La grande minaccia che viene dal social

I social media, in effetti, sono uno dei temi emergenti in ambito security. Nel corso del 2012, l’anno dell’affermazione globale e definitiva di queste piattaforme, le minacce provenienti da attività di social networking sono aumentate del 900% rispetto ai 12 mesi precedenti. Niente di sorprendente se si pensa che nel nostro Paese, circa l’80% degli utenti abituali di Internet (ovvero oltre 22 milioni di italiani) utilizza Facebook, Twitter, Google+ o Linkedin, trascorrendo sui social media 1 minuto ogni 3 di navigazione. Lo scorso anno, il 40% degli adulti online è stato colpito da minacce informatiche, provenienti per la metà dagli ambienti social.
A innalzare il livello di rischiosità di queste reti, oltre all’utilizzo da mobile che riguarda ormai ben il 50% degli accessi, sono essenzialmente altri tre fattori: innanzitutto, queste piattaforme ispirano un infondato senso di fiducia ai propri membri; inoltre, i metodi di autenticazione sono carenti e l’identità degli utenti non è accertabile né accertata; infine, gli attacchi sono condotti per lo più a livello semantico (per esempio, tramite tecniche di social engineering e messaggi ingannevoli per indurre un individuo a rivelare involontariamente informazioni personali) e quindi sfuggono alle difese tradizionali.
Ma se i social media mettono a repentaglio l’incolumità degli utenti privati, rappresentano una minaccia ancora più grave per le aziende: secondo un’indagine svolta da Snid (Master in Social Networks Influence Design) del Politecnico di Milano, in Italia la penetrazione dei social network in ambito aziendale è circa del 50% ed è in aumento.
Oggi, un’organizzazione che utilizza i social network si espone a un ampio spettro di rischi in termini di reputazione e di responsabilità verso terzi, nonché ad attività di open source intelligence da parte dei competitor, rischiando sia la perdita di dati sensibili e credenziali di accesso sia la compromissione dei propri account o addirittura dei sistemi It.
Ciò nonostante, i progetti aziendali orientati all’utilizzo dei social media continuano a essere guidati e gestiti esclusivamente dalle funzioni di business e dal marketing, mentre il coinvolgimento dei sistemi informativi rimane minimo e la sicurezza non è ancora chiamata a svolgere attività sistematiche di prevenzione. Un problema che assume proporzioni tanto più vaste, data la mancanza di linee guida e normative che regolino la social business security, inducendo le organizzazioni a prestare poca attenzione al problema e ad abbassare i livelli di guardia.
Alla mancata presa di coscienza da parte degli utenti e delle aziende, corrisponde un’altrettanta superficialità da parte delle piattaforme social, che risultano ancora molto indietro rispetto all’adozione di forme di protezione interne al sistema. Nel 2012, infatti, gli stessi social network sono stati presi di mira, divenendo vittime di importanti attacchi che hanno causato il furto delle credenziali di milioni di utenti. Senza contare che gran parte dello spam, diminuito nel 2012 di oltre il 50% nella sua forma tradizionale, si è spostato sui social network.
Gli scenari futuri, in un mondo nel quale, secondo un recente studio Cisco, si scambieranno 134 exabyte di dati via Internet entro il 2017, soprattutto tramite device mobili connessi ad alta velocità a siti web, social network e piattaforme cloud, non lasciano ben sperare in un miglioramento sul fronte della sicurezza.