L'hacker arriva via mail
(iStock)
Cyber Security

L'hacker arriva via mail

La Rubrica Cybersecurity Week

Partiamo da qualche numero. Il primo: ogni secondo in rete circolano 3 milioni di email. Il secondo: di questi 3 milioni di messaggi 23 mila veicolano tramite un link o un allegato dei malware. Il terzo: tirando le somme ogni giorno si muovono sui sistemi di posta elettronica poco meno di 2 miliardi di email "infette", questo significa 1 email per ogni abitante della Terra ogni tre giorni, in realtà sarebbe più realistico stimare almeno un messaggio ogni due giorni pro capite visto che gli utenti con una casella di posta elettronica non sono più di 4,5 miliardi.

Di fronte a questi numeri, di cui le organizzazioni sono consapevoli ad un livello quasi "istintivo" perché raramente analizzano le statistiche, esse hanno iniziato da qualche anno a sperimentare dei test ai danni dei propri collaboratori. Tecnicamente vengono definite attività di "white phishing" o simulazioni di "social driven attack". In termini molto semplici le aziende incaricano degli specialisti di costruire delle email di phishing da inviare ai propri dipendenti per poi verificare quanti ci cascano.

I dati sono mediamente piuttosto sconfortanti con percentuali che oscillano da un minimo del 15 per cento a un massimo del 70 per cento di utenti che abboccano all'amo. Per semplicità prendiamo un'organizzazione che ha mille utenti con una casella di posta elettronica. Ognuno di essi nel corso di un anno riceverà 1095 email che veicolano un virus informatico e, in una visione ottimistica, il 15 per cento di essi cadrà almeno una volta nel tranello. Con i calcoli mi fermo qui, perché da questo momento in poi sono assolutamente superflui.

E' intuitivo come qualsiasi essere umano che abbia un indirizzo email non si debba domandare se sarà vittima di una attacco di phishing, ma semplicemente quando accadrà e lo stesso dilemma lo deve affrontare l'organizzazione per cui lavora. Un problema acuitosi con la diffusione dello smart working che da un lato ha portato con sé l'utilizzo massiccio di ulteriori strumenti di comunicazione, ognuno dei quali rappresenta un nuovo potenziale canale per raggiungere con messaggi truffaldini gli utenti, dall'altro ha cancellato il già sottile confine che separava i sistemi ad uso domestico da quelli aziendali. La sfida è diventata, quindi, culturale.

I privati cittadini devono iniziare a considerare la cybersecurity come un problema personale che riguarda direttamente la loro vita familiare di tutti i giorni, le organizzazioni devono accettare una volta per tutte che il perimetro sia scomparso, ovvero non esiste più un sistema informatico aziendale isolato e isolabile. Si tratta di cambiare il paradigma con cui fino ad oggi è stato approcciato il tema della cybersecurity sostenendo che l'anello debole è il fattore umano ma cercando una soluzione di tipo tecnologico. L'obiettivo deve essere quello di trasformare l'uomo nell'anello forte della catena per poi metterlo in condizione di usare al meglio la tecnologia, anche quella di sicurezza. In fondo non si è mai visto un esercito ai cui soldati vengono date le armi senza prima avergli spiegato come funzionano e quando utilizzarle.

I più letti

avatar-icon

Alessandro Curioni