Con l’evoluzione tecnologica aumenta anche la vulnerabilità dei sistemi informatici: cloud, virtualizzazione e dispositivi mobili offrono agli hacker un raggio d’azione sempre più esteso.
Le imprese, in questo contesto, sono costrette a tutelarsi dalla minaccia di attacchi informatici sempre più pervasivi.
La necessità per le aziende di non farsi cogliere impreparate di fronte ad una nuova generazione di rischi informatici è imprescindibile, specialmente in considerazione dell’evoluzione delle ingerenze pirata che, ad oggi, non comportano esclusivamente la violazione di dati e privacy, ma determinano altresì guasti tecnici, furto di proprietà intellettuale, danni d’immagine e reputazione aziendale, cyber-estorsioni, perdita di informazioni confidenziali e soprattutto l’interruzione delle attività.
L’effettiva criticità della situazione è evidente alla luce dei recenti casi di cronaca; un esempio della portata delle conseguenze irreversibili che gli attacchi di nuova generazione possono arrecare è quanto accaduto ai danni del noto istituto di credito JP Morgan Chase.
Nel 2014 la banca, a causa dell’attacco hacker che ha determinato la violazione di 83 milioni di conti bancari, è stata ridotta ad un passo dal fallimento, rivelandosi vano anche il tentativo di salvataggio operato da un team formato da oltre mille specialisti della sicurezza informatica e da un investimento di 250 milioni di dollari.
Secondo gli ultimi dati pubblicati dall’Osservatorio Attacchi Informatici in Italia nel Rapporto 2015, alla base di ogni violazione vi è lo sfruttamento delle vulnerabilità tecniche ed organizzative delle aziende, ma non solo.
Infatti, come è emerso nel corso dell’ultima RSA Conference di San Francisco, dedicata alla sicurezza informatica, le più recenti ingerenze risultano fondate proprio sullo studio del comportamento dei dipendenti delle imprese nel mirino.
Le emergenti tecniche di cyber attack, dunque, non risultano più incentrate sull’utilizzo di malware, ma su di una strategia criminale totalmente differente rispetto al passato, che si concretizza in una intrusione nel sistema aziendale che appare, ad un primo sguardo, del tutto legittima.
Gli hacker, infatti, individuati i dipendenti dell’impresa target, ne analizzano il profilo sui social media allo scopo di clonarne l’identità ed introdursi nella rete aziendale.
Si tratta di una procedura tutt’altro che complessa in quanto attuata tramite l’individuazione delle password utilizzate dai lavoratori per l’accesso alla rete aziendale.
Esistono tuttavia dei sistemi di difesa recentemente collaudati per far fronte a tali nuove tecniche di ingerenza, fondati sull’analisi comportamentale: il software registra i movimenti informatici dei dipendenti, verificando ed immagazzinando le attività svolte abitualmente.
In questo modo il sistema sarà in grado di riconoscere quando il presunto dipendente, che naviga in rete, sta agendo in maniera totalmente differente rispetto alle proprie abitudini, o sta provando ad accedere ad aree del sistema usualmente non visitate, allertando il management aziendale.
Se da un lato tali programmi si configurano come efficaci barriere contro strategie criminose sempre più sofisticate, è tuttavia innegabile come gli stessi costituiscano pratiche di vera e propria sorveglianza dell’attività informatica dei lavoratori.
Vanno dunque verificate, caso per caso, le compatibilità di tali software con il Codice della Privacy, ancorchè, ad oggi, l’utilizzo degli stessi al fine di tutelare l’impresa da attacchi esterni sia assolutamente legale.
Inutile attendere la definizione di un chiaro orientamento giurisprudenziale che affronti questi nuovi temi; emerge, per contro, la necessità di procedere in via cautelativa, con l’assistenza di un consulente esperto in materia, alla revisione delle policy aziendali ed attuare le opportune verifiche circa l’adozione di un adeguato sistema di protezione della rete aziendale che, tuttavia, non vìoli le norme poste a tutela della riservatezza personale di dipendenti e collaboratori.
Contributo inserito nella Newsletter n.2/2016.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2016 – 2021