Combattere le minacce interne: una strada a 3 corsie

Pochi giorni fa, a un seminario, incontrai uno dei responsabili della sicurezza di una banca: parlando della minaccia interna mi disse che l'azienda aveva già implementato filtri e sistemi di monitoraggio di tutto il traffico in entrata e in uscita attraverso le email, nonché sistemi che eliminavano i pericoli della web mail e dell'Instant Messaging.
C'era ancora qualcos'altro che, a mio parere, doveva essere fatto?
La risposta inizia con "Sicuramente sì", e continua così...

Negli ultimi 5 anni molte aziende hanno investito in modo significativo per proteggere i propri sistemi email da virus, spam, spyware, attacchi sulla porta SMTP (ivi inclusi i Denial-of-Service e i directory harvest attack).

Esistono oggi nuove tecnologie di filtraggio per analizzare il contenuto delle comunicazioni verso l'esterno: in alcuni casi le iniziative delle aziende prendono la mossa dalle necessità di adeguamento alle normative (il Codice in materia di protezione dei dati personali in Italia - DL 196/3) o la Legge Federale del 19 giugno 1992 sulla protezione dei dati (LPD) in Svizzera, e altre leggi similari che sono state implementatenella maggior parte dei paesi europei seguendo le direttive UE).
In altri casi ancora, le aziende che fondano la propria attività sulla proprietà intellettuale

Sfortunatamente, la maggior parte delle soluzioni di e-mail scan utilizzano una tecnologia obsoleta per l'analisi dei contenuti, come il riconoscimento delle parole chiave (keyword) o il matching di regular-expression, trovando quindi solo dati in formato fisso come i numeri di carta di credito o parole chiave come "documento confidenziale" all'interno del messaggio.

E' comprensibile che questo tipo di soluzioni rappresenti il "meglio-che-niente", poiché sono ancora molte le aziende dove i dati sfuggono senza il minimo controllo e senza che nessuno se ne renda conto.

Spesso queste soluzioni non possono gestire i contenuti più critici e alcune non riescono neppure ad aprire i file allegati che potrebbero contenere le informazioni.

Il modo migliore, quindi, per proteggere le loro comunicazioni dalle minacce interne (sia che si tratti di atti dolosi o semplici errori umani) deve seguire tre strade parallele:

1. scoprire e identificare tutti i contenuti che possono rappresentare un rischio quando oltrepassano il perimetro aziendale. Tutti i file contenenti informazioni personali o proprietà intellettuale che possono essere localizzati in dischi condivisi, sui laptop, sulle postazioni aziendali, o in qualsiasi database o archivio dati. Una volta individuato, il dato deve essere firmato e registrato per evitare che possa essere divulgato all'esterno via mail o con altri tipi di comunicazioni, come IM, FTP, IRC ecc. I prodotti di gestione delle email non sono fatti per proteggere i cosiddetti data-at-rest (i dati a riposo in qualche punto della rete);
2. implementare tecnologie di analisi del contenuto che vadano oltre il semplice esame dei formati fissi, che cerchino pattern di numeri e lettere. Esistono soluzioni in grado di guardare all'interno degli allegati, individuare la presenza di lingue straniere, ricercare identificatori univoci che possano rappresentare un rischio, o ancora fare un match con contenuti preregistrati. Le tecnologie di analisi dei contenuti devono anche essere multicanale, in grado cioè di individuare oltre ai contenuti delle email, anche l'uso delle webmail, dell'IM, ecc;
3. comprendere che la email non è il solo punto di rischio. Il motivo per cui è fondamentale il monitoraggio multicanale è dovuto al fatto che, sebbene molte aziende implementino policy e sottopongono le proprie persone a un adeguato training, sebbene blocchino l'installazione di software non aziendale sui PC e impediscano l'accesso a porte USB o CD, esiste sempre una possibilità che delle azioni fraudolente possano essere perpetrate.

