Per fortuna, come abbiamo visto in Se Mister X attacca un outsourcer dello scorso 3 marzo 2015 pubblicato nella rubrica AssetProtection, non sempre i tentativi di effrazione ai sistemi di sicurezza sono compiuti per scopi malevoli o comunque configurando un comportamento illecito. Possono anche avvenire, sempre a fronte di un accordo preventivo ben delineato tra le parti interessate (committente e simulante dell’attacco), con il fine di testare la robustezza del perimetro sicuro delineato in ambito logico, fisico, tecnologico.
Nelle scene proposte sono emerse due vulnerabilità principali che hanno stretta relazione tra loro. Analizziamo prima i dettagli dell’accaduto per poi formulare le conclusioni.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.La ragazza in ritardo (scena 1), anche se non conosce Mister X, non vuole risultare sgradevole. Così non gli chiede perché non espone il badge dell’organizzazione, come invece previsto dalla policy. Probabilmente non le sono stati spiegati con chiarezza due concetti fondamentali:
1) La risposta ad una mancata identificazione non deve essere sgradevole, bensì dovrebbe essere adottato un atteggiamento orientato all’accoglienza. Avrebbe potuto accompagnare Mister X in reception, risultando particolarmente cortese.
2) L’intrusione di Mister X nel perimetro sicuro avrebbe potuto produrre all’organizzazione un danno talmente elevato da non garantire più il posto di lavoro né alla ragazza né a tutti i suoi colleghi. Di certo il datore di lavoro avrebbe giudicato irrilevante un ritardo di pochi minuti a fronte della corretta applicazione di una procedura di Sicurezza.
Prima l’impiegato, poi il responsabile area (scena 2) accolgono Mister X scambiandolo per un cliente. Anche in questo caso non sono state osservate le policy sul riconoscimento delle persone. Inoltre il responsabile area non ha ben compreso che:
1) Le attività e le regole descritte nei contratti con la committenza devono essere conosciute, ben comprese e rispettate da ambo le parti, proprio per garantire il livello di sicurezza definito. Il contratto con il committente – invocato da Mister X – prevede che qualsiasi attività di due diligence in campo venga concordata preventivamente da ambo le parti. Non sarebbe stata quindi nessuna scortesia da parte del responsabile area verificare al telefono con il referente operativo del committente l’effettiva programmazione di un’attività di controllo.
2) Un eventuale incidente della sicurezza che coinvolga anche informazioni, o il nome stesso di un’organizzazione committente, può generare un grave danno correlato alla compromissione dei rapporti con l’outsourcer ed il conseguente avvio di procedimenti legali.
Ancora, la ragazza ritardataria alla quale si è avvicinato Mister X (scena 3) ha ignorato anche i principi di clean desk policy definiti:
1) In presenza di persone non esplicitamente autorizzate, il monitor deve essere posto in blocco.
2) Nell’area di lavoro non è assolutamente consentito l’utilizzo di qualsiasi supporto cartaceo, device mobile, apparecchio con funzionalità di registrazione audio e/o video. Avrebbe potuto segnalarlo a Mister X (qualora fosse stato effettivamente auditor di II parte), il quale certamente avrebbe apprezzato il livello di sicurezza e consapevolezza dell’organizzazione.
L’operatore contattato da Mister X (scena 4) ha commesso un errore nella procedura di identificazione; sotto stress, ha suggerito parte del codice cliente. In questo caso, però, l’inefficacia più grave è a carico dei sistemi che aveva a disposizione:
1) L’applicazione utilizzata per lo sblocco carta, in fase di identificazione dell’anagrafica, non avrebbe dovuto consentire all’operatore la visualizzazione del codice cliente e degli altri dati, bensì avrebbe dovuto permettere solamente l’inserimento dei dati identificativi e confermare oppure negare l’accesso alla scheda.
2) Il sistema di CRM, attraverso il quale vengono censite tutte le conversazioni con i clienti, fa scattare un alert in caso di contatti multipli in un periodo ristretto di tempo, se relativi ad una carta di credito bloccata. Di fatto dovrebbe mettere in guardia l’operatore. Peccato che graficamente questi alert abbiano la stessa rappresentazione delle comunicazioni operative, degli aggiornamenti di FAQ correlate al servizio e di altri avvisi. In questo caso è passato assolutamente inosservato confondendosi con le altre informazioni.
Per concludere, l’inefficacia delle contromisure in essere, dimostrata dalla simulazione di un attacco di social engineering, ha sicuramente evidenziato la necessità di introdurre alcuni controlli compensativi fondati sulla consapevolezza delle persone che lavorano nell’organizzazione. Ha però permesso di rilevare anche un evidente problema di interfaccia degli strumenti utilizzati; argomento, questo, correlato con gli aspetti relativi alla sostenibilità delle tecnologie. Infatti nella letteratura della psicologia focalizzata sull’approccio cognitivo sono state delineate le relazioni che intercorrono tra i comportamenti delle persone, anche durante l’interazione con i software utilizzati, e la sicurezza delle informazioni.
Il fenomeno dell’information overloading (sovraccarico cognitivo) e le sue più specifiche manifestazioni rappresentano un ambito di ricerca in corso di evoluzione, di cui il tema correlato ai falsi positivi – forse più noto e discusso in ambito di sicurezza – costituisce solamente una minima porzione.
