Personale delle pulizie in un Centro Direzionale, mediante violazioni informatiche, otteneva, cito, “migliaia di ricariche telefoniche fraudolente” da spendere poi verso numeri 899 per trasformare il traffico oggetto di furto in moneta sonante pagata probabilmente dallo stesso operatore a coloro che hanno orchestrato il danno.
E’ evidente, per l’ennesima volta, come un fattore di rischio elevato per le aziende è certamente la frode perpetrata dall’interno. Per “interno” sono possibili diverse interpretazioni:
- gli insider sono personale dell’azienda che svolge mansioni compatibili con le azioni che permettono di perpetrare il reato (quindi sfruttano in modo malevole dei privilegi assegnati per compiti leciti);
- gli insider sono consulenti, interinali o altri soggetti che operano come se fossero personale dell’azienda;
- gli insider lavorano dentro l’azienda, ma con mansioni diverse o privilegi tali da dover perpetrare azioni illecite per poter mettere in atto la frode vera e propria.
Questo la dice lunga sul rapporto tra sicurezza fisica e logica, sui controlli antipermanenza e certamente sulla necessità che i meccanismi di protezione logica siano sufficientemente “deep” per rendere inutilizzabili non solo i sistemi, ma anche la rete interna ai locali e le stesse applicazioni.
Con questo ovviamente non esprimo un giudizio sulla “vittima”, che per altro è stata in grado di individuare il problema perchè si giungesse ad una conclusione. Al di là della dimensione (milioni di euro) del problema, identificare potenziali frodi avvenute utilizzando (potenti) strumenti disponibili al personale non è sempre possibile, praticamente mai è facile.
Voglio piuttosto sottolineare di nuovo l’elemento critico costituito dagli attacchi provenienti da insiders, tematica certamente spinosa e di difficile trattazione ma che in ambito sicurezza non può essere ignorata.
Per finire non concordo con le conclusioni dell’articolo citato. La frode è informatica, anche se il danno si manifesta in ambito telefonico.
0 commenti:
Posta un commento