Gli attacchi informatici non dipendono solo da falle nei sistemi, ma anche da errori umani e inganni sempre più sofisticati basati sull'AI. Scopri perché la sicurezza aziendale deve partire dalle persone e come costruire una difesa davvero efficace.
Nel mondo della cybersecurity, la tecnologia gioca un ruolo cruciale, ma spesso si trascura un aspetto fondamentale: il fattore umano. Nonostante le più avanzate soluzioni tecnologiche di sicurezza, gli errori commessi dalle persone continuano a rappresentare una vulnerabilità critica.
Un recente report Verizon evidenzia che più di due terzi degli attacchi informatici hanno successo a causa di errori umani. Questa statistica dimostra che le vulnerabilità non derivano solo da falle nei sistemi, ma anche da comportamenti imprudenti o da una scarsa consapevolezza dei rischi. Pensiamo, ad esempio, a un attacco di phishing, in cui un dipendente ignaro del pericolo rivela credenziali d’accesso o scarica un malware che infetta l’intera rete aziendale.
Attribuire la colpa ai dipendenti, tuttavia, significa evitare di affrontare il problema alla radice. Il comportamento umano è influenzato da fattori cognitivi come i bias decisionali e lo stress, che riducono la capacità di individuare le minacce. Inoltre, gli attaccanti sfruttano strategie di ingegneria sociale per manipolare le persone e ottenere accesso ai sistemi.
Molte aziende investono somme ingenti in sicurezza, ma dimenticano che le persone sono il primo anello della catena di protezione. Spendere esclusivamente in firewall, soluzioni cloud e software di difesa senza considerare il fattore umano rischia di vanificare gli sforzi. La sicurezza informatica deve essere un equilibrio tra tecnologia, comportamenti e cultura aziendale.
Gli attaccanti stanno sfruttando l'intelligenza artificiale (IA) per creare attacchi di ingegneria sociale sempre più sofisticati. Un esempio emblematico recente è il caso in cui truffatori hanno utilizzato deepfake vocali per impersonare il Ministro della Difesa, Guido Crosetto, convincendo imprenditori a trasferire milioni di euro su conti esteri.
Grazie a software avanzati di sintesi vocale, gli aggressori hanno replicato tono, inflessione e modo di parlare del ministro, rendendo il raggiro incredibilmente credibile. Queste tecnologie permettono persino di falsificare video in tempo reale, aumentando il rischio di truffe aziendali e politiche.
Anche gli attacchi di phishing si sono evoluti con l’uso dell’IA. I Large Language Models (LLM) - come quelli alla base di ChatGPT - consentono di generare email personalizzate e altamente convincenti, riproducendo lo stile comunicativo di aziende o individui specifici. Questo consente agli attaccanti di generare email di phishing di alta qualità (ad esempio, prive di errori grammaticali), più efficaci ed in una frazione del tempo richiesto altrimenti da una scrittura manuale.
Come contrastare un panorama di minacce sempre più sofisticato? La soluzione non è solo tecnologica, ma culturale.
Una solida cultura della sicurezza significa che la cybersecurity non deve essere unicamente compito del reparto IT, ma una responsabilità condivisa tra tutti i dipendenti.
Investire nella formazione è uno degli strumenti più efficaci per ridurre il rischio umano, ma deve essere progettata con attenzione:
Oltre alla formazione, le aziende devono implementare policy di sicurezza chiare e applicabili. Alcuni esempi:
Autenticazione avanzata: eliminare l’uso delle password convenzionali e adottare soluzioni come autenticazione a due fattori (2FA) o password manager.
Gestione dei dispositivi mobili: invece di proibire rigidamente l’uso di dispositivi personali, in genere preferiti dai dipendenti per aumentare la loro produttività, implementare sistemi di Mobile Device Management (MDM) per proteggerli.
Fornire aggiornamenti software automatici: togliendo ai dipendenti l’onere di aggiornare i loro sistemi, si può virtualmente eliminare il problema delle vulnerabilità non zero-day.
Il fattore umano rappresenta sia una vulnerabilità che un'opportunità nella cybersecurity. Siamo abituati a pensare che la colpa di un comportamento non sicuro sia totalmente colpa dei dipendenti. Tuttavia, la responsabilità deve essere condivisa anche dall’azienda, la quale deve supportare i propri dipendenti fornendo loro strumenti, formazione e policy per difendersi adeguatamente.
Un esempio? Imporre l’utilizzo di molteplici password complesse, per giunta da cambiare frequentemente, senza fornire loro accesso ad un password manager porterà inevitabilmente a soluzioni inefficaci ed azzardate (come post-it attaccati al monitor). L’adozione di tecnologie di supporto, invece, rende la sicurezza più semplice e accessibile.
Con l’evoluzione delle minacce e l’uso sempre maggiore di AI negli attacchi, l’unico modo per proteggere l’azienda è combinare formazione, policy intelligenti e tecnologie di difesa.
Una cultura della sicurezza efficace può trasformare il dipendente da anello debole a prima linea di difesa!
✅ L'errore umano causa oltre due terzi degli attacchi, quindi serve investire non solo in tecnologia, ma anche in formazione e consapevolezza.
🤖 L’intelligenza artificiale aumenta i rischi con deepfake e attacchi di phishing sofisticati.
🎓 La formazione deve essere breve e coinvolgente, altrimenti non funziona, o funziona male.
📜 Le policy di sicurezza devono essere realistiche e supportate da tecnologia.
🔐 Unire formazione, policy e strumenti tecnologici crea una difesa efficace e resiliente.