Potremmo pensare che gli hacker si dividano tra adolescenti incappucciati o mafie finanziate dallo Stato, ma il 65% delle minacce al primo stadio vede coinvolte figure interne che fanno un uso improprio di accessi legittimi per danneggiare il proprio datore di lavoro, più o meno consapevolmente. Lo sostiene Darktrace, azienda leader nella tecnologia di intelligenza artificiale per la cyber defense, nella nuova edizione del suo Threat Report.
La difficoltà di identificare una minaccia interna può comportare che questa passi inosservata per lunghi periodi di tempo, talvolta anni. Che si copino e vendano informazioni sanitarie, inviando inavvertitamente file sensibili agli account personali, o si faccia insider trading, queste attività possono danneggiare gradualmente e a lungo termine la competitività aziendale.
Nel rumore delle attività aziendali quotidiane, i comportamenti potenzialmente dannosi degli interni sono difficili da individuare. La maggior parte delle strategie corporate si concentra invece sulla prevenzione. I programmi di formazione e consapevolezza promuovono buone pratiche di cyber security, e i dipendenti sono incoraggiati a riferire i comportamenti sospetti. Questi programmi riducono il rischio, ma non prendono in considerazione il personale che intende consapevolmente causare danno. E, cosa fondamentale, non si può garantire che i propri impiegati agiranno nel modo più corretto il 100% delle volte.
In questa categoria di tipologie di minaccia è compreso un piccolo gruppo di utenti che costituiscono un pericolo ancora maggiore per le aziende, essendo spesso soggetti a minore esame: gli utenti con accesso privilegiato. Questi impiegati esperti di tecnologia operano sotto un manto di legittimità e know-how che copre le loro tracce per nascondere la loro attività quando agiscono deliberatamente.
Quindi, chi controlla i controllori? E come si capisce quando un amico diventa nemico? L’IA è un alleato chiave nella lotta contro le minacce interne, perché è in grado di collegare tra loro più tracce sottili di un’attività, sul lungo e breve periodo – cosa che i team umani non possono fare, per via dei troppi dati e complessità da gestire. L’IA può rilevare gli scostamenti che risaltano, seppur lievemente, in paragone con il comportamento normale di ogni dispositivo, utente o rete.
Nessuna organizzazione può eliminare la minaccia interna, ma questa deve essere gestita se le aziende vogliono proteggere i propri “gioielli della corona” nel lungo periodo.