Polizia di New York: una lezione su sicurezza e lotta al cybercrimine

Durante la Conferenza RSA del 2020, l’ex Direttore del Dipartimento della Polizia di New York dedicato alle indagini di cyber-intelligence ci ha parlato di come il corpo di polizia abbia ora maggiore consapevolezza su tematiche di sicurezza informatica.

Stavo dando un’occhiata agli interventi in programma per la Conferenza RSA 2020 e uno in particolare ha catturato la mia attenzione, dal titolo “Tackling cyber-enabled crime at scale: Moving enforcement forward (Gestione dei crimini informatici: un passo in avanti per le forze dell’ordine). Per chi è appassionato di Law & Order e anche di sicurezza informatica come me, ho subito pensato che si trattasse di un versione reale di una qualche serie TV di bassa lega ambientata nella Dipartimento della Polizia di New York (NYPD)  

Nick Selby, che ha tenuto la conferenza, ha una carriera importante alle spalleLa città di New York, si sa, ha un bel problema con il cybercrimine, un problema a nove cifre. Sembra che tutti, dai nativi digitali ai baby boomer, siano stati vittime dei cybercriminali per via di truffe telefonicheransomware, uno zio nigeriano che ha bisogno urgente di un bonifico etc.  

La maggior parte delle volte, in casi come questi le vittime chiamano la Polizia di New YorkTuttavia, ogniqualvolta che un poliziotto rispondeva a una chiamata che avesse a che fare con termini tecnici come Bitcoin, la prima risposta era qualcosa del tipo “ah, non è affar nostro” proprio perché si trattava di crimini informaticiNella mappa mentale di detective e poliziotti, ad occuparsi di questi affari (come il sequestro dei dati presenti nei computer dei governi locali) c’erano altri organismi. Di solito consigliavano alle vittime di rivolgersi all’FBI e niente di più.  

L’intera presentazione mi ha coinvolto perché si è parlato di tutto ciò che lo staff ha fatto per combattere il cybercrimine e per aiutare le vittime a riavere indietro i loro soldi. Vi consiglio di vedere l’intervento integrale qui:  

In ogni caso, la nozione di base della presentazione era: Selby doveva aiutare a cambiare questa cultura e formare gli agenti di polizia affinché si preoccupassero di più della sicurezza informatica.  

Chiunque abbia condotto una formazione sulla sicurezza, sicuramente si è imbattuto in commenti o domande di questo tipo:  

Lavoro in Contabilità, perché dovrei preoccuparmi? 

Lavoro per Front Desk, perché dovrei preoccuparmi? 

Lavoro per Service desk, ne so qualcosa di sicurezza!  

E il mio commento preferito, che ho ascoltate non so quante volte?  

Pfff, formazione sulla sicurezza informatica DI NUOVO?  

Tutti ci siamo passati, dover fare qualcosa che non ci sembra necessaria per la sicurezza informatica sul posto di lavoro. Il problema, però, è che la cybersecurity ha a che fare praticamente con tutto. Sul serio. Prendiamo le divisioni aziendali presenti in un normale posto di lavoro:  

  • Reception — La prima persona che vedete e che vi fa entrare in un ufficio. Chi si occupa del lavoro di recepcionist o di segretario in un posto di lavoro, di solito fornisce anche le credenziali d’accesso alla rete Wi-Fi aziendale. Tenete in considerazione il ruolo di chi si trova alla reception quando dovete proteggere le aziende dai cybercriminali che vogliono collegare hardware dannosi alla vostra rete aziendale;
  • Service desk — Risolvono problemi che hanno a che fare con i computer e i dispositivi per amministratori. Chi può darvi una chiavetta USB nel caso aveste bisogno di spostare una presentazione PowerPoint da un computer a un altro? Senza il personale IT, chiunque potrebbe ricorrere a tutte le USB abbandonate in ufficio. 

Capite dove voglio arrivare? Tutti i dipendenti, tecnicamente parlando, sono vettori di attacco ma di solito non ci si pensa.  

Cosa possiamo imparare dalla Polizia di New York?

A differenza di chi si occupa di formazione in azienda, la Polizia di New York si è occupata della formazione di agenti di polizia, anche se le sfide da affrontare erano molto simili. Di conseguenza, lo sono anche le linee guida principali:  

La semplicità è tutto – Forse il fattore più importante del successo dello staff della polizia è che la formazione sulla cybersecurity andava dritta al punto. Credo sia importante limitare a meno di 20il numero di slide durante le sessioni di formazioneQuando state preparando il materiale per il vostro staff, assicuratevi che gli obiettivi siano precisi affinché si capisca bene cosa fare e perché è così importante;   

Le persone al centro  Un altra mossa vincente di Selby e del suo staff è l’aver proposto una app che aiutasse i poliziotti a identificare i crimini informatici, facilitando così le indagini. Con questo non voglio dire che dobbiate creare un’app per la vostra azienda. In realtà, vi sprono a trovare modi per invogliare i dipendenti a mettere in pratica ciò che hanno appreso durante la formazione. Se vedono qualcosa di sospetto, cosa devono fare per informare? Se ricevono un’e-mail di phishing, cosa bisogna fare affinché venga bloccato dal resto dell’azienda o chi dovrebbero mettere al corrente?  

Mostrare i risultati – La polizia di New York prende nota di qualsiasi cosa e non sono stati da meno neanche in questo casocosì hanno potuto capire in che modo il loro lavoro nel campo del cybercrimine stesse aiutando nelle indagini sui crimini avvenuti in città. In questo modo hanno anche compreso l’effettiva portata del problema e quanto fosse importante il loro ruolo nella lotta al cybercrimineI vostri dipendenti forse non affronteranno dei criminali ma potreste far capire loro quanto possa aiutare conoscere certe tematiche. Ad esempio, 9 attacchi ransomware sabotati o 200 e-mail di phishing segnalate all’anno sono dei buoni dati da condividere negli aggiornamenti periodici sull’argomento.  

Non è detto che la formazione debba essere per forza costosa o estremamente tecnica. Già la sola condivisione dell’expertise interno può portare a grandi cambiamenti nella vostra azienda.  

Anche nel caso in cui una formazione in cybersecurity non rientri nei vostri programmi o budget aziendali di quest’anno, ci siamo noi a darvi una mano. Kaspersky offre una serie di corsi di formazione gratuiti che potete condividere con i vostri dipendenti. Sono un ottimo punto di partenza per generare maggiore consapevolezza sul tematiche di sicurezza informatica.   

Consigli