Attacco interno: 4 identikit di dipendenti che potrebbero rivelarsi una minaccia per l’azienda

7 min

“Un terzo (33%) di ex dipendenti afferma di avere ancora accesso ai file di un precedente posto di lavoro” ecco cosa è emerso da una ricerca condotta da Kaspersky Lab. Il dato rivela che ci sono ancora organizzazioni che agiscono con superficialità. Non sorprenderebbe infatti se quelle stesse aziende che hanno lasciato gli accessi agli ex dipendenti abbiano anche investito ingenti somme di denaro in soluzioni eccellenti di Cyber Security. Come fare quindi a riconoscere quando la minaccia di intrusione proviene da una risorsa interna? Ecco 4 identikit di dipendenti che potrebbero commettere un insider threat, ovvero un attacco interno ai danni dell’azienda per cui lavorano. 

Vuoi ascoltare l’audio dell’articolo? Clicca play ⇓

Letto da: Linda Grasso

Cyber attack: quando la minaccia è interna

In realtà, quando si parla di sicurezza informatica si pensa spesso a come proteggere l’azienda dalle minacce esterne. Invece, a volte capita che il nemico lo abbiamo in casa e che, sapendo come muoversi, agisca indisturbato fin quando i danni saranno tanto gravi da risultare evidenti. Proprio come accade quando entrano i ladri in un appartamento. Se hanno le chiavi e conoscono i codici, l’allarme non scatta. Stesso discorso vale per i firewall dei sistemi di cyber security che non si attivano se non c’è una violazione in atto.

Inoltre, può capitare che il dipendente che ha permesso un’intrusione non ne sia consapevole. Questo succede quando è mancata una formazione adeguata e la risorsa non comprende i rischi di determinate attività online. Quando si lavora con informazioni rilevanti, come brevetti, dati strategici, dati personali, è fondamentale educare al loro trattamento tutti i dipendenti, anche quelli che svolgono un lavoro apparentemente sicuro.

Vedremo, ad esempio, che i dipendenti ignari si fanno ingannare dal phishing, ovvero dalle truffe che arrivano sulla casella di posta elettronica. Più grave, invece, è la vendetta sottoforma di attacco informatico in cui la risorsa licenziata si rivale distruggendo le informazioni o creando danni irreversibili ai sistemi. Insomma, per tutelarci dobbiamo imparare a conoscere i tratti distintivi dei “dipendenti mascherati”.

Ecco un’infografica che mostra 4 identikit di risorse che potrebbero rappresentare un rischio per l’azienda.

insider threat: 4 identikit di dipendenti

L’insider ignaro

Come lo riconosciamo?

L’insider ignaro non riconosce il valore dei dati in suo possesso e non comprende l’importanza di tutelare le password. Ha quindi accesso ai dati di valore aziendali ma non conosce le responsabilità che ciò genera. Le risorse che gestiscono i dati rilevanti in azienda sono state adeguatamente formate per non commettere errori. Il problema lo creano i dipendenti che accedono momentaneamente a quei dati per reperire informazioni che servono in un altro contesto lavorativo.

Esempio. Giulia gestisce un database che contiene tutti i dati sensibili dei clienti. L’ha creato lei e sa quanto sono importanti le informazioni che contiene. Marco, invece, ha bisogno di accedere a quel database solo per prelevare l’indirizzo di spedizione, visto che lavora nel reparto di logistica. Per entrare nel database, Marco avrà gli stessi accessi di Giulia e senza un’adeguata formazione potrebbe, con leggerezza, scriverli sul cellulare. In caso di furto del cellulare gli accessi potrebbero arrivare nelle mani sbagliate. Questo è un caso sporadico, ma i rischi aumentano quando parliamo delle attività di routine, come le piattaforme di webmail. La frequenza di utilizzo della mail e il suo essere trasversale a qualsiasi tipo di attività la rendono un facile bersaglio di attacchi informatici interni ed esterni. 

Quali danni può fare questo tipo di insider threat?

Come avviene anche nella vita privata, i danni di un comportamento inconsapevole possono essere lievi ma anche molto gravi. Tutto dipende da quanto è alto il livello di protezione dei dati di valore in azienda. Il rischio più frequente è che i dipendenti ignari siano coinvolti nel social engineering, ovvero cadano nella trappola di chi richiede, attraverso una mail o un sms fake, l’invio dei dati di accesso aziendali.

