Shopping Cart

Nessun prodotto nel carrello.

Esperimento – Perché non avreste dovuto collegare questa chiavetta USB

In quest’epoca di ransomware e ATP, descrivereste la vostra azienda come sicura e non vulnerabile?

Come la maggior parte dei lettori abituali di questo blog sa, l’80% della nostra attività quotidiana si concentra sulla sicurezza. Con Avanet ci siamo affidati alle soluzioni di sicurezza Sophos fin dall’inizio e finora non ci siamo mai pentiti di questa decisione. Ci piace aiutare i clienti interessati alla sicurezza della propria azienda e convinti dei prodotti Sophos.

Per una campagna di marketing del novembre 2016, una volta abbiamo scelto come target l’esatto contrario dei nostri clienti. Abbiamo cercato di convincere i CEO della sicurezza che non ci avevano mai pensato prima o che erano convinti che la soluzione esistente avrebbe fornito una sicurezza sufficiente. Abbiamo anche detto addio al nostro precedente metodo di marketing, il marketing online, per una volta. Cosa ne è venuto fuori? Purtroppo non c’è nulla di piacevole, ed è per questo che abbiamo deciso di condividere con voi la nostra esperienza. La nostra campagna di marketing ci ha mostrato in modo spaventoso che c’è semplicemente bisogno di molta più formazione nel campo della “sicurezza in azienda” e che si può facilmente penetrare nella rete di un’azienda anche con i mezzi più semplici. Potete leggere l’intera storia qui.

Preistoria

Quando parliamo con potenziali clienti per interesse e chiediamo con discrezione informazioni sulla sicurezza informatica, sentiamo sempre la stessa risposta:

“Siamo sufficientemente protetti e una cosa del genere non può accadere in ogni caso. La nostra azienda è troppo piccola e troppo insignificante per un hacker”.

Il fatto è che non si tratta più del piccolo hacker nel seminterrato che sceglie come obiettivo solo le grandi aziende. La storia dei Trojan di crittografia, in particolare, dimostra chiaramente che chiunque abbia un computer, Internet e la posta elettronica è un bersaglio. Poi, quando segnaliamo i pericoli degli allegati alle e-mail, gli amministratori delegati sono certi che i loro dipendenti sono attenti e non farebbero di certo nulla di avventato. Cos’altro si può dire, se non: “Possiamo fare una prova una volta?”. È ovvio che nessuno vuole dare il proprio consenso a tutto ciò e quindi ci siamo posti la seguente domanda riguardo alla nostra nuova campagna di marketing:

“Come si fa a convincere della sicurezza informatica un potenziale cliente che non ci ha mai pensato o che pensa di essere adeguatamente protetto?”.

La nostra idea di marketing e come l’abbiamo realizzata

Nel pianificare la nostra campagna, una cosa era molto importante per noi. Volevamo essere “i buoni” e la nostra azione era quella di contribuire ad aumentare la consapevolezza dei pericoli odierni. Per essere il più efficace possibile, è necessaria anche una parte di sudore da paura, in modo da esorcizzare il pensiero “sono al sicuro e non mi può succedere nulla”.

Ci siamo fatti consegnare 100 chiavette USB, su ognuna delle quali abbiamo copiato un file HTML con il seguente contenuto.

A questo punto, vorrei sottolineare ancora una volta che sulla chiavetta c’era solo un innocuo file HTML. Come ho detto, non è mai stata nostra intenzione danneggiare alcuna azienda. Abbiamo poi messo la chiavetta USB in una busta con un semplice post-it con la scritta:

“Come discusso, i dati del progetto. Saluti e grazie”.

La lettera riportava solo l’indirizzo del destinatario. Abbiamo volutamente omesso il mittente per aumentare la curiosità delle persone e per aumentare la probabilità che la chiavetta USB venga inserita.

Ora ho tre domande per voi:

  1. Cosa avreste fatto se una lettera del genere fosse arrivata nella vostra cassetta delle lettere?
  2. Come si sarebbero comportati i vostri dipendenti?
  3. Quante volte pensate che sia stata inserita la chiavetta USB?

Persone arrabbiate, minacce e polizia

Eravamo ben consapevoli che questa azione era piuttosto sfacciata. La gente capirebbe le nostre “buone intenzioni” e sarebbe grata di essersela cavata con poco questa volta?

La risposta è stata chiaramente “NO”. Questo si è rivelato essere il caso tre giorni dopo, quando li abbiamo chiamati per chiedere informazioni sulla chiavetta USB. Direi che su 80 persone raggiunte, circa 5 hanno capito l’azione e l’hanno addirittura lodata per un’azione di marketing originale.

Il resto della popolazione era arrabbiato, ci vedeva come un nemico e minacciava azioni legali. Due delle nostre chiavette USB sono finite addirittura alla polizia.

65% di tasso di inserimento

Lasciamo da parte le emozioni e concentriamoci sull’impatto della nostra campagna. La cosa sconvolgente è che il 65% delle persone raggiungibili telefonicamente aveva collegato la chiavetta USB in azienda! Supponendo che non tutti abbiano ammesso di aver inserito il bastone, la media sarebbe ancora più alta.

Ciò significa che almeno 52 persone hanno compromesso la sicurezza della propria azienda inserendo una chiavetta senza sapere da chi provenisse e quali file contenesse.

Conclusione

Pur comprendendo le reazioni rabbiose di queste persone, riteniamo che a questo punto il proprio ego non abbia più spazio. Le persone dovrebbero rendersi conto che in questa situazione erano vulnerabili a un attacco tramite una stupida e semplice chiavetta USB e che sono state catturate con un metodo del 1990. Nel caso di un attacco di questo tipo, anche il miglior firewall del mondo non sarebbe stato in grado di fare nulla, perché la chiavetta è stata virtualmente fatta passare di nascosto attraverso i controlli di sicurezza. Alla fine, il pericolo maggiore è stato probabilmente la persona, perché senza di lei la chiavetta USB non sarebbe mai entrata nella rete. Formare sufficientemente il personale e segnalare questi pericoli è una parte importante della sicurezza informatica.

La nostra campagna di marketing ha dimostrato che la protezione degli endpoint deve essere installata su ogni cliente di un’azienda. Solo una buona protezione degli endpoint, che agisce in base al comportamento e non si affida alle firme, è la misura di tutte le cose al giorno d’oggi. Chiunque cerchi un prodotto di questo tipo da Sophos, prima o poi si troverà con Sophos Central . Consigliamo sempre il dream team Sophos Central Endpoint + Intercept X come attrezzatura di base. Se volete seguire la nostra raccomandazione, potete acquistare immediatamente Sophos Central Intercept X Advanced dove entrambi i prodotti sono inclusi.

Anche se non abbiamo ottenuto nuovi contratti grazie a questa campagna, dal nostro punto di vista non è stata del tutto vana. Siamo convinti che questa azione farà sì che la prossima volta alcune persone agiscano con maggiore cautela ed esitino prima di inserire una chiavetta USB nel proprio computer.

David
David

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.