Secondo il 66% delle aziende intervistate per il report IDG 2018 US State of Cybercrime, ci sono più notizie preoccupanti sulla cybersecurity quest’anno rispetto al 2017.
Il numero medio di incidenti sulla sicurezza non è in crescita per tutti, anzi al momento è un discesa. Sembrerebbe una buona notizia, ma se fate parte di una grande organizzazione le cose cambiano: infatti gli intervistati affermano che il numero medio di attacchi nelle grandi aziende è in crescita.
La ricerca ha evidenziato che il 75%, ovvero la maggior parte dei cyberattacchi, vengono dall’esterno, mentre il 25% è imputabile a personale interno.
I cybercriminali sono la minaccia più grande, e rappresentano anche il costo più alto: il 39% degli intervistati affermano che gli attacchi provenienti dall’esterno sono i più onerosi per le aziende.
Ecco i più comuni vettori di attacchi esterni che portano a violazioni della sicurezza aziendale:
- Phishing
- Malware
- Spyware
IDG conduce questo sondaggio annualmente, insieme alla rivista CSO, alla divisione CERT del Software Engineering Institute della Carnegie Mellon University, al Secret Service statunitense e a KnowBe4, una piattaforma di formazione sulla sicurezza e di phishing simulato che aiuta le organizzazioni a gestire gli attacchi di social engineering.
Anche le minacce interne sono un problema serio, ovviamente. Tuttavia, il problema più diffuso con i dipendenti non si manifesta in chi di proposito danneggia l’azienda. Secondo gli intervistati, il problema più grande quando si tratta di minacce interne sono i dipendenti che vengono ingannati dal phishing o da altri attacchi.
Ecco le minacce interne più comuni riportate nel sondaggio:
- Dipendenti ingenui che vengono raggirati – 42%
- Dipendenti distratti che mischiano uso professionale e personale – 26%
I cyber criminali sono sempre più astuti nel Business Email Compromise (BEC): attacchi squisitamente mirati che ingannano i dipendenti facendo creder loro di essere in contatto con fornitori, colleghi o con il loro capo. La Penguin Random House e altri editori sono le vittime più recenti: la scorsa settimana è emerso che i delinquenti fingono di essere agenti letterari con il proposito di ottenere manoscritti preziosi.
Gli intervistati hanno riferito che i dipendenti che sono incappati in questo tipo di attacco hanno causato queste gravi violazioni nell’ultimo anno:
- Documenti di clienti compromessi – 61%
- Perdita di segreti commerciali o proprietà intellettuale – 56%
- Furto di informazioni personali identificabili (PII) – 49%
Randall Trzeciak, direttore del CERT National Insider Threat Center presso il Software Engineering Institute della Carnegie Mellon University, ha dichiarato in un comunicato stampa che il sondaggio sottolinea la necessità di formazione sulla sicurezza:
Molte di queste violazioni si sarebbero potute evitare se i dipendenti fossero stati formati in modo appropriato. In alcuni casi, l’ingenuità dei dipendenti ha condotto al phishing e ad altre truffe, con la conseguenza di dati compromessi e di perdite economiche.
La maggior parte dei dipendenti viene formaya sulla sicurezza, ma non più di una volta all’anno. Ecco la suddivisione in percentuali sulla frequenza della formazione:
- Una volta all’anno – 29%
- Due volte all’anno – 15%
- Quattro volte l’anno – 15%
- Mensilmente – 7%
I manager sono la categoria che necessita di più di formazione per proteggersi dagli attacchi, secondo il 52% delle risposte.
La conclusione della ricerca: formare bene i dipendenti, in particolare i grandi capi, e formarli spesso.
*Tratto dall’articolo “Phishing is still the most commonly used attack on organizations, survey says” sul blog Sophos Naked Security
Lascia un commento