Come ben ribadiva la scorsa settimana Fulvio berghella di Oasi (che ringrazio per la piacevole presentazione al convegno di Azienda Banca sulla minaccia dall'interno), anche la più divulgata policy sull'uso appropriato degli strumenti aziendali non può nulla se non è affiancata da strumenti per monitorare e assicurare un comportamento corretto.
Il controllo dei dati in uscita è un imperativo per il business attuale, sia che si tratti di proteggere il proprio brand e la propria reputazione, sia che ci si debba adeguare alle normative, o fare in modo che la proprietà intellettuale sia la caratteristica distintiva nei confronti dei concorrenti.
Per proteggersi dalle minacce interne e proteggere il proprio patrimonio, le aziende hanno bisogno di strumenti che individuino il dato quando ancora non è stato spostato, ispezionino i contenuti in movimento e considerino il rischio al di là del semplice canale email.
Soltanto con un approccio che segue tre vie parallele la protezione delle informazioni potrà limitare i rischi ofrendo ad aziende pubbliche e private la sicurezza necessaria.

Fuga di informazioni via P2P: da Pfizer in poi

Metti una sposina che, a casa la sera, sola, quando suo marito è fuori a giocare a poker con gli amici, decide di ascoltarsi della buona musica.
Metti che voglia ascoltare proprio l'ultimo CD degli Artic Monkeys, di cui ha sentito un pezzo di sfuggita l'altro giorno in radio e che tanto gli è piaciuto.
Metti che il negozio di dischi sia chiuso e che la sposina non abbia altro a disposizione che il PC del maritino, di cui conosce la password di accesso.
Metti, infine, che sul notebook sia installato Kazaa...
Risultato: la sposina mette a disposizione della rete le informazioni di 17.000 tra impiegati attuali e passati del gigante farmaceutico Pfizer, dati contenenti informazioni sensibili come il Social Security Number associato al nome (leggete l'articolo su The Register per saperne di più).
Dimenticavo: il marito, come è lecito pensare, lavora alla Pfizer.

Risultato per la Pfizer: un'offerta ai dipendenti interessati di un servizio di monitoraggio del credito per un anno.

Cosa possiamo trarre da tutto questo?

Prima di tutto che non dovremmo lasciare le mogli sole a casa la sera, onde evitare accadimenti oltremodo spiacevoli.
Ma ancora più importante è la necessità di una serie di regole che le aziende dovrebbero implementare: innanzitutto di sensibilizzazione e di proceduralizzazione che si estrinseca nel comunicare che alcuni strumenti non possono essere installati dall'azienda e non devono essere installati dai dipendenti.
Dal momento che mettere solo un avviso non basta come misura contro un comportamento indesiderato, sarà necessario impedire questo tipo di comportamenti, e quindi installare appositi sistemi che impediscano l'installazione di software non desiderato oppure che ne consentano il monitoraggio.
Spesso nelle aziende non viene compreso che la maggior sicurezza è un fattore abilitante al proprio business: vengono implementate procedure utili solo qualora la normativa lo richieda.
A nessun ente, poi, viene demandato l'onere del controllo, ma solo nel caso di un procedimento giudiziario sarà possibile scoprire se l'azienda aveva ottemperato agli obblighi normativi (in Italia, la 196/03 impone alle aziende di proteggere i dati sensibili e di adeguare la propria sicurezza con il progredire delle minacce, implementando quindi nuovi sistemi e procedure di controllo).
Gli USA e il Regno Unito hanno fatto un passo in più: impongono alle aziende che hanno subito perdite di dati sensibili di avvisare le potenziali vittime e di darne quindi pubblica notizia.
Certo è che, nemmeno in questo caso, si avrà la sicurezza che l'azienda ottemperi all'imposizione normativa, ma le sanzioni, nel caso che la notizia arrivasse all'autorità giuridica, sono ovviamente severe.
Credo che alla fine il cerchio si debba chiudere sull'azienda che deve raggiungere la consapevolezza del grado di rischio che per sé stessa può avere una perdita di dati: reputazione, danni finanziari, procedimenti giuridici, multe, sono le potenziali conseguenze a cui può andare incontro.
Ho messo per prima la reputazione, proprio perché è quella che ha l'impatto maggiore: sia che si tratti di una banca, sia che si parli di un negozio online, la fiducia che l'utente ha nell'azienda che perde i suoi dati può calare vertiginosamente a fronte di una fuga di informazioni.

