Una minaccia interna non intenzionale (UIT - Unintentional Insider Threat) è associata a un dipendente o un partner commerciale attuale o precedente che ha o ha avuto un accesso autorizzato alla rete, al sistema o ai dati di un'organizzazione e che, attraverso un'azione o una non-azione senza intenzioni malevole, provoca involontariamente danni o aumenta in modo sostanziale la probabilità di violazioni delle risorse interne.
“Nessuna topologia di rete e firewall sicuri o software di sicurezza può far fronte ad un utente che clicca su un link all'interno di un'e-mail o che lascia i gli accessi dello smartphone a qualcuno che finge di appartenere al dipartimento IT” - Australian Computer Society Report.
Sulla base di molteplici ricerche, studi e report, sembra che sia necessario cambiare la nostra percezione di minaccia interna e abituarci all'idea che nella maggior parte dei casi, le persone non hanno intenzioni malevoli.
“Circa tre imprese su quattro (75%) ed enti di beneficenza (76%) che subiscono violazioni o attacchi pensano che il loro caso più eclatante sia stato intenzionale”. - Cyber Security Breaches Survey 2019.
Uno studio del 2018 sul costo delle minacce interne ha rilevato che il 64% delle aziende ha riscontrato che il "dipendente o partner incurante" è la causa principale della maggior parte degli incidenti.
Inoltre, secondo il report Verizon Data Breach, "l'errata consegna" di informazioni sensibili è la quarta azione più frequente che provoca violazioni dei dati in tutti i settori e nel 2019 gli errori umani hanno causato il 35% di tutte le violazioni dei dati.
La cosiddetta "errata consegna" è un di errore umano, che si verifica quando coloro che sono incaricati della consegna di informazioni sensibili inconsapevolmente finiscono per fornire informazioni sensibili a utenti non autorizzati.
"Gli errori dei dipendenti sono la causa principale relativa all'esposizione di dati sensibili o riservati”. - 2019 Global Encryption Trends Study.
Nel report User Risk 2018, è stato rilevato che il 55% degli utenti consente ad amici e familiari di accedere a dispositivi messi a disposizione dal datore di lavoro. Un amico o un familiare avrebbe così la possibilità di accedere a dati altamente sensibili come i conti bancari delle organizzazioni o i dati dei clienti.
Di seguito riportiamo alcuni esempi di minacce interne non intenzionali:
Case Study: HSBC
Nel 2017, l’azienda HSBC si è scusata dopo aver inviato per e-mail informazioni personali sui clienti ad altri titolari di account.
Le e-mail contenevano nomi, indirizzi e-mail, paese di residenza, nome del responsabile delle relazioni con i clienti e numero di identificazione dei clienti HSBC.
"È stata inviata un’email ad un numero limitato di clienti bancari che purtroppo includeva un allegato contenente informazioni personali di alcuni clienti di HSBC Bermuda". - Portavoce di HSBC.
In un altro caso, nell'aprile 2007, HSBC è stato multato per 5,3 milioni di dollari per la perdita di un floppy disk non crittografato che conteneva i dettagli relativi al regime pensionistico di 1.917 membri, inclusi indirizzi, date di nascita e numeri di assicurazione nazionali; inoltre, nel febbraio 2008, all'interno di HSBC è stato smarrito un CD non crittografato contenente i dettagli di 180.000 assicurati.
"È preoccupante anche la crescente consapevolezza dell'importanza di proteggere le informazioni personali e il fatto che i pericoli delle violazioni non abbiano spinto le aziende a fare di più per proteggere le informazioni dei propri clienti". - Margaret Cole di Financial Services Authority (FSA).
Case Study: Wells Fargo
Wells Fargo, uno tra i più grandi ed importanti istituti bancari statunitensi, ha accidentalmente lasciato fuoriuscire dai propri sistemi migliaia di documenti sensibili.
Ma contrariamente a quanto si possa pensare la banca non è stata oggetto di attacco hacker e i suoi sistemi non sono stati compromessi: ha semplicemente inviato un ammontare di 1,4 GB di informazioni ad un ex consulente finanziario che ha citato la società nel contesto di una causa legale contro uno dei suoi impiegati.
I file inviati dall'avvocato Angela Turiano di Wells Fargo includevano numerosi documenti con nomi dei clienti e numeri di previdenza sociale, abbinati a dettagli finanziari come dimensioni dei loro portafogli di investimento e le commissioni addebitate dalla banca.
La maggior parte erano clienti Wells Fargo Advisors, la filiale della banca che si rivolge a investitori con un patrimonio netto elevato.
"Questo è stato il risultato di un errore umano involontario", afferma Shea Leordeanu". - Portavoce di Wells Fargo Advisors.
"Pensavo di aver riguardato tutti i documenti, quando in realtà ho visto solo i primi mille". - Angela Turiano, avvocato Wells Fargo.
SentinelOne è la piattaforma didi Endpoint Protection di nuova generazione che protegge la tua azienda da Virus, Malware, Ransomware, Exploits, attacchi Insider, Live Attacks - da tutte le minacce informatiche, conosciute ed ignote.
SentinelOne protegge la rete e tutti i dispositivi Endpoint (laptops, tablets, mobile phones, IoT) in tempo reale ed in modo completamente automatico.
Per avere maggiori informazioni sulle soluzioni SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.
