Smart Working e rischi cyber

Alberto Zarantonello

L'emergenza coronavirus ha determinato per molte persone il passaggio dal lavoro in ufficio a quello presso il proprio ambiente domestico, ovvero il cosiddetto smart working o lavoro agile. Diverse aziende già adottavano con successo questa modalità di lavoro, ma molte altre si sono trovate da un giorno all'altro con l'esigenza di attivare il lavoro da remoto, un cambiamento per certi versi radicale che obbliga azienda e singoli individui a rivedere e riprogrammare l'organizzazione del lavoro stesso, oltre che a predisporre strumenti che rendano tutto ciò possibile.

Questo passaggio però è stato per tanti aspetti tanto radicale quanto veloce, tanto da non aver permesso a molte aziende non solo una adeguata fase di predisposizione degli strumenti necessari per poter lavorare da remoto, ma neanche un'opportuna formazione dei lavoratori circa i comportamenti da adottare per poter svolgere la propria usuale attività in modo sicuro, creando spesso situazioni di forte rischio per la sicurezza dei dati aziendali.

Proviamo ad elencare alcuni fra i più comuni e impattanti rischi che le aziende si trovano a dover affrontare:

L'uso di dispositivi personali per accedere alle risorse aziendali
Strumenti come le VPN permettono infatti di accedere anche da remoto ai dati aziendali ma, mentre in ufficio si utilizzano dispositivi predisposti dal repato IT sulla base di precise regole di sicurezza e configurazioni sicure, l'uso di strumenti personali privi delle necessarie misure minime di sicurezza (aggiornamenti regolari del sistema operativo, antivirus/antimalware installati e aggiornati, passowrd deboli,...) espongono l'azienda a grossi rischi, come il furto di dati aziendali riservati o anche la loro completa perdita. Si tratta dei rischi legati alla cosidetta policy BYOD (bring your own device), secondo la quale i dipendenti possono utilizzare un proprio dispositivo per accedere all'infrastruttura aziendale.
Può succedere ad esempio che gli utenti, ignari di possedere un malware installato sul proprio sistema, usino lo stesso per accedere alla rete aziendale da remoto: un ransomware in questo caso potrebbe creare danni catastrofici ai dati aziendali. Un altro scenario molto diffuso è rappresentato da malware che intercettano le mail scambiate sul proprio computer o che permettono la visione remota dello schermo, aprendo scenari di attacco cyber altrettanto impattanti sulla sicurazza IT dell'azienda.

Utilizzo di reti non adeguatamente protette per connettersi da remoto
Molti utenti potrebbero utilizzare reti poco sicure, come ad esempio la WiFi di casa dotata magari di password debole (o assente!), o utilizzare reti pubbliche per connettersi remotamente alla rete aziendale. La debolezza di queste reti mette a rischio quindi non solo i dati dell'utente e della sua privacy, in quanto permetterebbe ad esempio attacchi di intercettazione del proprio traffico di rete, ma anche quelli aziendali, poichè un malintenzionato potrebbe sfruttare questo accesso come ponte verso la rete aziendale.

Attacchi di Social Engineering
La mancanza o la difficoltà nell'interagire direttamente coi propri colleghi moltiplica il rischio di attacchi sociali volti a ottenere informazioni riservate da un dipendente ignaro. Attacchi di impersonificazione ad esempio potrebbero indurre un utente non preparato a credere ad una finta mail del proprio capo che gli chiede di fornire dei documenti riservati. Altresì, un attacco di phishing mirato potrebbe indurre un manager ad abboccare ad una finta mail del supporto IT in cui gli si chiede di cambiare la propria password attraverso un link fornito nella mail stessa.
Inoltre, in questa nuova organizzazione IT a volte ancora precaria, è facile per un dipendente abbassare la guardia di fronte a situazioni logistiche poco chiare, come ad esempio mail che arrivano da account personali e non aziendali, ampliando quindi le probabilità di successo di una campagna di phishing.

Profili autorizzativi di accesso remoto male configurati
Nell'emergenza di dover fornire un accesso remoto ai propri dipendenti, è comune trovare situazioni in cui vengono assegnati profili di autorizzazione allargati, tali da permettere ad un utente che lavora da casa di accedere a dati a cui normalmente non avrebbe avuto accesso dall'interno della rete aziendale.

Per non trasformare il lavoro agile da un valido strumento di lavoro a distanza a un nuovo vettore di attacco per i cyber criminali, raccomandiamo a chi ancora non ha provveduto in tal senso di effettuare alcune importanti operazioni:

Lato azienda:

  • Dotarsi e/o verificare la funzionalità del proprio sistema di tracciamento degli accessi amministrativi ai sistemi, in modo da identificare anomalie negli accessi ai sistemi critici in breve tempo e poter quindi intervenire con efficacia.
  • Dotarsi di un sistema di controllo remoto dei pc a livello aziendale, in modo da semplificare la verifica di eventuali anomalie e risolvere la maggior parte dei problemi di configurazione di un computer da remoto.
  • Formare i dipendenti sui rischi elencati in precedenza, mirando in particolare a generare un senso critico che permetta di identificare o quanto meno allertare in caso di email sospette o altri attacchi di social engineering.
  • Nel caso in cui venga fornito un accesso VPN, prestare molta attenzione a come viene configurato l'accesso e ai profili di autorizzazione concessi.
  • Verificare che tutti i servizi erogati sulla rete aziendale a cui gli utenti accedono abbiano login con credenziali forti e, dove possibile, abilitare l'autenticazione a due fattori.

Lato l'utente:

  • Utilizzare solo ed unicamente i dispositivi forniti dall'azienda, preventivamente predisposti e hardenizzati dal personale IT per fruire in sicurezza del lavoro da remoto. Se questo non è possibile, utilizzare dispositivi propri ma dedicati all'attività lavorativa separati da quelli utilizzati per il tempo libero, meglio se preventivamente ripuliti e con un sistema operativo reinstallato ex-novo.
  • Notificare immediatamente lo smarrimento/furto di dispositivi personali e/o dispositivi di autenticazione aziendali, in modo da impedirne il riuso fraudolento.
  • Per la connettività, usare solo reti proprie e adeguatamente protette. In caso di WiFi, assicurarsi di impostare una buona passphrase anzichè la password di default fornita dal produttore.