Quando si parla di cyber risk management, di solito il pensiero si rivolge alla possibilità di attacchi legati a vulnerabilità “tecniche”, in grado di danneggiare le infrastrutture con conseguenze nocive per la produttività e la business continuity dell’azienda. In realtà, la valutazione e gestione del rischio informatico è determinante anche quando si parla di prevenzione delle frodi informatiche. Una minaccia che, negli ultimi mesi, ha assunto un ruolo di primo piano tra le priorità degli esperti di cyber security.
Cyber risk management, all’origine del problema
Le truffe orchestrate dai pirati informatici fanno leva principalmente su tecniche di social engineering. La strategia, se pur con qualche variante, è sempre la stessa: i cyber criminali si inseriscono all’interno di una trattativa commerciale (o ne inventano una ex novo) per alterare i documenti e dirottare i pagamenti su conti correnti da loro controllati. In ogni caso, l’elemento chiave della truffa è quello dell’impersonificazione ai danni di un dirigente, di un impiegato amministrativo o di un qualsiasi altro dipendente dell’azienda. In chiave preventiva, quindi, il tema è quello di proteggere l’identità di impiegati e collaboratori per impedire che i pirati informatici possano appropriarsene e sferrare il colpo. A livello di cyber risk management, di conseguenza, è fondamentale individuare tutti i potenziali elementi di debolezza che possano consentire a un cyber criminale di accedere a un servizio o sottrarre le credenziali dei dipendenti, approntando sistemi di autenticazione “robusti” e un accurato monitoraggio degli accessi.
All’esterno dell’azienda
Nella prevenzione delle frodi, l’attività di cyber risk management non si limita ad analizzare le infrastrutture interne all’azienda, ma si proietta anche all’esterno. Nei classici schemi di frode, infatti, i soggetti coinvolti sono sempre più di uno. È il caso di quella che è stata battezzata come “nuova truffa nigeriana”, in cui l’attacco informatico non colpisce il bersaglio principale (quello cioè a cui sarà rubato il denaro) ma un partner o un fornitore con cui ha rapporti commerciali. Lo schema, in questo caso, è simile a quello della CEO fraud, con la differenza che il documento alterato (tipicamente una fattura) non proviene dall’interno ma dall’esterno. Le procedure di cyber risk management, in questo caso, devono orientarsi sui processi e implementare tutti quegli strumenti di protezione che permettono di prevenire la truffa, come l’uso di sistemi di crittografia e firme digitali per garantire l’autenticità dei messaggi e la loro tracciabilità.
Dalla prevenzione al monitoraggio del cyber risk management
Una delle doti necessarie per lavorare nel campo della cyber security è un sano pessimismo. Nella logica del cyber risk management, di conseguenza, è indispensabile mettere in conto la possibilità che gli strumenti di prevenzione, per quanto siano efficaci, possano essere aggirati. La prevenzione deve, quindi, essere affiancata da altri strumenti di protezione, come il monitoraggio continuo degli accessi alle caselle di posta elettronica per individuare eventuali attività anomale. Rilevare un accesso non autorizzato alle informazioni, in molti casi, permette di bloccare l’attività criminale durante la fase di pianificazione, quando cioè i pirati informatici stanno ancora mettendo a punto la frode.
Il fattore tempo nel cyber risk management
Predisporre sistemi di sicurezza in grado di identificare e bloccare i tentativi di frode non può ignorare l’elemento temporale. Le strategie adottate dai pirati informatici, infatti, si avvalgono proprio di quegli “incastri” che consentono di colpire quando l’attenzione è più bassa. La cronaca dimostra, infatti, come le frodi vengano perpetrate in momenti specifici, sfruttando situazioni contingenti legate alla vicinanza di week-end e festività per ridurre i tempi di reazione dell’azienda e garantirsi una sorta di “offuscamento” che gli permette di massimizzare le probabilità di successo della truffa. L’adozione di strumenti di monitoraggio attivi secondo la logica “24/7” (attraverso l’attività di un security operation center dedicato) rappresentano, di conseguenza, uno strumento indispensabile per proteggere l’impresa dagli attacchi di questo tipo.