LA FRAGILITÀ DEL FATTORE UMANO NELLA CYBERSICUREZZA sul Quotidiano di Bari del 6/8/2021

Di seguito l’intervento dell’Investigatore Privato Aldo Tarricone sul Quotidiano di Bari del 06 agosto 2021 sulla cybersicurezza e la fragilità del fattore umano:

“In questi giorni si parla molto di Cybersicurezza, e proprio il 4 agosto 2021 la Gazzetta Ufficiale ha pubblicato la Legge n. 109/2021 di conversione, con modificazioni, del Dl n. 82/2021 (sulla cybersicurezza) ed il testo coordinato del decreto.

La cybersecurity è l’insieme delle tecnologie e delle attività che contrastano le minacce informatiche, e solitamente si concentra sull’analisi del sistema informatico di un’azienda e sulla valutazione dei rischi legati alla sua sicurezza. Nella fase di analisi dei rischi va considerato anche il comportamento dei dipendenti e/o di terze parti.

Ma quanta importanza viene data, di fatto, al fattore umano?

Nella nostra esperienza, lavorando spesso al fianco delle aziende, soprattutto in questi ultimi mesi nei quali vi è stato un massivo aumento del lavoro in smart working, ci siamo resi conto di quanto venga sottovalutata la responsabilità dei dipendenti nelle problematiche legate alla cybersecurity, come il data breach.

Non si tratta solo di errore umano del dipendente, che causa involontariamente delle conseguenze sulla sicurezza informatica dell’azienda, né meramente di volontà, di intenzione di arrecare danno consapevolmente, mettendo in atto un illecito.

Vi è una sottile via di mezzo, che è causata dalla manipolazione psicologica che il dipendente riceve da un eventuale competitor o malintenzionato, interessato ad impossessarsi di dati sensibili, o a violare le reti aziendali per trarre dei profitti.

Il soggetto interessato, che non necessariamente deve trattarsi di un hacker o di un esperto in tecnologia informatica, “avvicina” il dipendente, partendo spesso dai suoi account social. È qui che riesce a carpire le prime informazioni su di lui, i suoi gusti, i suoi interessi, le sue dinamiche familiari, le abitudini quotidiane.

Una volta tracciato un quadro della vittima, dunque, il manipolatore interviene, mettendo in gioco le sue abilità per ottenere le informazioni che desidera dal dipendente, facendo leva sulla sua fragilità o, semplicemente, facendo in modo che possa nascere in lui un sentimento di fiducia.

Il dipendente che è in possesso di codici di accesso, di informazioni sensibili, che può accedere ai sistemi informatici o ai luoghi fisici che riguardano l’ambiente aziendale e lavorativo, è per un competitor sleale o per un soggetto malevolo una risorsa inestimabile.

La vittima è solitamente una persona fragile, che ha bisogno di conferme continue, o che ha impreviste ed urgenti necessità economiche.

Ad esempio, tra i casi più rappresentativi sui quali la nostra agenzia investigativa è intervenuta vi è il caso di un dipendente ludopatico, che, come potrete immaginare, il malintenzionato non ha avuto difficoltà a corrompere, promettendogli ingenti somme di denaro in cambio di informazioni sensibili.

Un altro caso è quello di un dipendente che da più di venti anni lavorava presso l’azienda nostra cliente, senza aver mai dimostrato il minimo segno di sregolatezza, agendo sempre nel pieno rispetto del vincolo fiduciario con il datore di lavoro. Ma un competitor dell’azienda era riuscito a scoprire che il dipendente, nell’ultimo periodo, aveva dei seri problemi economici, a causa di una grave malattia che aveva colpito la moglie, e che poteva essere curata solo all’estero. Così gli è stato offerto del denaro, che il dipendente ha “dovuto” accettare, se così si può dire.

Ma, senza arrivare a casi estremi, spesso è sufficiente alimentare l’ego di un insicuro, fingendosi un corteggiatore, per ottenere ciò che si vuole, anche l’informazione più segreta.

Infatti, se c’è una cosa che questo mestiere mi ha insegnato in più di quarant’anni di esperienza, è che le informazioni migliori si ottengono a tavola o a letto.

Non bisogna, dunque, dare mai per scontata l’affidabilità dei nostri dipendenti, fosse pure una collaborazione ventennale. Bisogna invece effettuare un monitoraggio costante o con scadenze prestabilite e ravvicinate, perché le situazioni personali dei dipendenti possono cambiare, ed il rapporto di fiducia venir meno, a favore di una possibile soluzione al problema che attanaglia il dipendente, offerta dal “primo” malintenzionato.

Aldo Tarricone”

Condividi

Dì la tua

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi