La maggior parte dei dipendenti non si aspetta di svegliarsi scoprendo che il giorno di paga è stato posticipato a causa del phishing. E probabilmente non indovineresti che il CFO stia svolgendo la sua attività secondaria da un computer aziendale, o che le credenziali aziendali di un dipendente siano sul dark web a causa delle ore di lavoro trascorse sui siti di incontri. Internet in ritardo non è una sorpresa, ma scoprire quella larghezza di banda viene prosciugato da uno spettacolo in webcam “a tema per adulti” dei lavoratori è un po’ più allarmante. Benvenuto nella vita di un professionista della sicurezza IT.
Sono storie come queste che possono essere sorprendentemente tipiche per i professionisti della sicurezza IT. In effetti, le minacce alla sicurezza informatica, sia dall’interno che dall’esterno dell’azienda, sono diventate così grandi che la sicurezza informatica ha preso vita propria all’interno del settore IT. È diventato così grande che la domanda di professionisti della sicurezza informatica è in forte aumento. Secondo i dati dei dati di CyberSeek, una carriera gratuita nella sicurezza informatica e una risorsa per la forza lavoro, solo negli Stati Uniti, “ci sono state 301.873 offerte di lavoro nella sicurezza informatica nel settore privato e pubblico durante il periodo di 12 mesi tra aprile 2017 e marzo 2018”. Le storie dell’orrore sulla sicurezza informatica aziendale come quelle che stai per leggere sono un grande motivo per cui.
Ospitare uno spettacolo per adulti su server aziendali
Mentre il comportamento inappropriato online sembra essere il problema principale nel mondo IT, molte volte non è dimostrato dagli hacker, ma dai dipendenti interni. Raj Goel, fondatore del provider di servizi gestiti (MSP) Brainlink con sede a New York, pensava di aver visto tutto nei suoi oltre 20 anni nell’IT. Ma un incidente recente era qualcosa che non avrebbe mai immaginato.
Il CFO di un cliente ha chiamato Brainlink per capire perché il suo reparto IT era costantemente a corto di larghezza di banda, anche dopo aver appena speso soldi per un aggiornamento.
“Questi ragazzi avevano quello che chiamerei un ‘tubo grasso”, dice Goel, “ma per qualche ragione, i loro tecnici IT continuavano a dire che erano completamente pieni. Così ho guardato e ho scoperto che uno di quegli stessi informatici gestiva un sito Web pay-per-view con webcam fuori dalla rete aziendale. Era un sito porno e, a quanto pare, la sua ragazza e le sue amiche erano il talento.
Ancora più scioccante: è andato avanti per più di due anni e nessuno l’ha colto, anche dopo che le azioni di questo dipendente sono costate all’azienda più di $ 180.000 e la necessità di aggiornare la propria rete ogni tre mesi perché era molto lenta.
Così ho guardato e ho scoperto che uno di quegli stessi informatici gestiva un sito Web pay-per-view con webcam fuori dalla rete aziendale. Era un sito porno e, a quanto pare, la sua ragazza e le sue amiche erano il talento.
“L’obiettivo qui era che il CFO avrebbe dovuto essere più proattivo. Avrebbe chiesto informazioni all’IT e loro gli davano solo risposte senza risposta alle sue domande”, afferma Goel. “La lezione qui è che anche se si dispone di un team IT interno o di un MSP, è importante (a un certo punto) coinvolgere una terza parte per eseguire un audit o una valutazione indipendente. Devi ottenere un controllo che stai ottenendo un ROI e che tutti stiano facendo il proprio lavoro”.
Concerto laterale del CFO
Goel ricorda anche un incidente in cui un’azienda sanitaria lo ha chiamato per eseguire un controllo di conformità e sicurezza e ha scoperto che il CFO gestiva un’azienda completamente separata dal suo ufficio.
“Gli ho chiesto e gli ho detto che vedevo un accesso a una connessione remota ogni giorno, e non appena ha sentito questo, il ragazzo sembrava sbalordito … Ho pensato che avrebbe avuto un infarto, quando gliel’ho detto. All’inizio non l’ha detto, ma poi ha ammesso che stava facendo un po’ di lavoro a parte per i suoi affari”, dice Goel.
Mentre Goel osserva che il dirigente non stava utilizzando le risorse aziendali, dice che il dipendente stava ancora trascorrendo metà della sua giornata a gestire la sua attività privata di import/export in orario aziendale accedendo da remoto al suo computer di casa. Goel e il suo team lo hanno scoperto valutando il traffico del firewall della rete. All’inizio si aspettava che forse i problemi derivassero da un data center fuori sede. Tuttavia, quando si è rivolto al CFO, non si aspettava la reazione che ha ottenuto:
“Gli ho chiesto e gli ho detto che vedevo un accesso a una connessione remota ogni giorno, e non appena ha sentito questo, il ragazzo sembrava sbalordito … Ho pensato che avrebbe avuto un infarto, quando gliel’ho detto. All’inizio non l’ha detto, ma poi ha ammesso che stava facendo un po’ di lavoro a parte per i suoi affari”, dice Goel.
Il phishing posticipa il giorno di paga
A volte le aziende non si rendono conto che si è verificata una violazione. E anche dopo averne scoperto uno, non sempre prendono le misure di sicurezza necessarie.
“Una violazione esterna altamente pubblicizzata potrebbe danneggiare la reputazione e quindi il cliente non investe nei controlli di sicurezza solo per scoprire che gli hacker non se ne sono mai andati e si stanno ancora infiltrando nella loro rete”, Bart Barcewicz, fondatore di MSP B con sede a Chicago Suite Cyber Security, dice Tom’s Hardware.
