Il pericolo “Insider”

Molti crimini informatici vengono condotti non da hacker esterni, ma da dipendenti tranquillamente seduti alla propria scrivania e con tutti i privilegi per accedere alla rete d'impresa.

Due studi rivelano come ridurre questo rischio.

di Barbara Lacchini"

"Conosci te stesso" è la frase di Socrate rimasta famosa nei secoli, ma il mondo dell'information security al "conosci te stesso" è arrivato di recente, dopo che la letteratura in tema di crimini informatici in questi anni si è focalizzata sugli attacchi provenienti dall'esterno e non tanto, se non in casi eccezionali, sulle minacce interne. Nell'agosto del 2004, mentre tutti si occupavano dei molto più suggestivi hacking, virus, denial of service, lo United States Secret Service, in collaborazione con il CERT Coordination Center (CERT/CC), annunciò, in parziale controtendenza, di avere investito tempo e risorse in una ricerca, poi resa pubblica, sugli "insider threats" – le minacce interne – alla sicurezza delle reti e dei sistemi informatici. Si trattava del primo Report (non per niente denominato "First Insider Threat Study Report") nato al fine di comprendere meglio tutte quelle minacce alla sicurezza che provengono dall'interno della realtà da proteggere.
Il report – pubblico e consultabile all'indirizzo www.secretservice.gov/ntac_its.shtml – si occupa, essenzialmente, di individui che hanno avuto accesso dall'interno, e hanno commesso reati e danni nei confronti di una realtà bancaria o finanziaria. E' il primo studio internazionale di questo tipo a fornire un'analisi completa delle azioni degli "insider", analizzando sia gli aspetti comportamentali sia gli aspetti tecnici delle minacce portate. Lo studio ha rilevato, nel caso ce ne fosse stato bisogno, l'estrema importanza di regolamenti, policy e procedure interne nell'assicurare i network dalle minacce esterne, dal momento che la maggior parte delle azioni perpetrate erano avvenute con minime competenze informatiche.L'analisi del report è una vera e propria miniera di informazioni per meglio capire, riconoscere e prevenire comportamenti dannosi che provengono dall'interno dell'azienda. Cosa si è scopertoLo studio illustra 23 casi di attacco sferrati dall'interno e ha evidenziato chiaramente, per la prima volta, alcuni punti fermi che riguardano le minacce provenienti dall'interno. Innanzitutto, è stato rilevato che la maggior parte degli "incidenti" informatici non sono assolutamente complessi o sofisticati sotto il profilo informatico. Le situazioni prese in esame dal report hanno riguardato per lo più la violazione di vulnerabilità non tecniche, quali, ad esempio, regole commerciali o policy organizzative da parte di individui che avevano una competenza tecnica modestissima o nulla. Basti pensare che nell'87% dei casi l'insider ha usato semplici e legittimi comandi utente per causare l'incidente, e che il 78% degli utenti colpevoli era stato autorizzato a compiere quella determinata azione informatica e aveva un account attivo sul computer o sulla rete compromessi. Inoltre, soltanto il 23% ricopriva un ruolo tecnico e solo il 13% aveva dimostrato un interesse nell'hacking.Lo studio ha poi evidenziato che la maggior parte degli incidenti informatici (effettuati nell'83% dei casi in orario di lavoro ed eseguiti dall'interno dell'azienda) era "premeditata" e programmata con largo anticipo. In molti casi, altre persone sapevano o potevano prevedere le intenzioni, i piani o le attività degli insider: che coloro che sapevano erano coinvolti direttamente nella pianificazione della "attività dannosa" oppure ne avrebbero tratto beneficio. Circa la componente psicologica, la maggior parte di questi insider erano motivati da guadagno economico più che da un desiderio di danneggiare l'azienda o il suo sistema informativo e ad accorgersi dell'incidente sono state persone sia interne sia esterne all'organizzazione, come clienti o partner commerciali.L'attività di un insiderPer "insider" si intende, solitamente, un soggetto che è, o che in precedenza era, autorizzato a usare un sistema informativo aziendale, e che lo ha utilizzato per danneggiarlo. Il suo "attacco" è, nella letteratura dell'information security, il più difficile da analizzare e questo per diversi motivi. Innanzitutto, è convinzione generale che i dati relativi agli insider e alle loro azioni siano sottostimati per due motivi essenziali: da un lato, le denunce nei loro confronti non vengono portate avanti per evitare danni di immagine all'azienda; dall'altro, gli attacchi e i loro effetti sono di piccola entità, quindi non vengono segnalati o vengono risolti internamente in modo "amichevole". Di certo, però, il livello di pericolosità di un insider che sta pianificando un attacco viene considerato molto più alto di un esterno: questo soggetto è solitamente autorizzato ad accedere al sistema e, operando dall'interno, può bypassare tutti i sistemi di sicurezza e di protezione fisica e tecnologica e accedere ai database aziendali e ai dati. Probabilmente l'aspetto più preoccupante è che per causare un danno ingente alla propria azienda, non è necessaria una grande competenza tecnica. Il report dei Secret Services è, su questo punto, molto chiaro: la maggior parte degli attacchi dall'interno avvengono senza alcun skill tecnico. Solo il 9% dei casi analizzati ha riguardato attacchi compiuti con uno script o con programma usato o elaborato ad hoc, il 13% ha coinvolto invece attività di spoofing (un utente assume le sembianze di un'altra entità in una rete o in una ambiente informatico) o di flooding (un utente accede ripetutamente ad un obiettivo per sovraccaricare la capacità del suo obiettivo). Soprattutto, lo studio ha evidenziato come nessun insider abbia effettuato attività di scansione del sistema per cercare delle vulnerabilità da attaccare. Nella maggior parte dei casi l'utente ha poi usato il proprio account e password ed i propri privilegi, se non, addirittura, il proprio terminale, per portare l'attacco. 

Gli insider e la normativa italiana

Non tutti sanno che il decreto legislativo n. 196 del 2003 che ha costituito il nostro "Codice della Privacy" prevede, accanto a norme tipicamente pensate per la protezione dei dati e il rispetto dell'interessato, alcune regole volte a tutelare il più possibile il dato da rischi anche interni. L'Allegato B al Codice in tantissimi punti parla di "istruzioni" che debbono essere date a chi tratta i dati all'interno della azienda, da parte del responsabile o del titolare, anche e soprattutto per evitare attacchi interni al patrimonio informativo. Già si è visto che gli attacchi dall'interno avvengono, nella maggior parte dei casi, come violazione di regole di business o organizzative e comportamentali. Diverse norme dell'allegato B sono pensate proprio per prevenire tali fatti. Ad esempio, nella sezione che si occupa del trattamento dei dati con strumenti elettronici, la regola riportata nel punto 2, dispone che "le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo".

Anche il Legislatore insiste, soprattutto, sul fatto che la password debba essere conosciuta solo dal soggetto, segreta e mai rivelata.

La maggior parte degli attacchi dall'interno sfruttano proprio la mancata conoscenza, da parte dei dipendenti, di come devono essere gestite le password; password che, in molte realtà, sono tutto meno che segrete.

Tratto dal sito  Network world On Line

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...