Sicurezza senza compromessi o sicurezza compromessa? A voi la scelta

Secondo voi qual è la minaccia più grave di perdita di dati o di fuga di informazioni?
La maggior parte di noi istintivamente è portata a pensare agli hacker che attraverso Internet, e con metodologie raffinatissime penetrano all'interno delle reti aziendali venendo in possesso dei dati più critici.
In realtà, chiunque volesse impadronirsi dei dati di un'azienda vorrebbe trovarvicisi all'interno: le cose sono molto più semplici quando hai un accesso con credenziali regolari a una parte dei dati di un'azienda.
Sapere come e quando i dipendenti accedono alle informazioni aziendali significa avere un'infrastruttura di monitoraggio di ciò che avviene dalla postazione del dipendente (in questo ambito denominata endpoint) ai sistemi che erogano i dati.
Il controllo degli endpoint gioca un ruolo chiave nella prevenzione e nella mitigazione dei rischi correlati alla minaccia interna: le istituzioni finanziarie sono più sensibilizzate di altre aziende, soprattutto per merito delle normative internazionali sulla riduzione del rischio, mentre i settori farmaceutico e dell'alta tecnologia, dove la concorrenza è più serrata e il valore di un dato progettuale o di ricerca è proporzionalmente più elevato, tengono la guardia alta già da tempo.
La serie dei report CSI/FBI degli ultimi anni ha evidenziato che la maggior parte degli attacchi proviene dall'interno delle aziende: è da notare che alcuni endpoint sono già presidiati a dovere, sebbene, diciamocelo chiaramente, le maglie del controllo sono abbastanza larghe per permettere ai dipendenti di poter svolgere il loro lavoro.
Questo fattore deriva dalla diversa impostazione che l'ambito finanziario ha nei confronti della sicurezza, rispetto ad altri ambiti come quelli citati della farmaceutica o della tecnologia.
In questi ambiti esiste una predisposizione alla sicurezza che non solo è basata su una solida piattaforma di policy aziendali, ma è soprattutto patrimonio comune e condiviso da tutti. Sto parlando di un approccio che è ormai presente da qualche decina di anni in molte aziende e che viene instillato nei dipendenti contestualmente all'assunzione.
E' l'approccio della "sicurezza senza compromessi", che si contrappone a quello che ho incontrato in molte aziende, che chiamerò, per contrasto, della "sicurezza compromessa".
Cosa prevede quest'ultimo? Prevede che, per evitare le lagnanze dei dipendenti che si vedono cambiare una piccola componente della routine lavorativa a seguito dell'implementazione di nuove procedure, si pongano dei limiti ai controlli, si aprano le maglie dei controlli, si introducano delle eccezioni che, dal momento che non vengono documentate, diventano poi un incubo da gestire.
E' una consuetudine, statene certi. E questo genere di situazioni da un'idea di quanto, in quelle aziende, si dia importanza alla preservazione del capitale informativo.
A questo punto cosa possiamo fare?
Possiamo gestire le eccezioni (nessuna legge è perfetta) ma dobbiamo affermare con solidità che una volta che le policy sono state emanate, le eccezioni devono essere vagliate da un comitato apposito, approvate e documentate.
Inoltre, l'approccio più corretto per individuare una frode interna non si limita solo a osservare ciò che i dipendenti aprono e guardano nei documenti, ma anche il contesto di cosa stanno facendo con quelle informazioni: esistono applicazioni che si occupano di Fraud Intelligence (o Information leakage intelligence), in grado di applicare regole di controllo del contesto alle attività dell'utente interno.
Ogni organizzazione deve avere un set di policy aziendali (altrimenti dette acceptable use policy) che devono essere sostenute, rinforzate, "inculcate" nei dipendenti, in modo che sappiano con certezza dove possono andare e dove no.
Consideriamo un esempio di endpoint poco monitorati: attraverso le reti wireless all'esterno dell'istituto è possibile accedere a quegli endpoint che sono stati lasciati accesi, o ai laptop che sono stati portati fuori dall'azienda. Questo costituisce una vera e propria apertura verso la rete o i dati aziendali, senza che nessuno se ne possa accorgere.
E cosa dire delle cartelle condivise? Molti grandi progetti conservano i dati in cartelle condivise, per facilitare il flusso informativo. Ma una volta che il flusso è partito, diventa difficile da fermare. Può capitare che in una cartella condivisa vadano a finire informazioni sensibili o classificate, semplicemente a causa di un errore umano, senza alcuna intenzione.
Una volta che il documento è inserito nella cartella, diventa disponibile a chiunque.
Cosa fare per l'audit?
Le aziende devono effettuare due tipi di audit su base regolare: sua sulle loro reti, per individuare gli endpoint nascosti e altre vulnerabilità correlate, sia nei confronti delle persone che lavorano in azienda, per accertarsi che le policy di sicurezza siano state correttamente comprese e messe in pratica da tutta la struttura.
Ovviamente a monte di questo ci deve essere un processo educativo e di sensibilizzazione di tutto lo staff: e non pensate che l'amministratore delegato e il direttore generale si possano tirare indietro.

