“Key Man (Cyber) Risk”: quando i vertici aziendali finiscono nel mirino degli hacker

Ad oggi si sente molto parlare dei rischi che Aziende ed Organizzazioni di ogni ambito incorrono in rete, di come le infrastrutture IT, le applicazioni ed i servizi erogati nel contesto digitale subiscano regolarmente attacchi di varia natura, che causano ingenti danni operativi, economici e reputazionali.

Ciò su cui invece si pone poco l’attenzione è il rischio a cui sono soggette tutte le persone fisiche, che al pari delle aziende hanno subito negli ultimi decenni una radicale Digitalizzazione, intesa come nostra presenza pubblica (basti pensare ai social network), il modo in cui usufruiamo di beni e servizi (gli acquisti tramite E-commerce e l’operatività tramite Home-Banking) o il modo in cui lavoriamo in smart-working dalle nostre postazioni casalinghe.

Tutti questi recenti cambiamenti hanno portato all’esposizione di una “superficie d’attacco” personale che ci rende vulnerabili ad una serie di minacce: Truffe e relativi danni economici, Furto di dati sensibili ed eventuali richieste di riscatto, Furto dell’identità con conseguenti danni reputazionali, solo per nominarne alcuni.

Ad essere messi a rischio sono dunque i propri beni ed il proprio benestare.  Nel momento però in cui il bersaglio di questi attacchi, sono soggetti che ricoprono una posizione importante all’interno di un’organizzazione, anche l’organizzazione stessa, per estensione, corre un pericolo: ogni socio o dipendente può diventare un potenziale vettore d’attacco alle strutture aziendali.

I vertici delle aziende in particolare, i “personaggi chiave”, sono tra i principali obiettivi dei cyber-criminali che  perpetuano attacchi “BEC” (Business Email Compromise: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-email-compromise) o il cosiddetto “Whaling” (Una forma mirata di Phishing: https://www.ncsc.gov.uk/guidance/whaling-how-it-works-and-what-your-organisation-can-do-about-it).

I C-Level sono tra le persone con maggior potere e che possono maggiormente influenzare l’operatività di un’azienda, motivo per cui vengono presi di mira con l’obiettivo di ottenere un primo vettore di accesso ai dati e alle infrastrutture delle organizzazioni; ne vengono raccolte e collezionate le informazioni personali disponibili sulla rete per poterne impersonare il ruolo e trarre in inganno i collaboratori, o ne viene manipolata la reputazione online per poter influenzare indirettamente la fiducia riposta nelle rispettive aziende.

Oltre ai rischi di natura “informatica”, è importante non dimenticare che il vertice di un’azienda potrebbe tranquillamente avere un’influenza tale da poter essere soggetto a rischi di natura anche “fisica”: molte delle informazioni disponibili in rete possono facilmente permettere di risalire a posizioni geografiche e collegamenti con soci, amici e familiari vicini al bersaglio.

Queste ed altre insidie sono difficili da indirizzare e prevenire, e risulta ancora più complesso agire in risposta ad un attacco una volta subito, per arginare il danno arrecato.

La consapevolezza è ovviamente il primo livello di difesa a disposizione. Ma essere coscienti della propria superficie d’attacco, ossia l’insieme di tutte le informazioni e i dati che sono disponibili online su di noi non è cosa facile. Specie se si considera che le suddette informazioni potrebbero essere state caricate non solo da noi, ma anche da soggetti terzi (in maniera legittima o meno), e potenzialmente su piattaforme a noi sconosciute, e spesso la natura e l’importanza stessa di questi dati potrebbe non essere evidente.

Molte di queste informazioni passano inosservate ad un occhio poco attento, o potrebbero addirittura non essere facilmente reperibili (basti pensare che il “Dark Web”, ossia quella parte della rete non direttamente disponibile tramite i consueti motori di ricerca, costituisce la maggior parte dell’Internet che conosciamo), ma questo non costituisce certamente un ostacolo per un Attore Malevolo attento ed allenato.

Come se non bastasse, anche una volta venuti a conoscenza di tutto quanto ricollegabile a noi disponibile sulla rete, tenere questo importante volume di informazioni monitorato, analizzarlo alla ricerca di potenziali minacce e stabilire come meglio indirizzare ognuna di queste e come reagire è un’impresa ancor più ardua.

I servizi “Key Man Risk” di Alfa Group consentono di automatizzare gran parte di queste attività, fornendo una piattaforma dedicata tramite cui poter tenere facilmente monitorata la propria superficie d’attacco e ricevere delle segnalazioni puntuali ogni qual volta un potenziale rischio si presenti in rete e minacci la sfera personale e professionale dei propri clienti.

Per ogni segnalazione, i nostri analisti sono a disposizione per supportare al meglio e rispondere ad ognuna di queste nella maniera più adeguata.

Iscriviti alla nostra newsletter!