Inviare email sbagliate – un errore comune, ma costoso
Di Luca Maiocchi, country manager di Proofpoint Italia.
La perdita di dati sensibili è da tempo un problema per aziende di ogni dimensione, che si trovano esposte a rischi di conformità e reputazione. Dal phishing al ransomware fino alle minacce avanzate, l’elenco dei modi in cui le informazioni sensibili possono finire al di fuori delle difese aziendali è lungo e in continua crescita.
I dati non si trovano mai in un determinato luogo “da soli”, vi finiscono incidentalmente o intenzionalmente – di solito da parte dei dipendenti. Tanto che circa due terzi dei CISO riferiscono di aver perso dati a causa di un evento insider.
Anche in questo caso, i modi in cui può accadere sono molteplici. Anche gli utenti meno attenti alla sicurezza probabilmente sanno che password deboli e clic o download sbagliati rappresentano un rischio per la loro azienda.
Tuttavia, c’è un altro fattore importante dietro la perdita di dati che non riceve lo stesso livello di attenzione. Forse molti saranno sorpresi nel sapere che le email errate – messaggi legittimi inviati a destinatari sbagliati – sono il primo incidente informatico legato al GDPR segnalato all’Information Commissioner’s Office (ICO) del Regno Unito.
Questo tipo di email non solo sono molto diffuse, ma anche tradizionalmente difficili da bloccare. Errori di questo tipo non vengono solitamente segnalati dagli strumenti standard di prevenzione della perdita di dati (DLP) basati su regole, lasciando agli utenti l’unica responsabilità di garantire che siano sempre inviate ai destinatari previsti.
Purtroppo, questa linea di difesa umana non è perfettamente attrezzata per questo compito.
Cosa migliorare nella tradizionale prevenzione della perdita di dati?
Gli strumenti DLP tradizionali basati su regole svolgono egregiamente il loro compito e rappresentano una parte fondamentale di qualsiasi difesa informatica efficace, quando si tratta di proteggere i dati sensibili. Tuttavia, hanno una grossa lacuna: controllano la messaggistica solo in base a rischi predefiniti.
La DLP tradizionale è in grado di identificare se i destinatari sono inseriti in liste di rifiuto, se nel contenuto del messaggio sono presenti numeri di previdenza sociale e identificatori di pazienti, e se sono presenti tag di classificazione sui documenti allegati, ad esempio se un admin ha indicato un particolare documento come “sensibile”. Se l’email supera questi controlli, viene considerata sicura per l’invio.
Un messaggio spedito erroneamente a un destinatario legittimo (anche se non corretto per quello specifico messaggio) non farebbe scattare alcuna allerta. Un sistema basato su regole segnalerebbe questo tipo di email come legittime da inviare, ma sulla base dei dati del Data Breach Investigations Report di Verizon, che mostrano quanto l’invio errato di email sia diffuso in tutti i settori, sappiamo che non è così.
Una soluzione DLP adattiva e alimentata da intelligenza artificiale va ben oltre, non limitandosi a cercare i rischi comuni predefiniti, ma analizzando tutti gli elementi di un’email alla ricerca di qualsiasi aspetto anomalo. Oltre a verificare la presenza di comuni segnali di allarme, rileva raggruppamenti anomali di destinatari e individua e segnala parole, frasi o contenuti sensibili che non sono normalmente condivisi con i destinatari, sia nel corpo del messaggio che negli allegati. In questo modo si determina se l’invio di un’email sia sicuro. Se rileva un potenziale errore o perdita di dati sensibili, interviene per segnalare la possibile inaccuratezza del destinatario, offrire una breve spiegazione del potenziale problema e chiedere se il mittente desidera procedere o annullare.
In breve, la DLP tradizionale non è in grado di bloccare incidenti di questo tipo perché non possono essere predefiniti. È necessario affidarsi a una soluzione che eviti i potenziali disastri in tempo reale, offrendo agli utenti la possibilità di correggere gli errori e prendere decisioni corrette in materia di sicurezza. In questo modo, grazie a una cronologia completa di ogni incidente (cosa è stato inviato, a chi, e perché è stato interrotto), i team di sicurezza ottengono informazioni utili sugli errori più comuni e sui tentativi intenzionali di indirizzare i dati aziendali verso account personali o non autorizzati.