Quando il controllo interno non è efficiente...

Il recente studio "The Financial Management 2007 study", condotto da ACL Services Ltd. coinvolgendo 60 manager di aziende inglesi e tedesche, ha mostrato come la complessità delle attività di business moderne possano creare ambienti confusi dove attività fraudolenti e non adeguate alle normative passano tranquillamente inosservate.

Lo studio ha intervistato 60 direttori finanziari e dell'audit scoprendo che che il 77% circa degli intervistati erano d'accordo sull'affermare che una visione univoca di tutti i dati finanziari rilevanti è vitale per andare incontro alle esigenze della corporate governance moderna, sebbene meno del 25% delle aziende avesse un quadro completo della situazione, rendendo così molte delle aziende vulnerabili a inefficienze e frodi.
Nonostante questo, l'81% ha ancora fiducia nella possibilità di poter soddisfare le richieste di compliance e gli obblighi della governance.
L'84% dei manager crede che il monitoraggio continuo del controllo interno dei processi chiave di business possa assicurare una maggior integrità operativa e finanziaria, ma solo il 43% ha potuto implementare queste tecniche o è in procinto di farlo.
Il 57% attualmente effettua audit finanziari sia trimestralmente che annualmente, e solo il 27% afferma di voler eseguire audit più frequentemente (quotidianamente o settimanalmente). Questo nonostante la consapevolezza dei benefici di una pronta reazione quando il controllo interno non lavora come dovrebbe.

Per quanto riguarda attività fuori dalla norma, il 42% delle aziende non sa per quanto tempo una transazione sospetta, ovvero che ricade fuori dai parametri di controllo, possa passare inosservata, e più del 30% crede che un'anomalia possa sfuggire alle maglie del controllo per più di sei mesi.

Di certo questi risultati mostrano l'enorme complessità della gestione dei dati finanziari nelle aziende: sebbene molti addetti ai lavori accolgano la sfida, molti altri sembrano incapaci di implementare i cambiamenti organizzativi necessari, nonostante i palesi benefici per il business.