Come fermarlo in tempo?

In generale, quando si possiedono informazioni che, per una questione di privacy, non possono uscire dalla gestione interna conviene formare non soltanto chi dovrà gestirle ma anche chi dovrà utilizzarle. Rendere le risorse consapevoli dei rischi legati alla sicurezza informatica, fin dal primo giorno in azienda, servirà anche a garantire un controllo tra pari. Non so se la mail che ho ricevuto è un fake o è sicura? Lo posso chiedere al mio collega di scrivania.

L’insider negligente

Come lo riconosciamo?

L’insider negligente da un lato può essere chi non ha ricevuto un’adeguata formazione al trattamento dei dati e dall’altro chi invece aggira consapevolmente i controlli per velocizzare il lavoro. Ebbene sì, alcune procedure per la tutela dei dati richiedono dei passaggi che sembrano essere inutili e invece servono proprio per evitare che si lascino aperte delle porte. La scelta di non seguire i protocolli di sicurezza può trasformarsi in un danno molto più alto dell’efficienza generata dall’omissione. Da una stima è emerso che il costo medio generato da un singolo insider negligente supera i 300.000 dollari.

Esempio. Mattia lavora come social media manager e utilizza piattaforme che permettono la pubblicazione e la gestione dei post su più profili aziendali. Rientrando tra i lavori routinari, Mattia reputa inutile fare il login ogni giorno (attività che gli porta via del tempo) e quindi memorizza le credenziali e disattiva l’autenticazione a due fattori. L’inserimento del codice di sicurezza, invece, serve proprio per identificare la persona che accede alla piattaforma impedendo intrusioni indesiderate. Basterà un attimo di distrazione e qualsiasi altro dipendente potrà pubblicare dei post a nome dell’azienda rovinando la reputazione dell’organizzazione (non del dipendente).

Quali danni può fare questo tipo di insider threat?

L’insider negligente può permettere ad altri di accedere ai dati aziendali semplicemente non effettuando il logout dai sistemi aziendali. Oppure può scrivere le password su agende elettroniche pubbliche per ridurre i tempi di ricerca. Ancora, può utilizzare dispositivi e applicazioni non autorizzate che riducono i tempi di lavoro ma, al tempo stesso, mettono in pericolo il sistema informatico.

Come fermarlo in tempo?

In realtà rispetto all’insider ignaro, il negligente lo possiamo smascherare più facilmente perchè aggirando i protocolli di sicurezza fa scattare degli allarmi. Con un controllo sulle attività che si svolgono in azienda è possibile notare in tempo l’avviso e parlarne con il dipendente interessato.

Iscriviti alla nostra newsletter

L’insider malizioso

Come lo riconosciamo?

L’insider malizioso agisce per vendetta o per ostacolare dei colleghi che potrebbero rubargli il posto o la promozione. Il ritorno in questo caso è solo personale e c’è sia l’intenzione che la consapevolezza del danno che sta arrecando all’azienda. Il dipendente malizioso conosce già le password, sa come accedere ai dati rilevanti ed è questo che gli dà il potere di vendicarsi.

Esempio. Paolo fa parte di un team di ricerca e sviluppo che sta lavorando alla progettazione del prossimo cellulare di una nota casa di telefonia. Sono arrivate al suo orecchio voci di corridoio circa il malcontento del capo che, alla fine di questo progetto, vorrebbe licenziarlo. Paolo inizia subito a fare colloqui e viene contattato dalla concorrenza. Durante l’intervista conoscitiva però, si lascia scappare delle informazioni relative al progetto su cui sta lavorando.

L’azienda gioca sporco e assicura al futuro dipendente il posto di lavoro e un aumento notevole della RAL (retribuzione annua lorda) in cambio dai dati riservati del progetto. Paolo accetta e torna in azienda. Dopo il progetto, come previsto, Paolo viene licenziato ma a pochi giorni dalla campagna marketing per la promozione del nuovo cellulare, l’azienda concorrente immette sul mercato un cellulare con le stesse prestazioni. Grazie ai suggerimenti di Paolo, la concorrenza ha realizzato nella metà del tempo il prodotto, in quanto è passata direttamente alla fase di progettazione, saltando quella di Ricerca e Sviluppo.

