Man in the mail. Come tutelare l'impresa
Adottare le corrette policy, significa responsabilità e responsabilizzazione dei propri dipendenti, ma soprattutto difendere e far crescere l'impresa
Da tempo, gli attacchi informatici si sono evoluti, il crimine lavora con veri e propri processi aziendalistici ed ora il phishing è divenuto parte di frodi più complesse come la c.d "Man in the mail fraud".
Di recente questo attacco è stato subito da Bitpay. I criminali hanno ottenuto dal Direttore Finanziario della Società le credenziali del suo account email. Sulla base delle informazioni recuperate dall’account del Direttore finanziario, l’organizzazione criminale ha poi scritto all’Amministratore Delegato convincendolo ad effettuare svariati versamenti. Bitpay attualmente non ha recuperato nulla dei milioni persi.
Diverse sono le tipologie di attacchi che un’azienda può subire: un phishing, attacchi brute forcing, trojan, lo sfruttamento delle numerose debolezze dei dispositivi mobili, ecc. Come visto per Bitpay, i criminali inizialmente si limitano ad osservare poi, al momento giusto, si sostituiscono al mittente o inviando alla vittima una mail di richiesta di modifica delle coordinate bancarie oppure una richiesta di denaro. L’azienda a questo punto procede al pagamento con la massima tranquillità (visto che il mittente della richiesta appare sicuro) e la truffa è fatta.
E’ possibile evitare questa frode?
Occorre garantire che azienda e partner adottino le adeguate misure di sicurezza. Questo è un aspetto tutt’altro che semplice perché coinvolge moltissimi settori dell’attività di business (come la formazione del personale, i trasparenti canali si comunicazione tra management e dipendenti, policy di comportamento, e di sicurezza ecc), piuttosto che quello squisitamente informatico. Purtroppo le debolezze informative che frequentemente continuo a riscontrare nelle aziende sono sempre le stesse come password deboli, mancanze di policy nell’utilizzo dei dispositivi mobili, mancata adozione di policy sul trattamento delle informazioni (chi, come, quando, perché), ma anche l’utilizzo di software non aggiornati (si pensi a Windows XP, Java, ecc), non adeguati (molti antivirus) o anche servizi di webmail gratuiti.
Gli strumenti giuridici
La realtà è che reagendo all’incidente informatico e alla frode (quindi correndo ai ripari soltanto in seguito all’evento) gli strumenti giuridico-processuali (civili e penali), pur esistenti, si sono dimostrati, sino ad oggi, piuttosto inadeguati e inefficaci.
Sotto il profilo del diritto penale infatti, l’azione fraudolenta tocca molteplici tipologie di reato, truffa (art. 640 c.p.), sostituzione di persona (art. 494 c.p.), frode informatica (art. 640 ter c.p. anche nell’aggravante del furto o utilizzo indebito dell’identità digitale altrui), accesso abusivo a sistema informatico (615 ter c.p.) rivelazione di segreti (622 c.p.) e altri ancora. Tuttavia, la riuscita dell’azione penale si scontra spesso contro la difficoltà di individuazione dei responsabili e contro la rapidità con cui si conclude la condotta illecita. Senza contare che sovente si pongono dei problemi non indifferenti di giurisdizione (con frodi spesso riconducibili a Paesi extra UE).
Sotto il profilo processual-civilistico la questione è ancora più complessa. Si pone infatti anche qui, in primo luogo, un problema di individuazione dei responsabili (anche se adottando precise policy è più facile capire chi e cosa è successo). Talvolta è ipotizzabile porre in essere azioni di responsabilità da custodia, responsabilità professionale fino ad arrivare alla residuale azione di illecito arricchimento ma spesso la prova in giudizio è tutt’altro che agevole.
Conclusioni
Con le difese alzate sarà sicuramente molto più facile individuare situazioni anomale. Per esempio nel caso in cui arrivi una richiesta di variazione delle coordinate bancarie basterebbe aver un protocollo di procedure interne che imponga di verificare l’anomalia utilizzando una diversa via di comunicazione, come il telefono o il fax, ecc.; o, ancora, per comunicazioni email sensibili (come i pagamenti) basterebbe ricorrere a software come PGP, criptando e firmando i messaggi.
