Il National Institute of Standards and Technology (NIST) ha pubblicato il suo ultimo blog della serie dedicata al mese di sensibilizzazione sulla sicurezza informatica 2023. Questa settimana, il NIST ha incontrato due esperti del suo Visualization and Usability Group, Shanée Dawkins e Jody Jacobs, per discutere dettagliatamente dell’importanza del riconoscere e segnalare il phishing come comportamento nella difesa contro le minacce informatiche.
Il legame tra il lavoro del NIST e l’importanza di riconoscere e segnalare il phishing
Il lavoro del NIST si concentra sull’utente come ultima linea di difesa nella lotta contro il phishing. Mentre altri programmi di ricerca si concentrano sulla tecnologia per filtrare le e-mail di phishing, il NIST dedica la sua ricerca alle persone come ultimo baluardo di difesa se un’e-mail di phishing riesce a sfuggire ai filtri e sulla loro capacità o incapacità di riconoscere il phishing, esaminando le circostanze che le rendono suscettibili alle minacce di phishing. Questo approccio unico è finalizzato a fornire alle organizzazioni metriche significative per formare efficacemente i propri dipendenti a riconoscere e segnalare le e-mail di phishing.
Molte organizzazioni utilizzano programmi di formazione integrati sulla consapevolezza del phishing per valutare i rischi per la sicurezza legati al phishing, inviando e-mail di phishing simulate ai propri dipendenti per valutare la frequenza con cui i dipendenti fanno clic o segnalano il phishing. Tuttavia, i risultati del NIST mostrano che i tassi di clic, ossia se le persone fanno clic o meno su collegamenti e allegati, non forniscono un quadro completo per comprendere i comportamenti del personale. Il NIST ha creato la NIST Phish Scale, una metrica che fornisce all’utente il contesto relativo ai comportamenti di clic. La Phish Scale fornisce una metrica della difficoltà di rilevamento del phishing umano che consente alle organizzazioni di adattare meglio i propri programmi di formazione sulla consapevolezza del phishing affinché il personale riconosca e segnali il phishing in modo più efficace.
L’importanza del riconoscimento e della segnalazione del phishing
Le minacce di phishing colpiscono organizzazioni di tutte le dimensioni e settori. Le statistiche mostrano un aumento degli attacchi di phishing, con conseguenze finanziarie significative. Nel 2022 il 34% degli utenti ha fatto qualcosa che ha messo a rischio se stessi o la propria organizzazione, come fare clic su un collegamento dannoso. Nel quarto trimestre del 2022 sono stati osservati 1.350.037 attacchi di phishing totali, dato in leggero aumento rispetto al terzo trimestre, quando sono stati registrati 1.270.883 attacchi di phishing totali, un record per l’epoca e il trimestre peggiore per il phishing.
Le e-mail di phishing sono progettate per ingannare gli utenti ed estrarre informazioni sensibili personali come informazioni sul conto bancario o nomi utente e password. Il riconoscimento e la segnalazione del phishing sono essenziali per prevenire la compromissione della sicurezza e della privacy sia a livello individuale che aziendale. I programmi di formazione sulla consapevolezza del phishing svolgono un ruolo chiave nell’aiutare i dipendenti a difendersi da queste minacce.
Futuro del Lavoro del NIST in cybersecurity
Il team di sicurezza informatica incentrato sull’uomo continua a condurre ricerche sulla suscettibilità umana al phishing e si concentra sulla creazione di strumenti che aiutino le organizzazioni a combattere il phishing in modo più efficace. La ricerca si concentra su come le caratteristiche delle e-mail influenzano le decisioni delle persone di cliccare o segnalare un’e-mail di phishing. Il NIST rimane impegnato a migliorare la sicurezza informatica attraverso la comprensione del comportamento umano e la fornitura di strumenti pratici per la difesa.
Cybersecurity e impegno personale
Per Shanée e Jody, la sicurezza informatica va oltre il lavoro, è una questione personale. Proteggere le persone, specialmente bambini e anziani, è una priorità. I bambini devono imparare a non condividere mai i propri nomi utente e password per gli account scolastici, mentre gli adulti che invecchiano necessitano di orientamenti per distinguere le e-mail legittime da quelle che richiedono un maggiore controllo. Alcuni familiari sono vicini a cadere vittime di tentativi di phishing, come e-mail che chiedono buoni regalo o informazioni bancarie.
Le minacce di phishing possono manifestarsi attraverso la posta elettronica professionale, la posta personale, i messaggi di testo e persino le chiamate telefoniche. La missione di Shanée e Jody e del NIST è quella di aiutare le persone a identificare queste minacce di phishing, fornendo loro le conoscenze, le competenze e gli strumenti per navigare in modo sicuro nel mondo digitale. La consapevolezza dell’igiene informatica è fondamentale, sia per evitare che i bambini condividano informazioni sensibili che per aiutare gli adulti più anziani a riconoscere minacce come il phishing.
In sintesi, la serie di blog del NIST per il Cybersecurity Awareness Month 2023 ha fornito preziose risorse per rafforzare la sicurezza informatica. L’ultimo articolo fornisce informazioni cruciali sul riconoscimento e la segnalazione del phishing, sottolineando il ruolo cruciale svolto dal NIST nell’assicurare la protezione delle persone e delle organizzazioni contro le minacce informatiche.