Quali danni può fare questo tipo di insider threat?

I rischi, con l’insider malizioso sono molto alti, in quanto si tratta di un atto consapevole. L’intenzione è proprio quella di arrecare un danno all’azienda, attraverso la cancellazione, il furto o la pubblicazione dei dati.

Come fermarlo in tempo?

Molte grandi aziende quando devono licenziare un dipendente che lavora con dati riservati lo comunicano con decorrenza immediata. Ovvero nel momento in cui la persona riceve la lettera di licenziamento deve andar via. Questo proprio per evitare che possa creare un danno nel frattempo. In generale, quando il licenziamento avviene senza il consenso da entrambe le parti conviene sempre modificare gli accessi ed inibire quelli della persona interessata.

L’insider professionista

Come lo riconosciamo?

Beh qui il riconoscimento diventa decisamente più complesso in quanto l’insider professionista conosce bene le regole del gioco, sa come muoversi ma soprattutto sa come passare inosservato.

Inoltre, la posta in gioco per mettere in atto un piano così elaborato e complesso dovrà essere ovviamente molto alta. L’insider in questo caso dovrà eludere i controlli progettati proprio per proteggere i dati dalle intrusioni interne ed esterne. Solitamente un insider professionista non agisce rapidamente ma si costruisce il terreno nel tempo. Magari si fa assumere, o collabora come esterno. Cerca di guadagnarsi la fiducia dei superiori e dei colleghi e poi prova a mettere in atto il suo piano. Non sempre il ritorno di tale operazione è solo personale come nel caso dell’insider malizioso. Spesso i dati o le informazioni da carpire o da distruggere sono state commissionate da aziende competitor o da criminali che agiscono nel dark web, il lato oscuro dell’online.

Quali danni può fare questo tipo di insider threat?

Un professionista può causare danni importanti e non sempre reversibili. Un esempio può essere il furto del brevetto. Un’azienda che vuole emulare un prodotto o servizio coperto da proprietà intellettuale potrà inviare alla concorrenza un infiltrato. Il professionista dovrà accedere al contenuto del brevetto per permettere al committente di riprodurlo con delle piccole modifiche così da non rischiare il plagio.
Solitamente i casi più frequenti di minacce da professionisti riguardano proprio il furto dei dati da vendere al committente. Tale azione non è facile da smascherare in quanto la persona potrebbe fare una copia delle informazioni così da non attivare allarmi o alterare i paramentri di sicurezza.

Come fermarlo in tempo?

Le probabilità di scoprire un insider professionista prima che commetta un reato o che procuri un danno rilevante all’azienda sono basse. Un piano ben progettato non è facile da fermare. Ciò nonostante, maggiore è l’investimento fatto dall’organizzazione per proteggere i dati di valore, maggiori saranno le possibilità di fermare un eventuale attacco.


L'Insider threat è quando la minaccia di un attacco informatico proviene dalle risorse interne. Ecco 4 identikit per identificare il colpevole. Condividi il Tweet

Come ostacolare l’insider threat? Ecco alcuni consigli utili:

  • Investire in formazione per essere sicuri che tutte le risorse conoscano i rischi legati alla condivisione delle informazioni online.
  • Stabilire ruoli e permessi per l’accesso ai dati e ai documenti riservati. Adottando le logiche di Identity and Access Management (IAM) ogni dipendente avrà autorizzazioni specifiche per accedere alle informazioni necessarie allo svolgimento del proprio lavoro.
  • Non sottovalutare mai l’importanza di dotarsi di sistemi di sicurezza che identifichino le minacce e riescano a predire eventuali attacchi grazie all’Intelligenza Artificiale.
  • Stare sempre attenti agli allarmi generati dalle piattaforme e ai movimenti sospetti come un consumo della banda molto più alto in orari anomali oppure passaggi di dati da una fonte che non ha i permessi per farlo.

L’insider threat è una delle possibili minacce informatiche da cui un’azienda deve imparare a proteggersi. Ma quando si parla di sicurezza informatica ci sono altri rischi, ugualmente importanti, che con la digitalizzazione stanno aumentando. Su questo argomento ti consiglio di leggere “Cyber Security: le opportunità e i rischi della digitalizzazione”.

Hai trovato utile questo post?

Clicca sulla lampadina per votarlo!