I social come strumenti di business, ma occhio alla sicurezza

Deterioramento del brand, perdita di fiducia da parte dei clienti, personale infedele o maldestro: sono solo alcuni degli effetti negativi che le piattaforme social possono veicolare. Come integrare la propria strategia social in un piano efficace di sicurezza capace di tutelare sia gli asset che le persone? 

I social non sono una riserva di caccia battuta solo dai cattivi tradizionali. Quelli che per mettere a segno un’operazione di social engineering sono pronti a compiere qualsiasi porcheria con i nostri dati e a inventarsi piani degni di Diabolik per indurci a cliccare su un link malevolo. Tutt’altro. Facebook – per esempio – è depositaria di un brevetto in cui viene descritto il funzionamento di speciali videocamere che analizzando le espressioni del viso sono in grado di stabilire se siamo annoiati oppure sorpresi da quel che vediamo nella nostra timeline. In un altro, è progettato un sistema che sfrutta il microfono del nostro smartphone per conoscere quale programma televisivo stiamo guardando. Ce ne sono altri che hanno come obiettivo di registrare quante ore ogni giorno dedichiamo al sonno o addirittura quello di prevedere le probabilità di sposarsi o di diventare ricchi. Il New York Times passando in rassegna le migliaia di brevetti registrati a partire dal 2012 dal colosso dei social network ha scoperto che praticamente non c’è aspetto dell’esistenza di ognuno dei suoi utenti a cui Zuckerberg e soci non siano interessati: dove si trovano; con chi passano il tempo; se vivono una relazione oppure sono single; di quali marchi o temi politici parlano. Ha persino provato a brevettare un metodo per predire la data esatta in cui morirà un nostro amico.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Sappiamo che Facebook da tempo condivide i nostri dati con una pletora di società interessate a sfruttare l’enorme potenziale dato dai miliardi di informazioni già in suo possesso. Gli effetti di questa morbosa attenzione iniziano a vedersi. Come dimostra il connubio Facebook/Cambridge Analytica. I fatti sono noti. Nel 2014, secondo le rivelazioni del tabloid inglese The Observer, Aleksandr Kogan, un accademico inglese, avrebbe raccolto tramite la sua società Global Science Research i dati di cinquanta milioni di utenti Facebook. Un quantitativo enorme di dati personali: non solo quelli degli utenti americani pagati per completare un test psicologico, ma anche i dati dei loro contatti Facebook, raccolti impiegando un’app del social network. GSR avrebbe poi ceduto i dati a Cambridge Analytica che a sua volta li avrebbe utilizzati per influenzare il risultato delle elezioni USA del 2016. Stiamo ancora cercando di comprendere quale lezione trarre da tutta questa vicenda. Ma certamente la stretta relazione tra social network e vulnerabilità della privacy delle persone è emersa in tutta la sua gravità. Per tutti noi che utilizziamo i social, i pericoli sono aumentati. Non si tratta più solo di guardarsi le spalle dai nemici che conosciamo. La minaccia arriva anche da coloro ai quali affidiamo un’estensione importante della nostra identità.

LA PERCEZIONE DEL RISCHIO SOCIAL

Abbiamo chiesto a IDC in che misura i social media vengono percepiti da parte di chief information officer e chief information security officer come potenziali vulnerabilità per la sicurezza aziendale. Dopo averci confermato che il tema del rischio IT derivante dalla capillare diffusione delle piattaforme di social networking è stato sondato più volte in passato, IDC ancora di recente si è confrontata con una platea di CIO e CISO presenti all’ultima Security Conference tenutasi a Milano nel mese di maggio. «Dalle risposte ricevute – ci aggiorna Giancarlo Vercellino, research & consulting manager di IDC Italia – emerge che circa il 24% dei partecipanti hanno individuato nei social un fattore di rischio importante per lo sviluppo futuro delle tecnologie della sicurezza IT». Un dato in sostanziale continuità con quanto osservato nell’edizione dello scorso anno. «Estrapolando questo dato puramente campionario, in relazione all’universo delle imprese italiane, riteniamo che circa il 16% delle imprese nel nostro Paese esprima una analoga percezione del rischio. Il tema è sentito con particolare intensità dalle imprese sopra i mille addetti, dove possiamo stimare abbia una certa influenza su circa un terzo delle organizzazioni» – spiega Vercellino. Un dato che non cambia a seconda dei settori. Un dato che secondo IDC non varia in modo significativo tra settori industriali. «Senza dubbio quelli data-intensive come Finanza, Servizi e PA sono più immediatamente coinvolti rispetto all’Industria e al Commercio, ma con tutta probabilità il dato oscilla di anno in anno in base al clamore delle vicende che finiscono sui giornali».

