L’esplosione della pandemia ì ha imposto alle aziende un improvviso e massiccio ricorso allo smart working, situazione che perdurerà in previsione per il 2021; con un incremento da 570.000 persone coinvolte nel 2019 a 1.827.792 nel 2020(dati del Ministero del Lavoro e delle Politiche Sociali). Un incremento esponenziale a cui ha viaggiato di pari passo quello strettamente correlato delle vulnerabilità nei protocolli di data protection e sicurezza aziendale.
Lo stato degli attacchi informatici
L’utilizzo complessivo delle VPN è aumentato del 68% (fonte Darktrace), di cui un 29% consiste di organizzazioni neofite nell’utilizzo di questo strumento; parallelamente vi è stato un trend in crescita del 600% di tentativi di attacco attraverso strategie di phishing.
Il rapporto CLUSIT 2020 – Associazione italiana per la sicurezza informatica – che si basa su dati riferiti ad eventi avvenuti nel 2019, riporta ben 139 attacchi cyber al mese, +7% rispetto al 2018: di cui 46% attacchi ransomware (sequestro e criptazione di dati con inoltro nel dark web); 27% malware; 7% remote access trojan (infiltrazione nella rete aziendale attraverso un account “laterale” per acquisire credenziali amministrative).
Un contesto a dir poco complesso, in cui si è inserita una situazione emergenziale che ha portato alla necessità di attivare in poco tempo strumenti di lavoro alternativi per un grandissimo numero di persone.
Rendere possibile alle persone lavorare da remoto non significa solamente attivare un accesso da remoto ai sistemi aziendali, ma adottare un modello di lavoro completamente diverso. Innanzitutto, è necessario gestire un processo di decentralizzazione che ha importanti conseguenze dal punto di vista del trattamento: i dati, infatti, escono dalle “porte” dell’azienda per essere proiettati su device collocati nelle abitazioni dei collaboratori.
Non tutte le aziende, inoltre, hanno potuto dotare tutti i dipendenti di strumenti aziendali andando ad aggiungere ai rischi del lavoro da remoto anche quello connesso all’utilizzo di strumenti personali e non controllabili da parte dell’azienda.
Giocare in prevenzione
Secondo il principio della data protection sin dalla progettazione delle attività di trattamento, stabilito dall’art. 25 del GDPR, la nuova modalità lavorativa avrebbe dovuto essere costruita nel dettaglio in modo da abbattere al minimo il rischio potenziale; aspetto che è passato in secondo piano di fronte all’urgenza della situazione.
Quindi, ora che il nuovo sistema di lavoro è ormai andato a regime, è giunto il momento di rivedere le impostazioni adottate di corsa per strutturare al meglio il proseguire delle attività. Per ridurre il rischio che corrono i dati trattati in remoto, è opportuno che le aziende adottino provvedano al recupero di alcune attività passate in sordina nel primo memento di concitazione:
- Aggiornamento del registro dei trattamenti, con l’aggiunta di tutte le misure tecniche ed organizzative adottate ad hoc;
- Formazione e sensibilizzazione del personale sulle particolari criticità del lavoro smart; anche attraverso la creazione di istruzioni ad hoc a l’estensione di regolamenti interni per la gestione e l’utilizzo device, delle mail, della riservatezza dei documenti cartacei ecc.
- Aggiornamento dell’analisi dei rischi rispetto ai nuovi frangenti di attività; a maggior ragione laddove siano coinvolte anche modalità di trattamento non digitali svolte al di fuori dei perimetri aziendali.
L’obiettivo principale è quello di evitare un data breach “smart” dovuto a situazioni che sono sfuggite al controllo dell’azienda o alla sua normazione; dato che, tra gli altri, il fattore critico della distrazione umana è esponenzialmente aumentata in un contesto di lavoro “casalingo”.
Difficilmente controllabile è anche il rischio sui supporti fisici di lavoro, poiché è più probabile che lo smart worker sprovvisto di porta blindata o sistema antifurto subisca il furto del device che utilizza.