“Se qualcuno avesse impostato regole e autenticazione, sarebbe stato avvisato che le informazioni erano state modificate”, afferma Barcewicz. “Il [problema] più grande era che dopo che ciò è accaduto, non volevano investire in una soluzione di sicurezza informatica e non hanno imparato da questa esperienza”.
Prendi la grande azienda di produzione/distribuzione per cui Barcewicz ha lavorato in un precedente lavoro. Dice che circa 10 dipendenti hanno ricevuto un’e-mail di phishing, di cui si sono innamorati, inviando le proprie credenziali di Office 365 e altre informazioni di accesso a ignari hacker. Gli hacker hanno quindi utilizzato le informazioni per entrare nei conti salari di questa azienda e hanno modificato tutte le informazioni sull’account dei dipendenti. Poiché la società non aveva installato alcun avviso o controllo di sicurezza, la violazione è stata scoperta solo due settimane dopo, quando i dipendenti non hanno ricevuto i loro stipendi.
“Se qualcuno avesse impostato regole e autenticazione, sarebbe stato avvisato che le informazioni erano state modificate”, afferma Barcewicz. “Il [problema] più grande era che dopo che ciò è accaduto, non volevano investire in una soluzione di sicurezza informatica e non hanno imparato da questa esperienza”.
La disperazione del Web oscuro
Un’altra situazione, che Barcewicz ha visto verificarsi in più clienti, è che i dipendenti utilizzano le informazioni di accesso aziendali (es: i loro indirizzi e-mail di lavoro) per registrarsi a siti Web personali, come social media e servizi di incontri. Sebbene l’accesso a questi siti sia generalmente disapprovato durante l’orario di lavoro, diventa un problema di sicurezza quando le informazioni aziendali di un utente vengono utilizzate su un sito violato e tali credenziali finiscono nel dark web. Barcewicz ha scoperto questa situazione esatta dopo aver condotto un’analisi del dark web per una società di ingegneria con 2.500 dipendenti.
“Dicono letteralmente che stanno registrando ogni mossa online dell’utente, dicono che li hanno guardati in webcam e che se non pagano in Bitcoin, faranno sapere alla loro lista di contatti tutto ciò che hanno fatto”.
Barcewicz nota anche che un’altra truffa sul dark web sta guadagnando popolarità, in cui gli hacker dirottano il computer di un utente e minacciano di segnalare il loro comportamento inappropriato online a tutti i loro contatti:
“Dicono letteralmente che stanno registrando ogni mossa online dell’utente, dicono che li hanno guardati in webcam e che se non pagano in Bitcoin, faranno sapere alla loro lista di contatti tutto ciò che hanno fatto”.
Barcewicz consiglia ai dipendenti di astenersi dall’utilizzare le informazioni di lavoro per scopi personali.
“Qualcuno potrebbe prendere quelle informazioni e poi usarle per una truffa, come tenere il tuo riscatto di informazioni in cambio di denaro Bitcoin”, dice.
Combattere la follia
Uno dei motivi per cui la domanda di professionisti della sicurezza è così grande è che non stanno solo combattendo una quantità di minacce dall’esterno; stanno anche gestendo una buona quantità di rischi dall’interno dell’organizzazione. Questo può provenire da un dipendente che ha accesso ai server e ad altre tecnologie, e ancor di più dopo che un dipendente se ne va, soprattutto se non si tratta di una separazione amichevole. Per rimediare, Barcewicz consiglia di adottare misure come l’implementazione dell’autenticazione a due fattori e l’installazione di un gestore di password.
“Il minimo per qualsiasi azienda è utilizzare un’autenticazione della password in due passaggi quando possibile, oltre a utilizzare password diverse tramite uno strumento di gestione delle password”, afferma. “Raccomandiamo inoltre di cambiare la password (per i siti Web sensibili) ogni tre o sei mesi, ma con l’autenticazione in due passaggi, questo di solito non deve essere fatto così spesso.”
E Barcewicz mette in pratica ciò che predica ai suoi clienti. Utilizza personalmente un gestore di password basato sul Web che genera automaticamente una password distinta per ogni sito Web a cui accede (oltre all’autenticazione in due passaggi). Dice che ciò è dovuto al fatto che le password generate automaticamente sono più difficili da violare. “Gli hacker non sono sempre alla ricerca della password esatta”, afferma. “Stanno cercando di capire variazioni e schemi perché sanno che spesso vengono utilizzati in questo modo su altri siti”.
Sia Barcewicz che Goel affermano che la morale di queste storie è che, per gli imprenditori, la migliore linea d’azione è avere un valutatore della sicurezza IT di terze parti che sappia cosa stanno facendo.
“Il minimo per qualsiasi azienda è utilizzare un’autenticazione della password in due passaggi quando possibile, oltre a utilizzare password diverse tramite uno strumento di gestione delle password”, afferma.
“Una buona valutazione non guasta mai”, dice Goel. “Ma devi spendere i soldi; non usare qualcuno che scaricherà uno strumento gratuito e poi ti dirà cosa vuoi sentire. Hai bisogno di qualcuno che esamini cose come i modelli di traffico, i dati, il comportamento degli utenti e altre aree importanti”.
Barcewicz aggiunge che la resistenza al cambiamento ha trattenuto alcuni clienti dall’investire in un’adeguata sicurezza informatica. Nel caso del cliente il cui libro paga è stato violato, i dirigenti hanno comunque rifiutato di migliorare il loro approccio alla sicurezza informatica. “Non volevano cambiare il modo in cui lavoravano e il motivo non era affatto il denaro”, afferma. “Era più la resistenza al cambiamento; quello era il motore principale”.
Qual è la tua storia più folle sulla sicurezza IT? Riesci a superare lo scandalo della webcam? Fateci sapere nei commenti qui sotto.
