L'Insider threat o minaccia interna è una minaccia per un'organizzazione, che proviene da persone interne che dispongono delle autorizzazioni di accesso al sistema informativo e le utilizzano per recare danno alla stessa. L’accesso al sistema informativo può avvenire in maniera anche non conscia, e semplicemente facendo il proprio lavoro, o almeno credendo di farlo.

L’Insider può essere di diverse tipologie. La “pedina” è un dipendente o un collaboratore che viene ingannato tramite schemi di social engineering o spear phishing, progettati ad hoc per ottenere delle informazioni sensibili. Lo spear phishing è una truffa tramite comunicazioni elettroniche o e-mail indirizzata a una persona o un'azienda specifica che ha spesso l'obiettivo di sottrarre dati per scopi dannosi.

Questo attacco è particolarmente studiato e targettizzato e l’e-mail proviene da un account o un nominativo apparentemente attendibile e contiene link che rimandano a pagine pressoché identiche a quelle originali.

Il social engineering invece manipola le persone toccando leve psicologiche e comportamentali: in pratica l’ingegneria sociale non sfrutta le falle dei sistemi informatici, bensì la debolezza e l’ingenuità delle persone. Entrambe queste modalità possono attuarsi attraverso canali quali e-mail, app di messaggistica istantanea, Social Media, ecc. ma inizia ad essere diffuso anche in modalità telefonica. In questo caso il criminale contatta la vittima telefonicamente simulando una situazione particolare (da qui il concetto di pretexting, dall’inglese “creazione di un pretesto”), e fingendosi un dipendente bancario o di un ufficio pubblico, cerca di instaurare una relazione di empatia con la vittima, in modo da ottenere le informazioni di cui ha bisogno.

In questi casi, oltre ai protocolli di sicurezza, è importante fare attenzione alla tipologia di messaggi in entrata, ai messaggi urgenti o di cui non abbiamo verificato la legittimità del mittente. Una delle truffe più semplici è quella del codice IBAN, cioè di un hack che riesce ad entrare nelle mail ed andare alla ricerca delle fatture, modificando il numero del conto corrente, così che il pagamento non venga fatto al destinatario, ma al truffatore. Ad esempio, alla Ubiquiti Networks, l'insider caduto in un attacco di spear phishing ha trasferito 40 milioni di dollari sul conto bancario di una falsa filiale convinto di eseguire gli ordini dei dirigenti senior.

Un’altra tipologia di insider è formata da personale incompetente, o negligente, che pensa che le politiche di sicurezza non lo riguardino. Si stima che il 95% delle aziende abbia al suo interno utenti che tentano di aggirare i controlli di sicurezza imposti dalla stessa, come ad esempio la sospensione dei programmi antivirus o l'archiviazione di dati sensibili in archivi personali e non autorizzati. I collaboratori invece sono insider che scelgono di lavorare con aggressori esterni, di solito concorrenti e competitor dell’azienda con i quali hanno un contratto, che forniscono informazioni e/o accesso a terze parti, in genere in cambio di vantaggi economici o personali.

È indubbio che le minacce derivanti da un insider possono comportare il furto di informazioni sensibili, riservate o di grande valore economico, e queste sono tanto più reali e pericolose quanto più è carente la politica di sicurezza e di autorizzazioni interne, considerando che nella maggior parte dei casi l’insider è già in possesso di credenziali/privilegi che consentono il suo accesso a determinati dati.

La minaccia dell’utilizzo, della vendita o della semplice divulgazione di tali informazioni è uno dei maggiori problemi nell’ambito della sicurezza aziendale.

Nel 2018 l’attuazione di due direttive europee: la Direttiva 2016/679 (GDPR) per la protezione della privacy e la Direttiva (UE) 2016/1148 (NIS – Network and Information Security) per la gestione degli incidenti di sicurezza informatica e la relativa comunicazione verso terzi, ha imposto alle aziende di adottare le procedure necessarie per la protezione dei dati e dei sistemi informatici.

Nonostante ciò le aziende si trovano a dover affrontare ancora la percentuale più alta del rischio legato alla violazione di un sistema informatico ovvero quella generata dai dipendenti, dove gli strumenti tecnologici ed informatici adottati dall’azienda non sempre riescono ad essere efficaci se non contemplano il fattore umano, in molti casi il più pericoloso. I dati non si muovono da soli, ma sono le persone a spostarli.

‍

‍