Madrid, 1 aprile 2024.- Un recente studio di Proofpoint, leader nella sicurezza informatica, rivela una statistica preoccupante. Nel 2023, il 67% dei dipendenti ha messo a rischio la propria organizzazione a causa di una scarsa conoscenza relativa alla sicurezza informatica. Ciò si è tradotto in un aumento del 25% delle sanzioni finanziarie, come multe per violazioni normative, e un aumento del 56% dei danni alla reputazione segnalati. È quindi evidente che, oltre a investire nella tecnologia, è fondamentale che le aziende si concentrino sulla sensibilizzazione e sulla responsabilizzazione dei propri collaboratori, poiché rappresentano l’anello più vulnerabile rispetto a potenziali incidenti informatici
Fanny Pérez Santiago, direttrice corporativa della Sicurezza dell’Informazione e dei Rischi Tecnologici del Gruppo Codere, sottolinea che “Codere è continuamente esposta ai rischi della sicurezza informatica, come accade in tutte le aziende. Ciò richiede che sia i dipendenti che i sistemi siano aggiornati. Per affrontare questa situazione, manteniamo un approccio preventivo e di miglioramento continuo, che rafforziamo attraverso diverse iniziative, e un Piano di sensibilizzazione sulla Sicurezza Informatica”.
Lo studio rivela inoltre che il 73% dei professionisti intervistati ha ammesso di aver compiuto azioni rischiose per le organizzazioni, come riutilizzare o condividere password, cliccare su link provenienti da mittenti sconosciuti o fornire le proprie credenziali a fonti non affidabili. Tuttavia, è incoraggiante che il 94% di coloro che hanno compiuto azioni rischiose fosse consapevole dei pericoli intrinseci, indicando che la formazione sulla sicurezza contribuisce a sensibilizzare gli utenti.
Nel 2023, il 70% delle organizzazioni è stato oggetto di attacchi BEC (Business Email Compromise o attacchi alla posta aziendale), mentre il 69% ha subito un’infezione ransomware di successo. Inoltre, gli attacchi telefonici (TOAD) continuano ad aumentare quando un dipendente ignaro chiama un call center fraudolento, fornendo le sue credenziali o concedendo l’accesso remoto ai criminali informatici. Tutto ciò evidenzia la necessità di essere attenti a nuove forme di attacco.
I rischi dell’intelligenza artificiale
A causa dell’avvento dell’intelligenza artificiale, che consente agli aggressori di creare emails più convincenti, gli attacchi di phishing contro le organizzazioni sono in aumento, tanto che il 91,1% delle organizzazioni ne ha subito uno. Le emails di phishing, generate da ChatGPT e altre IA, sono scritte in modo impeccabile e hanno una percentuale di clic dell’80%.
I criminali informatici utilizzano varie tecniche, come deepfake, file video, immagini o vocali che sono stati manipolati utilizzando software di intelligenza artificiale (AI), in modo che sembrino autentici. Un esempio recente è il caso di un’azienda di Hong Kong vittima di una truffa tramite videochiamata:
“L’insolita rapina milionaria che ha ingannato un dipendente: ha usato un filtro con la faccia del suo capo.”
<<Un’azienda di Hong Kong ha vissuto un evento terribile che ha fatto il giro del mondo: uno dei suoi dipendenti è stato vittima di una truffa tramite videochiamata in cui sono stati utilizzati deepfake e con la quale i cyber aggressori sono riusciti a impossessarsi di 25 milioni di euro.
I truffatori hanno utilizzato la tecnologia deepfake per impersonare il direttore finanziario e altri manager in una videoconferenza. Nella videoconferenza con più persone si scopre poi che erano tutti i fintii. Il truffato ha affermato di aver riconosciuto l’aspetto e il tono di voce dei colleghi nella videochiamata, per questo ha abbassato la guardia ed ha effettuato un bonifico del valore di 200 milioni di dollari di Hong Kong (23,7 milioni di euro) come da loro richiesto.>>
Situazione in Codere
In Codere, eseguiamo regolarmente campagne di phishing per informare i dipendenti sui rischi informatici. Tuttavia, i risultati mostrano un aumento del numero di persone che cadono in questo tipo di trappole. Nell’ultima campagna sono state compromesse 316 credenziali, ovvero il 7,7% dei dipendenti.
