Human Risk e gestione del rischio insider: Il caso Rippling-Deel

Gestione del rischio umano

Le organizzazioni riconoscono sempre più che le persone - dipendenti, clienti e stakeholder - sono sia la loro più grande risorsa che la loro più grande vulnerabilità. Questo ha reso la gestione del rischio umano il tema più caldo della cybersecurity.

L'errore umano è una delle cause principali delle violazioni dei dati e dei cyberattacchi. Con l'aumento del lavoro a distanza e della trasformazione digitale, la gestione dei rischi legati alle persone nella cybersecurity è diventata fondamentale. Le aziende sono sotto pressione per garantire ambienti di lavoro sicuri e conformi, soprattutto in settori come quello finanziario e sanitario che utilizzano e conservano dati critici dei clienti - dati che devono essere protetti per evitare di violare le normative e danneggiare la fiducia del pubblico. La gestione del rischio umano aiuta a mitigare le violazioni, a garantire la conformità e a ridurre le responsabilità legali e i danni alla reputazione.

Le azioni dei dipendenti, sia online che offline, possono avere un impatto significativo sulla sicurezza dell'azienda e sulla sua reputazione. La gestione dei rischi umani, come la divulgazione accidentale delle credenziali di accesso, i clic su link dannosi, la visita di siti web dannosi e l'uso improprio degli strumenti GenAI, è essenziale per mantenere la sicurezza.

Ecco perché le organizzazioni si concentrano molto sulla gestione del rischio umano. Gli utenti che cadono vittime di e-mail di phishing, che cliccano su link che scaricano malware, che inseriscono informazioni proprietarie in strumenti come ChatGPT o che interagiscono inconsapevolmente con i criminali informatici sugli strumenti di collaborazione sono tutti incidenti che i team di sicurezza stanno lavorando con gli utenti attraverso programmi di formazione per evitare. Infatti, il recente rapporto The State of Human Risk 2025 di Mimecast ha citato che in un sondaggio condotto su 1.100 professionisti dell'IT e della sicurezza, l'87% degli intervistati ha dichiarato che la propria organizzazione addestra i propri dipendenti a individuare i cyberattacchi almeno una volta al trimestre. 

Gestione del rischio insider

Ma cosa succede quando l'utente non fa queste cose per caso? Che cosa succede quando un utente che lei ritiene essere un membro prezioso del suo team aziendale - un utente che lei crede stia genuinamente cercando di fare un buon lavoro e di comportarsi bene con il suo datore di lavoro - si rivela invece un attore malintenzionato? A volte questo può accadere quando un dipendente decide di lasciare l'azienda o viene a sapere che potrebbe essere presto licenziato. Può anche accadere che un dipendente venga avvicinato da un criminale informatico e gli venga offerto qualcosa di valore per aiutarlo a violare l'azienda in cui lavora. Secondo il recente rapporto 2024 Insider Threat di Cybersecurity Insiders, l'83% delle organizzazioni ha riportato almeno un attacco insider nell'ultimo anno.

E all'estremo, cosa succede quando il dipendente è in realtà una talpa piazzata dalla concorrenza per violare la vostra sicurezza e raccogliere i vostri segreti commerciali e altre informazioni proprietarie? Molti team di sicurezza lo considerano impossibile, qualcosa che accade solo nei film, qualcosa che non accadrebbe mai a loro nel corso della sicurezza della loro organizzazione, ma di recente ho evidenziato un caso del genere in un articolo per HR Executive.

Il caso dell'anguilla increspata

Per riassumere la storia, il fornitore di servizi HR Rippling ha intentato una causa contro il concorrente Deel, sostenendo che l'azienda ha piazzato un dipendente disonesto nell'ufficio di Dublino di Rippling. Secondo la causa:

• La talpa Deel ha utilizzato il proprio accesso all'istanza Slack di Rippling per accedere a informazioni proprietarie dell'azienda, tra cui segreti commerciali, lead di vendita e altre proprietà intellettuali nel corso di diversi mesi.
• Rippling ha smascherato lo schema utilizzando una trappola "honeypot" attentamente orchestrata all'interno di Slack.
• Rippling ha identificato un'attività sospetta dopo che il dipendente piazzato da Deel ha iniziato a cercare su Slack menzioni di concorrenti, informazioni sensibili sui pagamenti e offerte di vendita riservate.
• Deel ha utilizzato queste informazioni a suo vantaggio fino a quando non è stata intrapresa un'azione legale.

Il caso Rippling-Deel dimostra quanto facilmente la comoda comunicazione di Slack possa essere trasformata in un'arma e in una responsabilità nelle mani sbagliate. Queste vulnerabilità richiedono un impegno da parte dei team di sicurezza per misure di sicurezza proattive, tra cui il monitoraggio della messaggistica interna insieme alle e-mail. Queste misure aiutano i professionisti della sicurezza a garantire che i dati siano condivisi in modo corretto per ridurre al minimo l'esposizione ai rischi.

Sebbene sia uno strumento meraviglioso per aiutare i team a collaborare, Slack è un obiettivo molto attraente per gli attori malintenzionati. Gli archivi di dati centralizzati e l'estensibilità della sua API aperta rendono Slack altamente vulnerabile allo sfruttamento, e ogni spazio di lavoro Slack contiene beni preziosi, tra cui proprietà intellettuale, documenti finanziari e discussioni strategiche, rendendolo un obiettivo primario per le minacce interne e le violazioni esterne. Senza protocolli di sicurezza solidi, le organizzazioni rischiano di esporre i loro dati sensibili a violazioni catastrofiche.

Cosa possono fare i team di sicurezza?

Per bloccare questi tipi di attacchi - dal semplice ma pericoloso errore di un dipendente fino alla talpa piazzata da un concorrente - i team di sicurezza devono monitorare diligentemente le comunicazioni dei dipendenti per vari motivi, come una violazione dei dati, un evento di minaccia interna, un reclamo delle risorse umane o una violazione legale.

Questo può essere realizzato implementando uno strumento di indagine avanzato come Mimecast Aware. Aware è progettato per migliorare la sicurezza, la conformità e la gestione dei dati all'interno di strumenti di collaborazione come Slack, Microsoft Teams e Zoom. Affronta rischi come la perdita di dati, la non conformità e le minacce alla sicurezza, fornendo:

• Visibilità completa grazie alla raccolta, all'elaborazione e alla conservazione centralizzata dei dati di collaborazione.
• Gestione dei dati semplificata, garantendo la conformità alle politiche e alle normative e gestendo i dati in modo sicuro.
• Rilevamento con intelligenza artificiale, identificando le minacce, le violazioni dei criteri e la condivisione non autorizzata dei dati con regole di rilevamento personalizzate.
• Risposta agli incidenti attraverso azioni automatizzate come la rielaborazione, la messa in quarantena o la segnalazione di contenuti sospetti.
• Attenuazione del rischio grazie al monitoraggio dei rischi emergenti, utilizzando modelli AI e NLP per monitorare comportamenti, sentimenti e tendenze.
• Integrazione perfetta con gli stack tecnologici esistenti, offrendo un'implementazione rapida e una gestione efficiente dei rischi per gli ambienti di collaborazione moderni.

La linea di fondo

Il caso Rippling-Deel mette in evidenza come le piattaforme di comunicazione apparentemente sicure possano in realtà esporre punti deboli critici. Queste piattaforme, come Slack, devono essere salvaguardate in modo proattivo e monitorate alla ricerca di attività sospette. Per saperne di più su come Mimecast può aiutarla a velocizzare le indagini sul suo patrimonio digitale.