A maggior ragione laddove la perdita del dato aziendale significhi anche perdita di know how e/o blocco della produzione, oltreché esposizione al rischio di sanzioni da parte del Garante per la Protezione dei Dati Personali e ad azioni di risarcimento da parte dell’interessato.
Considerazioni di sicurezza
Innanzitutto, occorre avere sempre presente dove si trovano i dati (sul pc del lavoratore, in azienda, sul cloud): saperlo è fondamentale per proteggerli e altrettanto vale per le copie di backup.
La crittografia, meglio se asimmetrica, deve essere la prima scelta dal punto di vista tecnico, infatti, anche se i dati cifrati venissero sottratti sarebbero inutilizzabili in assenza della chiave per decriptarli.
Occorre anche rafforzare, se già presenti, processi di cancellazione sicuri dei dati: non basta cancellare l’hard disk o metter il computer in cassaforte ma occorre affidarsi a professionisti; soprattutto nel caso in cui il device sia destinato ad essere riassegnato.
Fondamentale è poi il controllo degli accessi: sapere chi fa che cosa e quando permette di mettersi al riparo anche da condotte illecite da parte di dipendenti o collaboratori. L’utilizzo indiscriminato dei privilegi o peggio la non assegnazione logica degli stessi porta ad aumentare di molto i livelli di rischio. A ciò è direttamente collegata anche una corretta regolamentazione dell’uso delle credenziali: username e password ogni quanto vengono cambiati, sono sicuri, esiste qualcuno che conosce quelli di tutti?
Per lo stesso motivo è importante dotarsi di un sistema di log management esteso, un registro di tutte le operazioni svolte sui sistemi, in modo da poter svolgere verifiche a ritroso, e di sistemi di intrusion prevention e controllo delle attività, utili per monitorare costantemente il sistema e intervenire tempestivamente in caso di anomalie di comportamento.
Responsabilizzare il dipendente…
Data la particolare situazione degli smart workers, sono fondamentali le policy, in siano cui siano riportate indicazioni scritte e chiare: cosa fare quando si utilizzano dati al di fuori dell’azienda, se si possono copiare su memorie esterne, dove riporre il materiale di lavoro ecc. Di seguito i punti chiave su cui concentrare le richieste per la sicurezza degli strumenti affidati al lavoratore:
- Sicurezza degli end point (pc, tablet, notebook, smartphone): aggiornare sempre il sistema operativo e l’antivirus, soprattutto in caso di utilizzo di dispositivi personali per scopi aziendali;
- Utilizzo di connessioni sicure: le VPN creano un canale sicuro e cifrato di collegamento tra il dispositivo di casa e la rete aziendale, instaurando un sistema di controllo con duplice inserimento di credenziali
- Corretto utilizzo dei device: sarebbe preferibile non utilizzare lo stesso device sia per scopi lavorativi che per scopi personali o familiari (fattori particolari di rischio sono l’utilizzo da parte dei figli minori o le piattaforme di gioco online, ecc)
- Controllo sulle reti domestiche: fornire al lavoratore strumenti di protezione da poter applicare alla rete domestica per evitare che una minaccia possa girare liberamente e penetrare anche in quella aziendale (island hooping).
- Corretto utilizzo della mail aziendale: uso ben distinto e separato da quello di una casella mail personale.
Riassumendo, al lavoratore spetta vigilare sulla sicurezza degli end-point, sul corretto utilizzo della mail aziendale, sulla protezione dati, sull’utilizzo esclusivo dei device e attraverso connessioni sicure.
…mettendo in sicurezza l’azienda
Cosa può fare l’azienda per abbattere i rischi:
- Monitoraggio dei dispositivi aziendali: implementare misure di sicurezza adeguate direttamente e uniformemente su tutti i device e monitorare le patch;
- Installazione di sistemi antivirus e antispam su tutta la rete aziendale, da tenere sempre aggiornati;
- Backup offline: affinchè siano al sicuro dagli attacchi subiti dalla rete;
- Stabilire e mettere in pratica adeguate procedure per la gestione degli incidenti