In generale, la percezione dei rischi “cyber” legati all’uso aziendale dei social media è ancora troppo bassa, nota Andrea Zapparoli Manzoni, membro del comitato direttivo di CLUSIT. «Per mancanza di awareness del management e perché tipicamente queste piattaforme sono gestite dall’area comunicazione/marketing (spesso tramite outsourcer specializzati) e non da quella IT/Security. Le aziende (relativamente) più sensibili sono quelle finanziarie, della comunicazione e del fashion, tipicamente di dimensioni grandi o molto grandi». Una lista alla quale forse possiamo aggiungere alcune amministrazioni pubbliche e locali illuminate. Anche se spesso la tendenza più che dotarsi di un piano e di una serie di regole valide per tutti è di procedere in autonomia e perifericamente. Lungo questo percorso di sensibilizzazione di certo non aiuta la scarsa collaborazione sin qui dimostrata dei gestori dei social. «Data la natura opaca di queste piattaforme e il fatto che gli attacchi sono principalmente portati a livello semantico (social engineering, truffe, frodi, sostituzioni di persona e così via…), un CISO che volesse monitorare l’uso dei social per mitigare tali rischi, si troverebbe tecnicamente in difficoltà per la bassa disponibilità di strumenti, processi e competenze ad-hoc» – rileva Zapparoli Manzoni.

Leggi anche:  Kaspersky Standard nominata “prodotto dell’anno” da AV-Comparatives

Tuttavia, contrariamente a quanto si potrebbe dedurre dal dato relativo alla scarsa sensibilità dell’IT/Security al tema, il dato relativo alla diffusione presso le aziende europee della presenza di policy di sicurezza specifiche per i social media è in controtendenza. Secondo IDC, policy di sicurezza specifiche per i social sono piuttosto comuni in qualsiasi impresa nel segmento large enterprise. Diverso il parere di Zapparoli Manzoni – secondo il quale, almeno per quanto riguarda l’Italia – «l’adozione di una social media security policy è ancora molto poco diffusa. Le aziende che l’hanno implementata sono nell’ordine di qualche decina». Diverso il discorso, circa la disponibilità di un budget specifico per la gestione della sicurezza in ambito social. «Nella maggior parte dei casi, discende dall’allocazione di risorse per attività di change management, process re-engineering, compliance e così via» – afferma Vercellino di IDC Italia. Il problema del budget – mette in evidenza Zapparoli Manzoni di CLUSIT – è complicato dal fatto che spesso la gestione dei social aziendali ricade nel campo dell’area marketing. «Di conseguenza, non esiste quasi mai un budget dedicato da parte dell’area IT/Security, che può al massimo monitorare i server, la rete e i device aziendali cercando di intercettare attacchi veicolati da malware introdotto in azienda tramite social network, ma non riesce a vedere gli attacchi basati su social engineering se non quando è troppo tardi».

I PERICOLI CHE ARRIVANO DAL SOCIAL

I social sono una miniera a cielo aperto per chi sa come utilizzare la miriade di informazioni che condividiamo. «I report di Kaspersky Lab mostrano come i cybercriminali fanno di tutto per mettere le mani sui dati degli utenti attraverso i social network» – conferma Morten Lehn, general manager Italy di Kaspersky Lab. Anche perché spesso sui social condividiamo troppe informazioni su di noi e sull’azienda per cui lavoriamo. Alcune di queste informazioni si prestano molto bene per essere utilizzate in combinazione con tecniche di social engineering per targettizzare gli attacchi in maniera sempre più raffinata. «Per esempio, se ho intenzione di mettere in atto una truffa del tipo Business Email Compromise nei confronti di un responsabile ufficio acquisti, i social media mi forniranno informazioni essenziali per confezionare una truffa il più possibile credibile e fare in modo che il mio obiettivo cada nella trappola» – afferma Lisa Dolcini, channel marketing manager di Trend Micro. «I dati raccolti con i metodi di ingegneria sociale possono servire anche per attacchi phishing o per l’invio di documenti maligni, che possono dare il via ad attacchi più in profondità, una volta che i cybercriminali sono entrati nella rete aziendale. Anche se gli account social sono privati, infatti, il dispositivo utilizzato è dell’azienda e sarà quest’ultima a subire l’attacco» – osserva Dolcini. Secondo i dati forniti da Kaspersky Lab relativi al primo trimestre del 2018, le tecnologie anti-phishing del vendor hanno bloccato più di 3,7 milioni di tentativi di accesso a pagine di social network fraudolente. «Il 60% era rappresentato da pagine Facebook false. Nel periodo considerato, Facebook guida la classifica del phishing connesso ai social network, seguito da VKontakte, un servizio di social network online russo, e da LinkedIn, canale ampiamente usato in ambito professionale» – ci rivela Lehn di Kaspersky Lab.

