Parlando di sicurezza su Zoom in un precedente articolo, abbiamo accennato al rischio di leak aziendali di dati sensibili causati da disattenzione, e della necessità di tenere a mente che quando condividiamo qualcosa con altri, questo significa esporlo fisicamente ad altri occhi e orecchie, di cui potremmo essere consapevoli, o meno.
Come? Magari condividendo il nostro schermo, o una password o link d’accesso su una chat non sicura.
Questo vale anche quando appariamo in foto o in video.
Dobbiamo sempre considerare che l’obiettivo che inquadra noi inquadra anche tutto ciò che sta attorno a noi, e tra queste cose potrebbe esserci qualcosa che non vogliamo gli altri possano vedere.
Sembra una cosa scontata, eppure se è vero che l’attenzione ai dettagli è fondamentale, esistono casi di clamorose falle nella sicurezza di reti militari o grandi network che devono servire da memento, in materia di cyber security e protezione dei dati sensibili aziendali.
Eccone alcuni:
Come (non) prevenire i data leak aziendali: TV5 in Francia
Nel 2015, la pagina Facebook di TV5Monde, il corrispettivo francese di Rai International, ed il sito web furono hackerati e “defacciati“.
Per non sospendere le trasmissioni, l’emittente aveva adoperato il suo canale YouTube ma durante un’intervista dagli studi di TV5, alle spalle del giornalista che spiegava le ragioni dell’attacco hacker era apparso un foglio appeso, con sopra scritte le password di accesso al canale YouTube!
Avete presente poi quando vi si dice di non usare “password” o “passwordPayPal2” come password per uno dei vostri (tanti, lo sappiamo) account?
Bene, la password di accesso al canale YouTube di TV5Monde era: “lemotdepassedeyoutube“.
Anche se non conoscete il francese, si capisce…
Per cui, non fate come TV5Monde: scegliete con più cura le vostre password e non lasciatele in bella vista!
Il Principe Harry e le password della Royal Air Force
Nessuna storia di spionaggio con membri deviati di casa Windsor, non sia mai, ma un’altro esempio di leggerezza ai massimi livelli, quando di parla di sicurezza aziendale o addirittura nazionale.
Nel 2012 Harry Duca di Cambridge trascorse il suo servizio militare nella gloriosa RAF, come pilota di elicottero in una squadra di salvataggio in mare.
I tabloid inglesi pubblicarono un reportage di Sua Maestà assieme ai suoi colleghi in servizio, dagli uffici della sala operativa.
In una di queste foto, proprio sopra la testa di Harry compariva un foglio con password e username d’accesso al “MilFlip” (military flight information publications) della Royal Air Force, ben leggibile.
Troppo tardi la RAF si accorse dell’errore, la foto aveva già fatto il giro dei media britannici… per fortuna (pare) senza grandi conseguenze.
L’esercito USA vieta i fitness tracker ai soldati
Nel 2018 l’esercito USA proibì ai militari in servizio nelle basi in America e all’estero di usare le App per il fitness, che memorizzano e salvano su mappe come Google Maps i nostri percorsi preferiti di jogging.
Perché? Dal Pentagono si erano accorti che i dati condivisi dai soldati segnalavano involontariamente dai loro smartwatch la posizione di basi che avrebbero dovuto restare segrete, o comunque protette da occhi indiscreti.
La stessa cosa avviene per noi, quando usiamo le tante App su cui salvare e archiviare i nostri progressi: i nostri percorsi diventano pubblici, ma non solo.
Uno smartwatch che trasmette dati a un server può dire molto anche delle nostre abitudini e della nostra posizione in un dato momento. In base alla velocità, se siamo fermi o stiamo camminando, oppure se siamo in auto o in bicicletta…
Tecnicamente, con un’analisi profonda dei dati trasmessi da uno smartwatch, un hacker abile saprebbe ricostruire cosa stiamo digitando ad esempio sulla tastiera del PC, password e username comprese, o numeri di carta di credito.
Certo, non è una cosa semplice: ci sono tanti modi di usare una tastiera, ed un hacker che utilizzi un sistema per estrarre i dati che gli servono dovrebbe focalizzarsi su di noi e insegnare ad una rete neurale come noi digitiamo sulla nostra tastiera.
Un processo lungo e difficile, ma non impossibile e con tante variabili.
Gli smartwatch sono però facilmente violabili da un malware installato attraverso un’App, anche se è più difficile che possiate, involontariamente, condividere dati sensibili tramite lo smartwatch.
Vale però sempre la pena scaricare solo App sicure, e da store sicuri come Google Play, e fornire alle App solo le autorizzazioni necessarie.
Leak aziendale via social network? Attenzione!
Non è obbligatorio spiattellare su Facebook tutto sulla nostra professione e i nostri interessi, ma è pur vero che una persona potrebbe dedurre molto del nostro lavoro semplicemente verificando che lavoro facciano tendenzialmente i nostri amici.
Un “picco” di amicizie a persone accomunate dalla stessa professione o area potrebbe indicare un cambio di lavoro o azienda, e con un po’ di pazienza, su Facebook o LinkedIn si potrebbe risalire all’organigramma di un ufficio, reparto o intera azienda analizzando e incrociando dati e relazioni.
Nessun segreto aziendale, ma neppure il massimo della riservatezza.
Esistono casi però di leak aziendali e data breach potenzialmente dannosi riconducibili all’uso dei social network.
Una ricerca ripresa da Il Foglio ha dimostrato come sia possibile fare “spionaggio industriale” ad esempio monitorando i profili social di figure come stagisti e dipendenti giovani (17-24 anni, o 24-35), tipicamente molto attive su Facebook, Instagram e Snapchat.
Come? Semplicemente osservando foto e stories delle “cavie” inconsapevoli, tratte dai posti di lavoro e condivise sui social, oppure individuando gli hashtag da questi più seguiti come “#newjob #primogiorno #novità #stage“.
Come spiegato in precedenza, è possibile che una foto in ufficio immortali uno schermo di PC o un foglio appeso che riportino dati aziendali sensibili, oppure dei badge con tanto di nomi, cognomi e qualifica.
Anche fotografare troppo liberamente gli interni di un’azienda potrebbe mettere a rischio la sicurezza: dove sono le porte? Ci sono controlli? Chi se ne occupa? Chi sono i responsabili, a che piano è quel determinato ufficio? C’è un dress code particolare?
In casi come questi, la formazione dei dipendenti sui rischi di comportamenti troppo “leggeri” in azienda è importante tanto quanto curare la sicurezza informatica dei sistemi, dei cloud interni, gestionali e reti intranet.
