Sicurezza aziendale, i dipendenti non riconoscono tentativi phishing
A un hacker bastano tre mail e 20 minuti per convincere un dipendente a cliccare su un link maligno o a inserire le credenziali di lavoro su un sito ingannevole
In un test condotto da Cefriel su 20 imprese, per un totale di 40mila dipendenti coinvolti, la maggior parte non riesce ad individuare, e quindi evitare, un tentativo di attacco phishing. La formazione dei dipendenti risulta quindi un aspetto fondamentale per le imprese che vogliono investire in sicurezza informatica.
Nell’indagine oltre il 60% dei dipendenti ha cliccato su link ingannevoli che hanno portato all’installazione di un malware o alla fuoriuscita di informazioni riservate fondamentali nel processo produttivo di un’azienda. Oltre il 75% dei lavoratori ha inserito le proprie credenziali su un portale non verificato, lasciando così libero accesso agli hacker ai sistemi interni dell’impresa. Una volta ancora il fattore umano e la scarsa attenzione e consapevolezza risulta l’arma più importante e più difficile da sconfiggere. Specie se gli imprenditori continuano a sottovalutare il pericolo e non investono nella formazione.
Bastano tre email per hackerare il sistema aziendale
Dal test di Cefriel emerge che in media a un hacker bastano tre email per ottenere un click sul link malevole. Mentre con quattro email fasulle la maggior parte degli hacker ottiene addirittura l’inserimento delle credenziali attraverso la creazione di siti Internet ingannevoli. Altro fattore molto importante è il tempo impiegato dai cyber criminali per raggirare i dipendenti. Il 50% del totale delle vittime abbocca entro i primi 20 minuti, mentre i processi e i sistemi di sicurezza aziendale necessitano almeno di un paio d’ore per contrastare queste minacce informatiche. Dall’indagine è emerso che il settore più vulnerabile è quello bancario/assicurativo. Il consiglio per ogni PMI è quello di provare l’efficienza dei propri dipendenti nel riconoscere un attacco phishing. In caso di risposte negative l’azione da compiere è solo una: formare il personale. Per un’impresa può rappresentare una perdita di tempo e denaro ma le conseguenze di un attacco hacker sono molto peggiori.