Leggi anche:  ChatGPT: opportunità o minaccia per la sicurezza di Active Directory?

Le più recenti metodologie d’attacco sfruttano la potenza delle reti e la rapidità di propagazione delle informazioni per colpire organizzazioni, aziende e loro clienti. Per esempio, in un attacco spray-or-pray, il primo step è far sì che la vittima interagisca con un certo post; potrebbe essere il link a una notizia curiosa, in linea con i nostri interessi che rimanda alla fonte originaria; oppure a un sito che lega la notizia a una campagna di sensibilizzazione verso un certo tema. Le possibilità non mancano. Terminata la fase preparatoria, chi attacca si concentra sul target per assestargli il colpo di grazia. Spesso i bot utilizzati per innescare l’attacco pubblicano contenuti che non violano i termini di servizio del social. Una variante dello spray-or-pray è l’attacco watering hole. Qui l’obiettivo è collocare un malware indirizzato a un certo target in un punto del social che abbia buone probabilità di attirare l’attenzione delle proprie vittime. Per esempio, un post all’interno di un gruppo di discussione. Rispetto al precedente, qui l’attacco mira sin dall’inizio a un certo target. Inoltre chi attacca non conosce a priori chi sarà la vittima all’interno del gruppo targettizzato. Una volta presa all’amo, la vittima sarà utilizzata come testa di ponte per arrivare a qualcun altro, sempre più vicine al vero target. Dato il livello di raffinatezza e complessità degli attacchi, anche il grado di attenzione riservato al proprio account social dovrebbe crescere. Così come l’engagement dei gestori dei social, attraverso misure di sicurezza a tutela dei profili adeguate al livello della minaccia. In realtà, ci si muove ancora troppo lentamente. «Per un criminale, è molto più semplice ed efficace ottenere informazioni sensibili e/o compromettere un device del CEO, di un sistemista IT o di un’assistente di direzione tramite i loro account social personali, sia installati su device aziendali che privati» – conferma Zapparoli Manzoni di CLUSIT.

UN’IDEA SEMPRE NUOVA: GESTIRE I SOCIAL

Per gestire in sicurezza la propria presenza sui social network, l’azienda dovrebbe essere in grado di delineare una strategia che si concentri in primo luogo sugli aspetti organizzativi e di processo. Per poi concentrarsi sul comportamento degli utenti. Un approccio adottato dalle aziende più strutturate. Meno altrove.  «Nelle PMI, l’analisi del comportamento degli utenti è meno prioritaria dell’incremento della visibilità del brand» – osserva Giulio Vada, country manager di G DATA Italia. «Solo in rari casi, si instaurano processi e si seguono linee guida precise su comunicazioni e gestione dei dati raccolti». Certamente, ogni azienda dovrebbe avere una policy che regoli l’utilizzo dei social da parte dei dipendenti, «sia per il tempo trascorso su questi media che per i contenuti condivisi» – mette in evidenza Lisa Dolcini di Trend Micro. «Procedendo sempre di pari passo sia con gli aspetti formativi che con quelli tecnologici che riguardano la protezione dell’infrastruttura».

In realtà, proteggere il proprio account social significa proteggere anche colleghi, amici, conoscenti e così via. «Un uso non conforme a quanto esigono le normative ha oggi conseguenze tanto gravi quanto la condivisione di informazioni riservate con le migliori intenzioni (come per esempio, la pubblicazione di uno screenshot della configurazione di un router o di un server per chiedere delucidazioni tecniche, o la richiesta di consigli sulla campagna di lancio di un prodotto ancora sotto segreto industriale) o la pubblicazione di affermazioni denigratorie o campagne mal formulate che cagionano seri danni reputazionali all’azienda» – spiega Vada di G DATA Italia. Meglio non dimenticarselo. Come abbiamo visto, esistono schemi e metodologie collaudate per preparare il terreno a un attacco. Perciò le organizzazioni devono informare i propri collaboratori circa i pericoli delle tecniche di social engineering. «Sicuramente, il ruolo dei social nella comunicazione aziendale da un lato e l’evoluzione delle imprese verso lo smart working dall’altro, pongono problematiche nuove rispetto all’impresa tradizionalmente intesa e comportano livelli di complessità nella gestione di aspetti come questo, prima nemmeno prevedibili» – fa notare Marco Mazzoleni, head of Italy pre-sales consultancy di Symantec.

«Condividere con i dipendenti informazioni su come avvalersi dei social in modo consapevole e sicuro oltre che chiare policy di comunicazione aziendale è sufficiente nella stragrande maggioranza dei casi. Un divieto o addirittura un filtro, oppure un blocco automatico del traffico sui social, come peraltro impostabile attraverso le nostre suite, dovrebbe essere davvero l’ultima spiaggia». Formazione del personale e sensibilizzazione ai rischi, pur importanti, non sono sufficienti. «Rimane un’area di rischio non gestito potenzialmente enorme» – avverte Zapparoli. «Un’area completamente non gestita, che riguarda l’uso privato, personale dei social da parte dei collaboratori e del management. Sia per ragioni culturali che di vincoli normativi – come in materia di protezione dei dati e di tutela della privacy – l’azienda tende a non occuparsi della protezione degli account personali, che invece sono il principale vettore di attacco verso le organizzazioni».

Leggi anche:  Cybersecurity e 5G: cresce la spesa delle aziende

RISCHI SOCIAL E ANALISI DEL RISCHIO

A livello aziendale, il maggiore rischio legato all’utilizzo dei social è di condividere involontariamente informazioni riservate. «Di frequente, vengono ripresi anche nei selfie documenti cartacei, schermate dei PC aziendali ed altre informazioni che non dovrebbero assolutamente essere condivise» – conferma Massimiliano Ghelli, social media manager e software analyst di ESET Italia. «Senza dimenticare i famigerati Post-it con le password in bella mostra, che troppo spesso ornano le postazioni dei dipendenti e che dovrebbero invece essere preservate da occhi indiscreti». E non bisognerebbe sottovalutare neanche – prosegue Ghelli – «la possibilità di mettere in difficoltà colleghi e superiori ritratti, molto spesso senza il loro consenso, nelle foto pubblicate sui vari social».

«Vista l’evoluzione delle minacce e lo scenario attuale, il rischio introdotto dall’uso dei social (aziendale e non) andrebbe considerato tra i più gravi e probabili» – incalza Zapparoli Manzoni di CLUSIT. «Così non è. Almeno non ancora. È importante sottolineare che per la natura trasversale e capillare dei social, non si tratta di un rischio IT, né di un problema che può essere risolto esclusivamente dall’IT, ma di un rischio aziendale di livello esistenziale/sistemico, che è certamente veicolato tramite strumenti IT ma che riguarda tutta l’organizzazione e tutti i suoi collaboratori, outsourcer e fornitori». Un rischio quello indotto dall’interazione con terze parti quasi sempre fortemente sottostimato. Al contrario – continua Zapparoli Manzoni – «dovrebbe essere analizzato, gestito e mitigato come rischio d’impresa, a valle di opportune business impact analysis, operando sia sul piano tecnologico che su quelli organizzativo e formativo. Data la complessità del problema e il numero di variabili da considerare, si tratta di una sfida non facile, che d’altra parte non può più essere ignorata o sottovalutata».

CONCLUSIONI

Secondo i dati dell’ultimo rapporto Agi/Censis realizzato nell’ambito del programma pluriennale “Diario dell’Innovazione” della Fondazione Cotec che indaga sulla vita digitale degli italiani, il 69,6% del campione intervistato dichiara di non fidarsi della gestione dei dati da parte dei network e dei motori di ricerca. Sempre di più, gli utenti sono consapevoli degli utilizzi fraudolenti di finti account e false identità. Magari hanno sperimentato a loro spese comportamenti offensivi o patito una sottrazione di dati. Gli esempi non mancano. Una sfiducia alimentata dai continui episodi di cronaca. Non ultima, la già citata vicenda Facebook/Cambridge Analytica. Un segnale importante da non sottovalutare. Dalla ricerca emerge chiaramente che con la maggiore consapevolezza cresce anche la percentuale di coloro che sarebbero pronti a cercare di invertire questa tendenza.

Il 76,8% degli intervistati per esempio si dichiara favorevole all’obbligo del documento di identità per iscriversi ai social. Interessante, anche il dato secondo cui due terzi degli utenti, nonostante l’utilizzo intensivo dei social, dichiarano che non ci penserebbero troppo ad abbandonarli qualora diventassero a pagamento. Orientamenti che tuttavia stridono con il dato relativo al livello di attenzione verso la condivisione di informazioni personali che rimane desolatamente bassa. Lamentiamoci dei social e stigmatizziamone la pericolosità. Adottiamo comportamenti più prudenti e prestiamo maggiore attenzione alle informazioni che riveliamo su noi stessi. Ma non dimentichiamo che in quanto utilizzatori, con i nostri comportamenti siamo parte del problema. In altre parole, così come gestiamo la nostra vita offline, allo stesso modo dovremo imparare a farlo sempre meglio anche con quella online. Non sempre sappiamo come fare perché manchiamo ancora di esperienza. Soprattutto non ci sono precedenti a cui fare riferimento. Ma convinciamoci che la sicurezza sempre di più è una forma di responsabilità sociale. Se comprendiamo che i nostri account social sono un’estensione importante della nostra identità, anche il nostro comportamento social cambierà. In meglio.