Un atteggiamento proattivo e preventivo (sicurezza informatica ed informativa, stesura di adeguate policy ed educazione dei dipendenti) continua ad essere l’unica soluzione. "Protocolli interni" o "policy", che dir si voglia, significa mettere nero su bianco responsabilità e responsabilizzazione dei propri dipendenti e quindi salvaguardare, difendere e far crescere il proprio business.
Di recente questo attacco è stato subito da Bitpay. I criminali hanno ottenuto dal Direttore Finanziario della Società le credenziali del suo account email. Sulla base delle informazioni recuperate dall’account del Direttore finanziario, l’organizzazione criminale ha poi scritto all’Amministratore Delegato convincendolo ad effettuare svariati versamenti. Bitpay attualmente non ha recuperato nulla dei milioni persi.
Diverse sono le tipologie di attacchi che un’azienda può subire: un phishing, attacchi brute forcing, trojan, lo sfruttamento delle numerose debolezze dei dispositivi mobili, ecc. Come visto per Bitpay, i criminali inizialmente si limitano ad osservare poi, al momento giusto, si sostituiscono al mittente o inviando alla vittima una mail di richiesta di modifica delle coordinate bancarie oppure una richiesta di denaro. L’azienda a questo punto procede al pagamento con la massima tranquillità (visto che il mittente della richiesta appare sicuro) e la truffa è fatta.
E’ possibile evitare questa frode?
Occorre garantire che azienda e partner adottino le adeguate misure di sicurezza. Questo è un aspetto tutt’altro che semplice perché coinvolge moltissimi settori dell’attività di business (come la formazione del personale, i trasparenti canali si comunicazione tra management e dipendenti, policy di comportamento, e di sicurezza ecc), piuttosto che quello squisitamente informatico. Purtroppo le debolezze informative che frequentemente continuo a riscontrare nelle aziende sono sempre le stesse come password deboli, mancanze di policy nell’utilizzo dei dispositivi mobili, mancata adozione di policy sul trattamento delle informazioni (chi, come, quando, perché), ma anche l’utilizzo di software non aggiornati (si pensi a Windows XP, Java, ecc), non adeguati (molti antivirus) o anche servizi di webmail gratuiti.
Gli strumenti giuridici
La realtà è che reagendo all’incidente informatico e alla frode (quindi correndo ai ripari soltanto in seguito all’evento) gli strumenti giuridico-processuali (civili e penali), pur esistenti, si sono dimostrati, sino ad oggi, piuttosto inadeguati e inefficaci.
Sotto il profilo del diritto penale infatti, l’azione fraudolenta tocca molteplici tipologie di reato, truffa (art. 640 c.p.), sostituzione di persona (art. 494 c.p.), frode informatica (art. 640 ter c.p. anche nell’aggravante del furto o utilizzo indebito dell’identità digitale altrui), accesso abusivo a sistema informatico (615 ter c.p.) rivelazione di segreti (622 c.p.) e altri ancora. Tuttavia, la riuscita dell’azione penale si scontra spesso contro la difficoltà di individuazione dei responsabili e contro la rapidità con cui si conclude la condotta illecita. Senza contare che sovente si pongono dei problemi non indifferenti di giurisdizione (con frodi spesso riconducibili a Paesi extra UE).
Sotto il profilo processual-civilistico la questione è ancora più complessa. Si pone infatti anche qui, in primo luogo, un problema di individuazione dei responsabili (anche se adottando precise policy è più facile capire chi e cosa è successo). Talvolta è ipotizzabile porre in essere azioni di responsabilità da custodia, responsabilità professionale fino ad arrivare alla residuale azione di illecito arricchimento ma spesso la prova in giudizio è tutt’altro che agevole.
Conclusioni
Con le difese alzate sarà sicuramente molto più facile individuare situazioni anomale. Per esempio nel caso in cui arrivi una richiesta di variazione delle coordinate bancarie basterebbe aver un protocollo di procedure interne che imponga di verificare l’anomalia utilizzando una diversa via di comunicazione, come il telefono o il fax, ecc.; o, ancora, per comunicazioni email sensibili (come i pagamenti) basterebbe ricorrere a software come PGP, criptando e firmando i messaggi.
Un atteggiamento proattivo e preventivo (sicurezza informatica ed informativa, stesura di adeguate policy ed educazione dei dipendenti) continua ad essere l’unica soluzione. "Protocolli interni" o "policy", che dir si voglia, significa mettere nero su bianco responsabilità e responsabilizzazione dei propri dipendenti e quindi salvaguardare, difendere e far crescere il proprio business.
Articolo del: