Con molta probabilità a settembre, con l’inizio delle scuole e l’allentarsi delle restrizioni da Covid-19, molte aziende torneranno a riconsiderare un ritorno in ufficio, almeno in part-time. Questa scelta creerà una situazione totalmente nuova per molte organizzazioni: un ambiente di lavoro ibrido tra casa e ufficio, che aggiungerà ulteriori rischi alla sicurezza informatica.
All’inizio della pandemia da COVID-19, moltissime organizzazioni hanno dovuto adattarsi rapidamente alla necessità di adottare lo smart working come scelta di lavoro. Anche il cyber crime si è velocemente adattato a questa nuova dimensione, rivedendo le truffe di phishing esistenti in chiave COVID-19.
Ad aprile, Google dichiarava di aver dovuto gestire ogni giorno oltre 18 milioni di malware e di mail di phishing relative al tema COVID-19.
Il phishing è sicuramente la modalità più gettonata dai criminali cyber per distribuire ransomware, una forma di malware che crittografa i dati aziendali fino al pagamento di un riscatto. Basti pensare che nello stesso mese di aprile, l’Interpol dichiarava che il numero di tentativi di attacchi ransomware registrati nel mondo contro organizzazioni chiave era significativamente aumentato.
Fino ad arrivare ai più recenti attacchi ransomware che hanno colpito una società tecnologica come Garmin, o la compagnia aerea EasyJet, o l’Ente nazionale per l’aviazione civile, e che hanno dimostrato con quanta facilità un attacco cyber può bloccare le operazioni aziendali, influenzando la percezione dei clienti e, in definitiva, la reputazione di un’azienda.
Con un cyber crime così attento a trovare l’anello debole della catena difensiva per attuare i suoi attachi, come può un’organizzazione mantenere alte le difese se le attività lavorative si svolgono in un ambiente di lavoro ibrido tra casa e ufficio, con livelli di sicurezza così diversi?
Le criticità dello smart working
Nel periodo del lockdown le criticità legate all’adozione dello smart working sono emerse con chiarezza. In una situazione così nuova e di complessa gestione, la formazione del personale sulla consapevolezza dei rischi cyber è passata spesso in secondo piano. Questo ha ulteriormente contribuito ad aumentare l’esposizione delle organizzazione al rischio di attacchi phishing, fin troppo comuni anche durante il lockdown.
Inoltre, non tutte le aziende sono riuscite a rivedere velocemente le loro politiche di sicurezza per fornire le giuste indicazioni e gli strumenti idonei a rendere sicuro un ambiente di lavoro improvvisamente cambiato.
Questo ha fatto sì che in mancanza dei sistemi di protezione e di comunicazione abituali, sia diventato ancora più facile cadere vittime di un tentativo di phishing e regalare involontariamente preziose credenziali aziendali o addirittura aprire la strada ad attacchi ransomware.
Lo smart working può infatti offrire al cyber crime diversi punti di attacco, molto spesso legati proprio ad un utilizzo ibrido degli strumenti aziendali. Un anello debole può essere infatti l’utilizzo del computer (personale o aziendale?) per connettersi alla rete aziendale e lavorare da casa, oppure il tipo di rete utilizzata per la connessione (router domestici o VPN?), o il rischio che un portatile aziendale possa essere smarrito o rubato.
Allo stesso tempo, l’uso di software di collaborazione per rimanere in contatto con i colleghi, sia che si trovino a casa che in ufficio, ha incentivato l’uso di APP non approvate dall’organizzazione, scaricate al solo scopo di rendersi più efficienti, il tutto all’insaputa dell’IT.
Oltre a questi rischi non bisogna infine dimenticare quelli legati alla privacy dei dati aziendali utilizzati da casa, e al fatto che potrebbero essere accidentalmente visualizzati o utilizzati da estranei.
Un ambiente lavorativo ibrido: conoscere i rischi
L’ambiente di lavoro ibrido tra smart working e ufficio comporta sicuramente tante sfide: proteggere i dati aziendali in un perimetro così esteso e difficile da controllare non può non comportare importanti cambiamenti comportamentali da parte dell’intera organizzazione.
In questo nuovo ambiente, i controlli di sicurezza tradizionali non sono più adatti allo scopo. La nuova “normalità” del lavoro richiederà un approccio che includa gli opportuni strumenti di sicurezza, delle nuove politiche lavorative ma sopratutto una specifica e continuitiva formazione sui rischi cyber.
Per far ciò sarà necessario attuare dei piani formativi che aiutino tutti i dipendenti ad accrescere il livello di consapevolezza sui rischi cyber generati dall’utilizzo delle nuove modalità lavorative. E allo stesso tempo li supportino in un percorso di training finalizzato a riconoscere i tentativi di attacco phishing e a segnalare tempestivamente gli eventuali problemi.
Con un panorama che cambia continuamente e l’emergere di sempre nuove minacce, il percorso formativo di cyber security awareness dovrà essere considerato come un progetto di lungo respiro e non come un’attività una tantum.