La maggior parte dei manager intervistati crede di avere implementato processi efficienti, ma non è oggi in grado di monitorare continuativamente le transazioni finanziarie, aprendo così le porte ad attività fraudolente e inefficienze organizzative, fattori che possono impattare seriamente i risultati finali di un'azienda.

Minacce interne e protezione dei dati: un articolo da BankInfoSecurity

Vi segnalo l'interessante articolo apparso su Bank Info Security lo scorso 13 aprile: è un'intervista a Eric Cole, noto esperto di sicurezza nonché autore del volume "Insider Threat" (un must per chiunque si occupi delle frodi aziendali).
In esso si parla della maggior attenzione verso le minacce provenienti dall'interno delle aziende, dei possibili rimedi e della necessità di diffondere una maggiore cultura della sicurezza.

Minacce interne e garanzie per l'IT

Qualche tempo fa andai a parlare di salvaguardia del proprio patrimonio informativo e di minaccia interna al vicedirettore dei sistemi informativi di una banca.

Gli spiegai che per anni le aziende hanno focalizzato le attività di sicurezza sulla protezioni dalle minacce provenienti dall’esterno, poste dalla crescente esposizione su Internet, dispiegando una serie di soluzioni come firewall, antivirus, anti-spam, intrusion detection systems, antispyware, ecc, e costruendo solide mura per proteggere il proprio perimetro.

Concordammo sul fatto che molti di essi stanno realizzando che queste difese non possono proteggere da un tipo diverso di minaccia, quella proveniente dall’interno dell’azienda e che per ovviare a questo era necessario dispiegare una serie di tecnologie e approcci diversi da quelli utilizzati fin’ora.

Gli parlai quindi della soluzione di Intellinx, che permette di aggiungere un altro livello di log alle attività che vengono condotte sui propri sistemi centrali, che si tratti di mainframe, AS400, web server.

Dopo aver ascoltato con attenzione mi disse che sarebbe diventato uno sponsor interno della proposta, non solo perchè essa interveniva a far luce su una serie di attività che altrimenti sarebbero passate inosservate, ma anche (e credo soprattutto) perchè gli consentiva di avere una garanzia sul proprio operato e su quello dei suoi collaboratori.

È risaputo, infatti, che chi lavora nei sistemi informativi di una banca può avere un accesso privilegiato a informazioni e procedure: le applicazioni di business dell’azienda sono configurate per dare un alto livello di log normalmente tracciano le attività degli utenti finali. Gli utenti IT, ovvero gli amministratori del sistema, dei database e dei programmi, utilizzano vari strumenti di amministrazione e di programmazione per accedere e mantenere i dati aziendali. E, tipicamente, queste applicazioni non hanno log, e non consentono, quindi, di avere traccia degli accessi e delle attività degli utenti privilegiati.

Mi parve un’approccio estremamente illuminato, e al quale non avevo ancora pensato: sebbene, secondo il rapporto"Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector", solo il 23% delle frodi interne viene commesso da impiegati in posizione tecnica – e solo il 17% degli insider possedeva un accesso da amministratore del sistema –, la minaccia potenziale di chi opera nei sistemi informativi è per l’azienda sicuramente più alta, perché meno tracciabile.

E avere una garanzia che permetta al direttore dei sistemi informativi di poter tracciare anche le attività delle applicazioni non di business costituisce una tutela per gli impiegati, oltre che per l’azienda stessa, ovviemante. Poter dire “tutte le operazioni verso il mainframe sono tracciate” permette all’azienda di considerare tutti gli impiegati sullo stesso livello, di liberare dal sospetto chi lavora nell'IT e, infine, di non avere aree grigie dove non poter investigare in caso di problema.

Ed è quindi salutare anche per gli impiegati passare da un’area grigia a un’area dove c’è più trasparenza.

Ho ringraziato quindi il mio interlocutore per il suggerimento, ripromettendomi di sfruttarlo per illustrare un ulteriore vantaggio degli approcci alla sicurezza interna che propongo.