Nel 2014 Anthem Inc., il secondo player assicurativo in ambito sanitario degli Stati Uniti, è stato violato in quello che è considerato essere uno dei più grandi cyber attack nella storia di questo settore. L’attacco ha comportato non solo il furto di informazioni personali di oltre 78 milioni di clienti (quali i numeri di previdenza sociale), ma anche la potenziale compromissione di altre informazioni sensibili. L’episodio ha messo in discussione la capacità dell’intero settore sanitario di gestire adeguatamente il notevole patrimonio di dati di cui dispone, oltre ad avere impattato le operazioni commerciali di molte aziende.
Nonostante l’inizio dell’attacco risalga a febbraio del 2014, l’episodio è stato rilevato solamente nel gennaio 2015 in seguito al riscontro di anomalie all’interno della rete che hanno dato luogo a un’indagine interna. Quest’ultima ha evidenziato che l’intrusione è stata causata da un attacco di spear phishing indirizzato a un dipendente di una delle società ausiliarie di Anthem. Mediante un malware installato sulla postazione della vittima gli attaccanti hanno avuto accesso ad altri sistemi interni dell’azienda.
Al di là dell’eco mediatico del data breach, questo incidente ha avuto un impatto devastante per l’organizzazione: la compromissione dei dati ha messo a rischio l’operatività di Anthem Inc., il patrimonio stesso dell’azienda e i rapporti con partner e clienti. Per ristabilire la relazione di fiducia con i propri clienti, Anthem Inc. ha deciso di inviare loro un’email in cui veniva comunicato l’attacco subito e offriva la possibilità di usufruire gratuitamente per un anno del loro servizio di tutela della privacy di carte di credito.
Per quanto le indagini successive all’incidente abbiano determinato che i “deficit” sul fronte cyber security di Anthem non fossero molto diversi da quelli di altre aziende comparabili per settore e dimensioni, cosa ci insegna il caso appena descritto?
1. L’azienda non è un’isola ma un ecosistema
Le aziende non sono un sistema chiuso ma un ecosistema. Non è Anthem ad essere stata direttamente “attaccata” ma un’organizzazione ausiliaria della suddetta azienda, ma questo non ha sollevato Anthem da responsabilità, danni e cause. Policies, processi e controlli devono essere necessariamente estesi a fornitori, partner e clienti. È importante “condividere” l’impianto di cyber security con tutti gli stakeholder con un adeguato substrato formale. La governance delle terze parti non è solo un diritto ma oggigiorno un dovere di ogni azienda. A tal proposito il nostro SOC mette a disposizione il servizio di Supplier Cyber Security Governance grazie al quale affianchiamo i nostri clienti nelle attività di Cyber Security Assessment e Security Governance di partner, fornitori e terze parti strategici.
2.La tempestività di identificazione e di reazione ad un cyber attack sono fondamentali
La velocità di identificazione e di reazione sono un elemento fondamentale per la riduzione dell’impatto di un attacco sia dal punto di vista del danno economico sia reputazionale. Ritardi nell’identificazione e reazione possono infatti comportare:
- interruzione dell’attività
- costi di reputazione
- perdita di fatturato
Il riconoscimento di un attacco cyber deve essere guidato da due criteri: l’efficienza e la velocità. Il team aziendale deve essere preparato ad agire: deve avere coscienza delle best practices da mettere in atto, sapere a chi rivolgersi e quale parte dell’azienda deve essere isolata. Devono inoltre essere predisposti e conosciuti dal personale aziendale i protocolli per comunicare in maniera adeguata l’attacco ai clienti, ai partner e ai dipendenti. Un’efficace strategia di prevenzione ha quindi come “strumento” più importante la continua formazione del personale. È responsabilità dell’azienda diffondere una cultura Cyber Security Awareness per far sentire tutti i dipendenti (anche quelli non esperti di ICT) parte integrante dei processi di Cyber Security.
3.La formazione è la difesa più efficace
Il personale è spesso l’anello debole della filiera della sicurezza. È infatti staticamente provato che le violazioni dei dati derivino maggiormente da “superficialità umane” piuttosto che ad effettive vulnerabilità dei sistemi. Il recente “Rapporto Clusit 2020 sulla sicurezza ICT in Italia” dimostra come i cyber attacchi più significativi per l’anno 2019 siano stati causati da episodi di phishing e social engineering. In questo scenario la formazione in ambito di Security Awareness diventa fondamentale per l’azienda. Per massimizzarne l’efficacia è necessario che questo processo di formazione costante coinvolga l’intero personale aziendale: dipendenti e collaboratori che operano con e per l’organizzazione, devono essere coinvolti in un percorso formativo di lunga durata che fornisca loro le conoscenze necessarie per riconoscere le più comuni forme di phishing e le best practices da mettere in atto in caso di ricezione di e-mail malevole o attacchi di social engineering. Una buona formazione in ambito Security Awareness dovrebbe affrontare le seguenti tematiche:
- Consapevolezza delle minacce per la riservatezza, l’integrità e la disponibilità degli asset critici dell’azienda;
- Conoscenza e riconoscimento dei metodi di attacco più comuni e recenti.
- Conoscenza delle politiche e delle best practice da mettere in atto per mitigare rischi derivanti dai fenomeni del phishing e del social engineering.
- Comprensione dei ruoli e delle responsabilità di ogni persona.
A tal proposito, Nethive mette a disposizione dei propri clienti il servizio di Security Awareness Training grazie al quale sondiamo il livello di conoscenza di ogni dipendente in relazione al fenomeno del phishing e formiamo ogni utente attraverso campagne personalizzate di training con l’obiettivo di creare il giusto livello di consapevolezza e conoscenza.