- Il numero di persone che ha aperto il collegamento email è aumentato dal 6,21% di ottobre al 14,53% di dicembre.
- Allo stesso modo, il numero di credenziali compromesse è aumentato dall’1,98% di novembre al 7,78% di dicembre.
È evidente, quindi, la necessità di continuare a realizzare campagne di formazione e sensibilizzazione su questo tema, per ridurre il rischio di questo tipo di attacchi all’interno dell’organizzazione.
Formazione per la prevenzione in Codere
Con l’obiettivo di affrontare e migliorare questa situazione, siamo lieti di annunciare il lancio di un corso obbligatorio progettato per rafforzare le conoscenze in Cybersecurity, attraverso Codere Personas Digital. Questa formazione fornirà ai nostri collaboratori gli strumenti necessari per affrontare e prevenire situazioni simili in futuro, potenziando così la sicurezza e la conoscenza in tutta l’organizzazione.
Inoltre, è stato lanciato il corso “Cyber Security for Dummies”, che contiene diverse sezioni con i rischi più rilevanti in termini di sicurezza informatica e come proteggersi da essi.
Altresì, attiveremo una formazione speciale per il personale VIP, nonché per le aree che hanno accesso a informazioni sensibili.
E per migliorare complessivamente il processo di sensibilizzazione, sulla base dei risultati delle campagne di phishing, implementeremo le seguenti azioni:
- Le persone che fanno clic o compromettono le credenziali riceverann un corso di formazione obbligatorio di un minuto.
- Allo stesso modo, l’elenco dei dipendenti caduti nella campagna verrà trasmesso alla Direzione Personas, che quindi fornirà a tali dipendenti l’accesso ad un corso più completo sul phishing, della durata di 20 minuti, in Codere Personas Digital.
- I collaboratori che compromettono le credenziali in tre campagne saranno contattati direttamente da Cybersecurity per una formazione in presenza.
- I nominativi di coloro che hanno compromesso le credenziali in tre campagne e non hanno seguito i corsi di formazione, saranno notificati a Personsas, che stabilirà le misure appropriate come stabilito nel processo disciplinare di Cybersecurity.
Con queste misure Codere non solo garantisce il rispetto delle certificazioni di cybersecurity, ma promuove anche la responsabilità individuale dei propri collaboratori nella protezione delle informazioni sensibili aziendali. L’obiettivo finale è raggiungere la partecipazione del 100% dei dipendenti del gruppo, promuovendo così una solida cultura interna della sicurezza informatica.
L’azienda si impegna a continuare ad aumentare il proprio livello di maturità nella sicurezza informatica attraverso il miglioramento continuo dei processi, l’adozione di tecnologie avanzate e programmi di formazione. In questo modo, si cerca di stabilire una strategia di sicurezza informatica completa che affronti tutti gli aspetti rilevanti e garantisca una protezione efficace.
“Apprezziamo il supporto sia da parte dell’alta dirigenza che di tutti i collaboratori, che ci consente di continuare ad aumentare il livello di maturità nella sicurezza informatica. Il nostro scopo trascende la semplice attuazione di misure o l’introduzione di nuove soluzioni e processi per mitigare i rischi. Ci troviamo di fronte alla sfida di costruire una cultura interna di consapevolezza che renda i nostri dipendenti una barriera di protezione insuperabile. In definitiva, la sicurezza dipende da ognuno di noi”, conclude il nostro direttore aziendale, Fanny Pérez.
Codere riconosce che la sicurezza dipende da ognuno di noi. Per questo è necessario l’impegno di tutti in questo sforzo congiunto per proteggere i nostri beni e mantenere l’integrità dell’azienda.
RINGRAZIAMENTI: Siamo lieti di congratularci con coloro che hanno prontamente identificato e segnalato la campagna di phishing lanciata durante il mese di febbraio: Maria Joao Caxide, Maria Torres, Angel Barrado, Ana Lipe, Alexis Vazquez, Jose Luis Santillana, Jose Luis Cerro, Ana López, Carlo Franco.
Allo stesso modo, ringraziamo José Manuel León Alegria per il suo continuo supporto nello sviluppo della formazione.
