere l’infedeltà. Stiamo scoprendo l’elevatissimo valore economico che hanno le informazioni e i dati, in quanto possono dare un vantaggio strategico, economico o competitivo notevole e quindi vi è un mercato disposto a pagare le informazioni e i dati. Con questi presupposti è facile comprendere come offerte economiche rilevanti, ben superiori a quanto un dipendente che ha accesso a quei dati venga retribuito, possa far breccia in qualche soggetto e causarne l’infedeltà che porterà all’esfiltrazione dei dati.

Solo maggior tutela delle informazioni e dei dati e maggior controllo può combattere il fenomeno che stiamo vedendo in questi giorni, se pur sia fondamentale elevare il livello di cultura sull’importanza di tutelare i dati nei dipendenti, ma soprattutto nei datori di lavoro.

In sintesi, come descriverebbe il futuro del controllo dei dati interni nelle aziende? La tecnologia riuscirà a risolvere queste falle o sarà sempre un “fronte caldo” per le imprese?

Certamente siamo innanzi ad una sfida che ci porteremo avanti per molti anni. Le informazioni sono potere e quindi sono ambite. Confido che l’Intelligenza artificiale utilizzata nei processi di controllo possa implementare in maniera formidabile tali attività e questo grazie alla sua grande capacità di calcolo e soprattutto di elaborazione ed analisi dei dati.

Nel frattempo, si spera che i crescenti casi emersi in questo periodo aiutino a generare maggior consapevolezza nelle imprese sull’importanza di tutelare i propri dati aziendali che siano di know how o dati personali. E’ importante applicare misure di sicurezza adeguate per tutelare i dati aziendali, ma soprattutto per tutelare la propria azienda.