Furto dei dati: Shopify licenzia due dipendenti
Il fatto risale al 15 settembre, ma la notizia è appena emersa: due dipendenti del colosso IT Shopify sono stati accusati del furto di dati da oltre 100 negozi virtuali, possibilmente compromettendo anche le informazioni personali di tutti i clienti che hanno fatto shopping in quegli eCommerce interessati dal Data Breach. La società, specializzata nel realizzare eCommerce – che vanta anche clienti del calibro di Tesla – ha subito risposto alla notizia licenziando i due dipendenti e collaborando attivamente con l’FBI per investigare l’accaduto.
Hanno anche tenuto a precisare che questo Data Breach non è stato frutto di una vulnerabilità dei sistemi e che la maggior parte dei loro clienti non è stata intaccata.
Un comunicato stampa standard, ma resta il fatto che per coloro i quali si sono trovati coinvolti nell’esfiltrazione illegale di dati da parte dei due, rimane il dubbio che siano stati compromessi i dati dei consumatori, compresi gli indirizzi e-mail, i nomi, gli indirizzi e altre informazioni pertinenti,
Shopify ha anche tenuto a precisare che le informazioni sulle carte di credito e altre informazioni finanziarie personali sensibili non facevano parte del bundle di dati incriminato.
Questo caso, per quanto rilevante, è l’ennesima riprova che per difendersi dalla minaccia dei Data Breach dobbiamo spesso e volentieri dare uno sguardo anche all’interno della nostra organizzazione. Stiamo parlando dell’Insider Threat, le minacce interne.
Errore o dolo?
Certo, non tutte sono intenzionali come nel caso di Shopify, molti dipendenti che mettono a rischio i dati aziendali non sanno di farlo, ma stanno diventando sempre più frequenti in quanto i dipendenti si affidano ad applicazioni cloud non autorizzate e accedono ai dati aziendali da un’ampia varietà di reti.
A dirla tutta ci alcuni fattori che stanno esasperando la situazione e aumentando a dismisura il rischio. Se pensiamo anche solo all’aumento nell’utilizzo di strumenti di collaborazione e condivisione come Slack, Teams, OneDrive e Dropbox; che hanno visto una vera e propria impennata nel loro utilizzo durante la Pandemia.
I dati statistici ci dicono che i tools più popolari per la condivisione dei file sono le email (34%), Microsoft SharePoint (26%), OneDrive (23%) e Google Drive (19%).
Mentre le piattaforme non autorizzate più utilizzate per la condivisione di file con i colleghi sono WhatsApp (34%), Google Drive (30%), Facebook (29%) e la posta elettronica personale (29%).
Per contestualizzare questi dati, quasi il 40% dei dipendenti utilizza quotidianamente app non autorizzate – e il 26% le utilizza settimanalmente – per condividere i file con i colleghi.
Un altro fattore è stata sicuramente l’espansione della forza lavoro in Smart Working. Il COVID-19 ha costretto molti dipendenti a lavorare in uffici di fortuna, ma molti spesso lavorano anche da caffè, ristoranti e spazi all’aperto.
Ed è ovvio che qui le difese di rete tipiche di un perimetro aziendale non possono assolutamente intervenire.
Ad acuire il problema è la tendenza dei dipendenti, soprattutto dei più giovani, a stare in un’organizzazione per meno tempo. I lavoratori che non prevedono di rimanere in azienda per un lungo periodo di tempo non sono così leali e non ci pensano due volte a portare i dati sensibili al di fuori della rete aziendale.
Non dovrebbe sorprendere, quindi, come un sondaggio svolto dalla società Code42 abbia rilevato che il 63% dei dipendenti che ammettono di aver portato i dati di un precedente impiego a un nuovo lavoro siano recidivi. E questi sono solo quelli che hanno ammesso il fatto.
Spesso le persone che si appropriano di dati sensibili non credono di avere torto e non agiscono con intento “criminale”. Poche Insider Threats sono davvero “nefaste”.
Alcuni credono semplicemente di essere in possesso “di diritto” del loro lavoro svolto in una particolare organizzazione – anche se in realtà appartiene al loro datore – ed esfiltrano le informazioni con l’obiettivo di portarle altrove sentendosi autorizzati a farlo.
È necessario un quadro completo dell’attività dei dipendenti per determinare se qualcuno è veramente un insider malintenzionato, ma che ci sono alcuni chiari segnali che possono indicare ai team di sicurezza attività sospette.
Spesso i dipendenti che si stanno per dimettere dal posto di lavoro si appropriano di dati aziendali prima di andare via
Una tattica comune è quella di modificare le estensioni dei file per far apparire un file come un’immagine o una canzone, nel tentativo di aggirare il rilevamento da parte dei sistemi di sicurezza e di trasferire i documenti aziendali a un account personale.
L’esfiltrazione di file in diversi formati, o soprattutto in grandi quantità, potrebbe indicare un insider threat.
Anche quelle persone che lavorano fuori orario sono storicamente additate come chiaro indicatore di l’attività di insider. Paradigma ancora valido, da un certo punto di vista.
L’indicatore di rischio n. 1? Quando qualcuno dà il preavviso. Una persona che si dimette di solito ha già preso i dati che voleva una settimana prima.
E una volta che se ne va, la maggior parte dei suoi ex datori di lavoro non lo raggiunge.
I dati di Code42 mostrano che l’87% dei dipendenti dice che le aziende non hanno verificato se avevano preso i dati quando hanno lasciato l’organizzazione.
Come arginare il fenomeno – Arginare un fenomeno così complesso potrebbe essere complesso, vista la natura tecnologica, ma soprattutto umana del problema. Ecco gli step per assicurarsi la massima resillience:
Risk Assessment periodici – è fortemente consigliato portare avanti un’approfondita attività di risk assessment: compresi vulnerability assessment, penetration test e network scan.
Security awareness training per tutti I dipendenti – Tutti i dipendenti di un’organizzazione devono comprendere che le policy e le procedure di sicurezza esistono e che c’è una buona ragione per cui esistono. Devono essere applicate e che possono esserci gravi conseguenze per le infrazioni.
Monitoraggio di comportamenti e azioni potenzialmente sospette – Oltre a monitorare le azioni online, le organizzazioni dovrebbero monitorare attentamente altri comportamenti sospetti o di disturbo da parte dei dipendenti sul posto di lavoro. Policy e procedure dovrebbero essere in vigore affinché i dipendenti possano segnalare tali comportamenti quando li osservano nei colleghi, con il necessario follow-up da parte della direzione.
Terminare immediatamente ogni accesso quando viene chiuso un rapporto di lavoro – Quando viene terminato un rapporto di lavoro, che le circostanze siano favorevoli o meno, è importante che l’organizzazione disponga di una rigorosa procedura di cessazione del rapporto di lavoro che disabilita tutti i punti di accesso del dipendente alle sedi fisiche, alle reti, ai sistemi, alle applicazioni e ai dati dell’organizzazione.
Raccogliere e salvare i dati per l’utilizzo nelle indagini – In caso di attacco da parte di un insider, è importante che l’organizzazione abbia in mano le prove per identificare l’insider, che devono ovviamente essere raccolte nel rispetto della normativa sulla protezione dei dati personali.