Come una simulazione di vishing ha trasformato la cultura della sicurezza informatica nel dipartimento del Cher
Intervista ad Aurélien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher.
Obiettivo: mettere alla prova la vigilanza nei confronti del vishing… e dimostrare che «non succede solo agli altri».
Quando gli viene chiesto perché lanciare una campagna di simulazione, Aurélien è chiaro:
«Il nostro obiettivo principale era quello di verificare la prontezza dei nostri collaboratori di fronte a un tentativo di vishing (chiamata fraudolenta), in particolare uno scenario di falso ordine di bonifico internazionale (FOVI).»
Aurélien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
L'idea: valutare la capacità dei team di riconoscere un tentativo di ingegneria sociale al telefono e via e-mail e, soprattutto, verificare che adottino le giuste misure.
Ma oltre a questo obiettivo operativo, c'era anche un messaggio da trasmettere: gli attacchi non prendono di mira solo gli altri, ed è molto più facile di quanto si creda ingannare qualcuno al telefono.
La messinscena: un falso agente, un numero di telefono contraffatto e una trama molto credibile
Per realizzare l'iniziativa, il dipartimento si è avvalso della soluzione di Hucency (denominata «Avant de Cliquer» al momento del lancio).
Lo scenario era semplice sulla carta, ma incredibilmente realistico.
Un falso funzionario, che si presentava come un nuovo collaboratore del servizio di esecuzione del bilancio, chiamava i funzionari presi di mira per chiedere loro di aggiornare le coordinate bancarie tramite un link inviato via e-mail, utilizzando un dominio quasi identico a quello ufficiale.
«Lo scenario era realistico perché avevamo falsificato un numero di telefono del servizio di esecuzione del bilancio, ma senza conseguenze tecniche: non era stata apportata alcuna modifica effettiva.»
Aurelien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
Questa simulazione rientrava in un processo già in atto all'interno dell'organizzazione, il che ne rafforzava la credibilità.
Un punto fondamentale del progetto: il sostegno incondizionato della Direzione, e in particolare della Direttrice Finanziaria, che ha permesso di superare tutti gli ostacoli.
Durante l'esercitazione: stress, diffidenza… e qualche clic
La simulazione si è svolta nell'arco di quattro giorni, un giorno in meno del previsto. Ben presto sono emersi comportamenti contrastanti:
- Alcuni collaboratori si accorgono subito della truffa e riattaccano;
- Altri continuano la conversazione e alla fine cliccano sul link.
Una lezione indimenticabile:
«Statisticamente, i primi giocatori sono stati quelli che si sono fatti ingannare più facilmente. In seguito, il passaparola e la comunicazione autonoma hanno aumentato il livello di vigilanza.»
Aurelien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
Man mano che la voce si diffondeva all'interno dell'azienda, i team diventavano più diffidenti e più attenti.
Dopo l'esercizio: riflessione e discussioni spontanee
L'esercizio ha suscitato numerose discussioni spontanee all'interno dei gruppi.
La presa di coscienza è stata immediata: sì, anche uno scenario semplice può sembrare credibile, soprattutto quando fa leva sui codici interni.
Le reazioni sono state in alcuni casi molto intense: agenti stressati, convinti di aver commesso un vero errore, che è stato necessario rassicurare… senza rivelare troppo presto che si trattava di un test.
La direzione ha accolto con favore questa iniziativa, che ha messo in luce alcuni aspetti da migliorare in materia di formazione e vigilanza.
Le lezioni: nulla può sostituire la formazione, la realtà e il contatto umano
Cosa emerge da questa esperienza? Che la sensibilizzazione non è mai scontata.
«L'esercitazione ha dimostrato che anche scenari semplici possono ingannare gli utenti se il contesto appare credibile. Ha inoltre dimostrato che questo tipo di esercitazione non è impossibile da realizzare, nonostante i timori relativi ai rischi psicosociali.»
Aurelien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
Un punto fondamentale: spiegare il test in presenza, con trasparenza e un pizzico di umorismo, permette di trasformarlo in un’occasione formativa piuttosto che in una fonte di stress.
Hucency: una collaborazione «professionale, reattiva e formativa»
Come riassumere la collaborazione con Hucency? Il responsabile del progetto non usa mezzi termini:
«Hucency è riuscita ad adattare la sceneggiatura alle nostre esigenze tecniche e giuridiche, garantendo al contempo un elevato livello di realismo. Le telefonate sono risultate molto realistiche, fino alla riproduzione dell'ambiente sonoro.»
Aurelien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
Già soddisfatti delle campagne sul phishing e sull’USB dropping (phishing tramite chiavetta USB), la decisione di rinnovare la collaborazione è venuta spontanea.
«Oggi li sceglierei per la loro competenza in materia di ingegneria sociale, la loro capacità di creare scenari realistici e il loro approccio didattico. La loro soluzione consente di misurare concretamente le reazioni degli utenti.»
Aurelien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
Un consiglio per i responsabili IT e i responsabili della sicurezza informatica?
«Abbiate il coraggio di fare il grande passo. Queste simulazioni sono strumenti efficaci per individuare i comportamenti a rischio. Consentono di avviare discussioni concrete e di migliorare le prassi interne.»
Aurelien LALEVEE, responsabile della sicurezza informatica del dipartimento del Cher
E adesso?
Il dipartimento non intende fermarsi qui.
Sono già state avviate nuove campagne simulate: phishing, smishing (attacchi tramite SMS) e altri scenari diversi, per continuare a rafforzare la cultura della sicurezza informatica.
