Una porta blindata non serve a nulla se la lasciamo spalancata. Si fa un gran parlare si cybersicurezza, attacchi informatici e crittografia. E poi scopri che il 65% dei lavoratori usa ancora la stessa chiave d’accesso per tutte (tutte) le applicazioni. E soprattuto che uno su 5 è disposto a vendere la propria password aziendale. E non certo per una fortuna. Non serve essere degli hacker se molti hanno ancora accesso alla vecchia mail anche se hanno lasciato il lavoro. E se il 32% dei dipendenti condivide la proprie credenziali con i colleghi.
Le password? Valgono meno di 1000 euro
È un quadro scoraggiante quello che viene fuori dal 2016 Market Pulse Survey. In un mondo “sempre più pericoloso”, si legge nel report, le compagnie hanno capito che cedere a una violazione “non è una questione di ‘se’ ma di ‘quando’”. La consapevolezza c’è (o perlomeno cresce). Ma non è seguita dall’azione. “Mentre gli utenti pretendono maggiore sicurezza per i propri dati, sono incredibilmente inefficienti in veste di dipendenti, mettendo a rischio se stessi e la propria azienda”. Anche le imprese, però, hanno le loro colpe.
L’indagine ha preso in considerazione 1000 lavoratori di società americane, australiane, francesi, tedesche, olandesi e britanniche. Taglia media delle imprese: 50 mila dipendenti. Una crepa di un singolo dipendente, quindi, potrebbe prestare il fianco a danni ampi e consistenti. Un’ulteriore ombra arriva dalla composizione delle imprese analizzate: una su quattro si occupa di servizi finanziari, cioè dei nostri soldi.
Le cifre sono preoccupanti. Ma lo è ancora di più il fatto che stanno crescendo. Rispetto allo scorso anno, sono aumentati gli utenti che venderebbero la password (+42%), che condividono le credenziali con i colleghi (+62%) e che usano una sola password (+16%).
Insomma, per i dipendenti le password non hanno valore. Perché chi è disposto a vendere l’accesso non lo farebbe certo per una fortuna: nel 44% dei casi si cede per 1000 dollari. In alcuni ne bastano 100.
Forse le percentuali non rendono le dimensioni del problema. Meglio allora parlare di numeri e persone. Gli intervistati lavorano in imprese con, in media, 50 mila dipendenti. Significa che 10 mila utenti venderebbero la propria password e 4400 che lo farebbe per meno di mille dollari. In 32 mila usano la stessa chiave di accesso per diverse app e in 17 mila la condividono con i colleghi.
Molte pretese e poca attenzione
La disattenzione contrasta con il peso delle proprie aspettative nei confronti delle imprese. L’84% dei dipendenti è preoccupato per l’uso che la propria azienda fa delle informazioni personali. E se qualcosa dovesse andare storto, l’85% reagirebbe duramente: in un caso su 5 taglierebbe le relazioni con la società che ha consentito la violazione. Quasi tutti cercherebbero di informarsi di più. Ma con risultati scarsi. Perché il 32% degli intervistati ha affermato di essere già stato soggetto a violazioni. Seguendo la statistica del report, significa 16 mila persone. Senza che il danno abbia portato a condotte più avvedute.
Insomma: da una parte ci sono sacrosante pretese di riservatezza; dall’altra una condotta stonata (per non dire schizofrenica) che ignora le più elementari norme di sicurezza. Nonostante le violazioni abbiano già colpito.
La Market Pulse Survey suggerisce alle imprese di promuovere corsi di formazione. Basterebbe far capire ai lavoratori che “tutti sono custodi dei dati della compagnia”. In altre parole: basterebbe “trattare le informazioni aziendali come ci si aspetta che l’azienda tratti le proprie”.
Le colpe delle imprese
Anche le imprese, però, hanno le loro colpe. Per capirlo basta un dato: il 42% dei dipendenti può accedere agli account aziendali anche dopo aver lasciato quel posto di lavoro. Una falla che espone alla concorrenza o (a pensar male) alle ire di un lavoratore tradito. Senza vincolo aziendale, gli scrupoli diminuiscono. E i rischi aumentano.
Non solo: un intervistato su 4 conferma di usare il cloud anche per condividere documenti sensibili, con il preciso obiettivo di utilizzarli fuori dall’ufficio. Una condotta che, assieme alle password ballerine e alla mancanza di controlli, fa prevedere “un futuro più spaventoso di quanto immaginato fino a ora”.
Antidoti? Non ci sono pozioni magiche: il rischio zero non esiste. Ma, con poche, semplici azioni si potrebbe rendere la vita più difficile ai ladri di dati. L’identità (digitale) “è tutto”, conclude l’indagine. “E spesso è l’unica cosa che si frappone tra l’organizzazione e la prossima violazione”.
Paolo Fiore
@paolofiore