Insider threat, pubblicato il report 2022 di Ponemon e Proofpoint

Nel report di Ponemon e Proofpoint pubblicati tutti i numeri relativi all’andamento delle Insider Threats degli ultimi mesi e l’analisi delle strategie di risposta a questi rischi

Il fattore umano è una componente protagonista nella cybersecurity. Le azioni compiute dagli utenti, infatti, impattano in maniera inevitabile sullo stato di sicurezza delle imprese.

Pensiamo, per esempio, al collaboratore distratto che cade nella rete del phishing, al manager che mentre è in viaggio si collega ad una rete sconosciuta per condividere dati oppure, in casi estremi, al dipendente scontento che ruba i dati delle anagrafiche clienti per consegnarle alla concorrenza in cambio di denaro.

I problemi di Security derivanti dalle azioni umane sono un trend in crescita ed il report “2022 Cost of Insider Threat Global Report” di Proofpoint (download report), condotto in maniera indipendente dal Ponemon Institute, ha messo in mostra come negli ultimi due anni gli insider threat siano cresciuti sia nella frequenza che nel danno economico che generano.

Gli insider threat sono distinti dal Ponemon Institute come segue:

  1. dipendenti o un collaboratori negligenti e che commettono errore per mancanza di attenzione o formazione
  2. criminali o malicious insider
  3. cyber criminali che compiono furti di credenziali

Sebbene le minacce interne siano aumentate in tutte le tre tipologie, i pericoli più comuni derivano da dipendenti negligenti.

Dai risultati ottenuti è possibile evincere come il 56% degli incidenti avvenuti nelle aziende fossero infatti dovuti a disattenzione ed il costo medio annuo per rimediare fosse stato di 6,6 milioni di dollari. Il costo reale varia, tuttavia, in maniera estremamente significativa a seconda di quali siano le attività post incident richieste.

Queste le statistiche chiave degli ultimi dodici mesi:

  • 278 il numero delle organizzazioni partecipanti allo studio
  • 6.803 il numero totale di incidenti
  • $15.400.000 il costo medio annuale per le remediation post incident
  • 56% gli incidenti dovuti a negligenza
  • 26% gli incidenti dovuti ad un insider malintenzionato
  • 18% gli incidenti che hanno coinvolto criminali informatici che hanno effettuato un furto di credenziali
  • $6.600.000 il costo medio annuale per rispondere agli incidenti provocati dalla negligenza degli utenti
  • $4.100.000 il costo medio annuale per gli incidenti provocati da insider malintenzionati
  • $4.600.000 il costo medio annuale per gli incidenti causati da furto di credenziali

Ryan Kalember, Executive Vice President of Cybersecurity Strategy di Proofpoint, ha affermato che “non solo il passaggio forzato al lavoro remoto e ibrido prolungato ha condotto a un forte aumento nel numero di dimissioni definito The Great Resignation, ma ha anche causato un aumento del rischio relativo agli incidenti di insider threat, poiché le persone lasciano le organizzazioni e portando con sé i dati….Inoltre, gli insider, categoria che comprende dipendenti, collaboratori e fornitori indipendenti, sono un vettore di attacco attraente per i cyber criminali, a causa del loro accesso esteso a sistemi, dati e infrastrutture critici…Poiché oggi il perimetro delle aziende si estende ovunque un dipendente si trovi, la raccomandazione è quella di usare una strategia di difesa a più livelli, comprendendo anche soluzioni per la gestione delle minacce interne e la formazione delle persone perché siano consapevoli dei rischi cyber e siano la prima arma di protezione dall’esterno”.

Interessante notare nel report di Proofpoint come il tempo impiegato per contenere un incidente interno sia aumentato in maniera sostanziale rispetto a quanto registrato in studi precedenti, passando da 77 giorni a 85.

Gli incidenti che hanno richiesto più di 90 giorni per la risoluzione hanno comportato mediamente costi per $17.900.000, mentre quelli durati meno di 30 giorni registrano danni pari a $11.230.000.

Estremamente significativo valutare i costi relativi alla gestione e al response degli incidenti correlati agli insider.

Il “2022 Cost of Insider Threats Global Report” identifica sette centri di costo:

  • monitoraggio e sorveglianza: attività che ragionevolmente permetterebbero alle compagnie di rilevare o scoraggiare attacchi interni
  • investigazione: attività necessarie per indagare fonti e ambiti di incidenti
  • escalation: attività per aumentare la consapevolezza sugli incidenti
  • incident response: attività per la risposta agli incident che comprendono la formazione e l’ingaggio dei team di risposta
  • contenimento: attività che mirano a riduzione e arresto delle attività dell’insider
  • ex post response: attività che mirano a ridurre i potenziali incidenti futuri generati da insider
  • remediation: attività di riparazione e risanamento dell’organizzazione

Nel FY 2022 possiamo valutare i seguenti costi aggregati:

  • Costi pre-incident per prevenzione (Monitoring and surveillance e Investigation): $163.136
  • Costi generati da incident (Escalation, Incident Response e Containment): $337.167
  • Costi post incident (Ex post analysis e Remediation): $145.694

È evidente come diventa sempre più costoso rispondere agli incident: rispetto al 2016 si tratta di un incremento dell’80%.

Quali sono i segnali che devono far pensare che un’organizzazione sia a rischio?

Proofpoint ha individuato i cinque seguenti segnali:

  • I dipendenti non hanno ricevuto formazione sulla comprensione e sull’applicazione di leggi, mandati o requisiti normativi del loro lavoro relativi alla sicurezza dell’organizzazione;
  • I dipendenti non sono consapevoli delle azioni da compiere al fine di garantire che i dispositivi utilizzati, sia aziendali che BYOD, siano protetti in ogni momento;
  • I dipendenti stanno inviando dati altamente confidenziali a una destinazione non protetta nel cloud, esponendo l’organizzazione al rischio;
  • I dipendenti per semplificare le attività non rispettano le policy di sicurezza aziendali;
  • I dipendenti mettono a rischio l’organizzazione se eseguono le ultime versioni di patch e aggiornamenti su dispositivi e servizi.

È necessario quindi implementare una difesa informatica incentrata sulle persone, che garantisca formazione continuativa ed adattiva per generare consapevolezza.

Qualsiasi utente può essere target e divenire quindi concausa di un incident. Indipendentemente dalle tecniche e dalle tattiche utilizzate dagli attaccanti, le persone rimangono il fattore di rischio più elevato per le aziende e, allo stesso tempo, la prima linea di difesa delle stesse. Prepararle a questo compito è fondamentale.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email
Share on print

Non sei ancora iscritto alla nostra newsletter?

Torna su