Il cambiamento di cui avevamo bisogno è arrivato: perché abbiamo bisogno di un approccio comportamentale alla gestione del rischio umano nella sicurezza informatica

Nessuno desidera rimanere coinvolto in un attacco informatico, né a livello professionale né personale. Eppure, un numero crescente di persone diventa vittima di queste minacce online. Questi attacchi non solo stanno diventando più frequenti, ma anche più gravi, con il fattore umano spesso al centro di essi.

Secondo Forrester, 9 violazioni dei dati su 10 quest’anno includeranno un elemento umano che consente il furto di informazioni, denaro o identità. Osservando l’entità del problema, noi di SoSafe abbiamo rilevato che 1 azienda su 2 ha subito un attacco informatico riuscito negli ultimi tre anni e il 64% valuta come alto il rischio di subirne un altro. Essere coinvolti in un incidente è sempre più la norma piuttosto che l’eccezione.

Questo aumento delle violazioni avviene proprio mentre una parte sempre più ampia della forza lavoro è composta da nativi digitali, navigatori esperti che hanno trascorso gran parte della loro vita online. Come mai, ci si potrebbe chiedere, le persone continuano a cadere vittime di questi attacchi?

I cybercriminali stanno sfruttando la tecnologia dell’intelligenza artificiale per colpire con successo gli esseri umani

Gran parte della risposta risiede nel fatto che un tentativo di attacco informatico oggi appare molto diverso rispetto a cinque, due anni fa o persino all’anno scorso. I criminali e gli attori malevoli hanno da tempo compreso che il fattore umano rappresenta un punto di ingresso affidabile nei sistemi, aggirando le difese tecnologiche. Essi sfruttano la potenza delle tecnologie emergenti per potenziare le loro capacità di hacking. Gli stessi strumenti basati sull’intelligenza artificiale e i modelli LLM, progettati per rivoluzionare l’assistenza clienti e lo sviluppo di prodotti, vengono utilizzati per creare richieste ingannevoli di informazioni che sembrano ancora più affidabili. Strumenti con nomi come WormGPT e FraudGPT si stanno diffondendo attraverso forum nascosti e vengono scambiati negli angoli del dark web. Ecco come potrebbe apparire un’email generata da WormGPT:

Sfruttando l’intelligenza artificiale generativa, le e-mail progettate per ottenere informazioni possono essere generate fino al 40% più velocemente rispetto ai metodi precedenti. E ciò che viene generato riesce a ingannare le persone su una scala più ampia. In SoSafe, siamo stati in grado di creare e-mail (in attacchi simulati) che sono state aperte dal 78% dei dipendenti, con il 65% che ha divulgato informazioni personali e il 21% che ha cliccato su link o allegati dannosi.

Inoltre, i truffatori possono ora integrare informazioni specifiche del settore e dell’azienda e creare messaggi grammaticalmente corretti e ben formattati. I segni distintivi di un tentativo di phishing – caratteri strani, sintassi bizzarra, tipi di file insoliti – possono essere assenti in queste nuove forme di attacchi. Peggio ancora, la potenza dell’IA consente di personalizzare ogni attacco per toccare argomenti e contenuti che trovate particolarmente coinvolgenti. L’era del spear phishing di massa personalizzato è arrivata.

La tecnologia svolge un ruolo fondamentale nel tenere a bada le minacce e si dimostra efficace, ma non è sufficiente. Hacker professionisti che lavorano insieme, con tempo a disposizione, riusciranno probabilmente a superare qualsiasi difesa tecnica implementata dall’IT. Questo richiederà tempo, sforzi e probabilmente innovazioni, forse persino l’uso di exploit zero-day. Tuttavia, è molto più semplice attaccare un utente autorizzato che può superare i controlli tecnici grazie ai privilegi di accesso che gli sono stati assegnati.

Gli utenti sono diventati la nostra “superficie primaria di attacco”. Questa è la via più semplice per un attaccante per accedere ai nostri sistemi, dati e risorse, spesso sfruttando un membro del personale che tenta di essere collaborativo o reattivo a una richiesta del cliente o a una crisi personale. Un esempio lampante è ciò che è successo alla società di sviluppo software Retool. Utilizzando l’intelligenza artificiale, gli attaccanti hanno creato voci deepfake del personale IT per aggirare i codici MFA, dopo aver già ottenuto le credenziali dell’impiegato tramite un attacco di smishing. Questo ha permesso loro di accedere agli account di oltre 27 clienti del settore delle criptovalute. Di conseguenza, molti clienti hanno perso milioni in criptovaluta, tra cui Fortress Trust, che ha subito una perdita di 15 milioni di dollari.

Questo è il “fattore umano” nella difesa informatica. Le persone sono in prima linea e devono essere considerate risorse nella lotta, piuttosto che elementi che “permettono” il verificarsi delle intrusioni.

Dobbiamo trasformare la consapevolezza e la formazione in comportamenti sicuri

L’educazione è fondamentale per gestire il rischio umano. Il primo passo è la consapevolezza del problema: gli attori malevoli sono incentivati a rubare informazioni e risorse preziose da un’azienda. I framework di conformità hanno da tempo riconosciuto questa importanza, imponendo ai responsabili della sicurezza una serie di requisiti per affrontare il rischio legato al fattore umano. Tuttavia, spuntare la casella della conformità non basta, poiché questi framework si concentrano solo sulla comunicazione di best practice generiche, senza generare un reale cambiamento comportamentale. Troppo spesso, la formazione sulla sicurezza si ferma qui, ma soddisfare semplicemente i requisiti minimi di conformità non è sufficiente, perché le persone raramente ricevono strumenti e conoscenze adeguati per essere parte attiva nella difesa dell’azienda. La parte preoccupante? Uno studio recente del NIST ha rilevato che il 56% dei dirigenti della sicurezza considera ancora la conformità come l’indicatore più importante del successo della formazione sulla consapevolezza e sicurezza (SA&T). Tuttavia, sebbene la conformità venga vista come un indicatore di successo, è emerso chiaramente che non riflette necessariamente un’efficacia reale nel cambiare comportamenti e atteggiamenti.

La formazione sulla sicurezza informatica può essere noiosa: infinite slide che richiedono agli utenti di cliccare ogni 20 o 30 secondi per “garantire la partecipazione”, quiz privi di stimoli con risposte fin troppo ovvie. Questo approccio non è più adeguato allo scopo. Le aziende devono impegnarsi a superare le basi della consapevolezza che non sono sufficienti ad affrontare il panorama delle minacce in continuo aumento.

I programmi devono invece identificare e dare priorità ai rischi umani specifici di un’azienda e creare un piano di azione correttivo per affrontare questi problemi. Questo contribuirà a creare e diffondere comportamenti che permettano alle persone di individuare, comprendere e rispondere alle minacce. Questi programmi devono considerare la gamma dei rischi legati al fattore umano e modellare comportamenti in grado di contrastare le minacce, utilizzando influenze culturali, fattori motivazionali, atteggiamenti, contesti e risposte emotive. Occorre concentrarsi sui principi alla base di modalità sicure per interagire con le informazioni digitali e utilizzare gli strumenti di comunicazione, principi che rimarranno validi anche se il formato o la tecnologia sottostante dovessero cambiare.

La formazione dovrebbe essere coinvolgente. Certo, deve coprire informazioni pertinenti, ma soprattutto deve garantire che le persone imparino ad applicare le loro conoscenze, sviluppino buone abitudini di sicurezza e comprendano perché tutto questo sia importante. Buone notizie: possiamo sfruttare approcci psicologici ampiamente collaudati. In pratica, questo significa offrire un’esperienza multicanale e opportunità di apprendimento contestualizzate ovunque si trovino le persone. Questi programmi suddividono le informazioni in porzioni brevi, evitando lunghi blocchi di testo, utilizzando tattiche come gamification, ripetizione continua e distribuita nel tempo, componenti interattive, nudging contestuale e storytelling, concentrandosi sul rinforzo positivo piuttosto che sull’apprendimento basato sulla paura. 

La gestione del rischio umano basata sul comportamento è la nostra unica possibilità per combattere la crisi di burnout che i team di sicurezza affrontano oggi

Le aziende che non agiscono rischiano di sovraccaricare gli specialisti che si occupano di queste minacce. Il burnout nei team di sicurezza è in aumento. Il 66% dei professionisti della sicurezza negli Stati Uniti e in Europa soffre di un forte stress lavorativo, mentre a livello globale ci sono attualmente 3,9 milioni di posizioni nella sicurezza informatica ancora vacanti. I professionisti hanno bisogno dell’aiuto di tutti gli altri per portare a termine la loro missione. La sicurezza informatica deve diventare una responsabilità condivisa – e le persone hanno il potere di combattere il crimine informatico. Dotati di istinti di sicurezza, i dipendenti possono diventare il più grande alleato e la parte più versatile delle strategie di difesa delle aziende per una riduzione sostenibile del rischio.

Il modo migliore per comprendere la trasformazione necessaria è attraverso una delle analogie più comuni: dai un pesce a un uomo e mangerà per un giorno; insegnagli a pescare e non soffrirà mai più la fame. In questo contesto, il “pesce” rappresenta un approccio puramente tecnologico, che può fermare una singola minaccia ma non risolve il problema più ampio. Solo attraverso l’empowerment del personale in prima linea, tramite un programma olistico di gestione del rischio umano, le aziende saranno in grado di costruire resilienza e mitigare in modo sostenibile il rischio informatico, assicurandosi una protezione a lungo termine.

Come può SoSafe aiutarti a gestire e ridurre il rischio umano?

Basata sulla psicologia e sulle scienze comportamentali, SoSafe è una piattaforma leader nella gestione del rischio umano, progettata per rendere i comportamenti sicuri una seconda natura. Crediamo che le persone vogliano fare la cosa giusta, ma spesso abbiano bisogno di supporto per riuscirci, soprattutto nel mondo odierno, dove le minacce alimentate dall’IA sono in costante evoluzione. Per questo ci concentriamo sulla creazione di culture della sicurezza che non solo proteggano dalle minacce digitali, ma coinvolgano anche le persone nella riduzione dei rischi legati al fattore umano. 

SoSafe aiuta le organizzazioni a raggiungere questo obiettivo concentrandosi su diverse aree chiave: formazione gamificata con storytelling, esperienze di apprendimento personalizzate, simulazioni di phishing con walkthrough dettagliati e supporto continuo per garantire un apprendimento efficace e costante. Il nostro Phishing Report Button permette ai dipendenti di agire contro le minacce, proteggendo l’intera organizzazione. Ma c’è di più: il nostro bot conversazionale Sofie consente di connettersi rapidamente con i dipendenti tramite gli strumenti di collaborazione. Favorisce un micro-apprendimento rapido per affrontare le minacce emergenti, promuove la cultura della sicurezza con accesso 24/7 al supporto di prima linea e trasforma gli utenti nella tua difesa più forte. 

Inoltre, la nostra dashboard di Risk Scoring e Culture Automation consente di integrare dati interni ed esterni, monitorare attività e metriche di rischio, valutare il rischio umano, identificare le vulnerabilità e prendere decisioni basate sui dati, tutto in un’unica piattaforma.