Oltre ad essere tra le principali minacce informatiche in Europa, il phishing rappresenta un problema importante anche per le aziende dei Paesi dell'Asia Centrale. Con la crescita della trasformazione digitale, i cyber criminali sfruttano ogni opportunità per insinuarsi nelle reti aziendali, inducendo, ad esempio, gli utenti a condividere le proprie credenziali o altre informazioni sensibili.
Secondo il recente Sababa Awareness Report, sono emozioni come l'avidità, la curiosità e il desiderio di aiutare – uniti al senso di urgenza o all'autorità del mittente – che spingono le persone a commettere errori. Pertanto è necessario che le aziende, soprattutto quelle che operano in settori strategici come quello finanziario, formino i propri dipendenti per dotarli delle competenze necessarie per riconoscere, filtrare e segnalare qualsiasi comunicazione sospetta. Questo approccio consente di sfruttare il fattore umano a vantaggio dell'organizzazione, trasformando i dipendenti in un ulteriore elemento di protezione per l'azienda stessa e per i clienti. Ed è ciò che ha saputo comprendere anche Ravnaq Bank.
Sfide e obiettivi del progetto
Attiva da oltre 20 anni, Ravnaq Bank è una banca moderna ed innovativa. Ha la sua sede principale a Tashkent, in Uzbekistan, e non possiede altre filiali poiché tutte le operazioni avvengono virtualmente. È stata tra le prime banche in Uzbekistan ad aver lanciato una app per smartphone per le operazioni bancarie online e l'e-commerce, velocizzando e semplificando il business di diversi clienti in tutto il Paese, dai produttori alimentari alle organizzazioni sanitarie. Due anni fa, quando Ravnaq Bank ha rilasciato la sua app, il team IT ha condiviso le responsabilità legate alla #cybersecurity con il dipartimento dedicato alla sicurezza fisica della banca. Una volta valutati i rischi legati alla trasformazione digitale, la banca ha riconosciuto l'importanza di sensibilizzare i propri dipendenti in materia di sicurezza.
"Durante una delle attività di assesment interno abbiamo notato svariati problemi non solo tra gli utenti, che utilizzavano password elementari per accedere a computer e smartphone, ma anche tra i dipendenti della banca, che avevano una quasi totale mancanza di nozioni di #cybersecurity di base e commettevano errori nel trattamento dei dati dei clienti", ha commentato Abdukakhor Tulyaganov, Capo della Sicurezza della Banca. "Ovviamente abbiamo una policy di sicurezza che aggiorniamo ed approviamo mensilmente con il #cybersecurity Center dell'Uzbekistan, ma oltre a tenere sotto controllo la situazione con le policy, abbiamo deciso di concentrarci anche sulla formazione dei nostri specialisti".
Il progetto
Ravnaq Bank ha compreso che la formazione richiede competenze specifiche e tempo. Il team dedicato alla sicurezza ha deciso di unire le forze con il dipartimento IT e il team di formazione convincendo il Consiglio di Amministrazione ad investire in awareness affidandosi ad un partner esterno. Una delle ragioni principali che hanno fatto ricadere la scelta su Sababa Awareness è stata la combinazione dei moduli di formazione generici e specifici con simulazioni di attacchi di phishing:
Inoltre, un fattore importante nella scelta della soluzione è stata la disponibilità dei moduli di training in uzbeko e russo. Sababa Security non solo ha tradotto tutti i materiali del corso, ma ha anche adattato la piattaforma al look&feel aziendale della banca, garantendo un'esperienza formativa ottimale per tutti i dipendenti.
Test della piattaforma
Prima di procedere con il progetto, Ravnaq Bank ha deciso di testare la piattaforma su un piccolo gruppo di utenti e la POC (Proof of Concept) è durata una settimana.
"Abbiamo simulato un attacco di phishing per testare la preparazione generale dei nostri colleghi nel reagire ad un attacco informatico e i risultati hanno superato le nostre aspettative. Solo in pochi hanno compiuto azioni insicure di fronte all'e-mail di prova, mentre la maggior parte ha chiamato immediatamente il supporto tecnico per segnalare la ricezione di messaggi sospetti", ha raccontato Tulyaganov. "Il risultato della simulazione è stato positivo e, di conseguenza, abbiamo deciso di procedere con il progetto".
Risultati
Ravnaq Bank ha adottato un piano di implementazione graduale dei corsi di formazione per i dipendenti:
L'esperienza di Ravnaq Bank dimostra l'importanza di un approccio strategico verso le tecnologie innovative e la loro applicazione dal punto di vista informatico. Investendo nella formazione dei dipendenti, le aziende non solo riducono i rischi di sicurezza riconducibili all'errore umano, ma creano anche un ulteriore livello di protezione per il loro business.
"I tentativi di frode e di phishing stanno crescendo in modo esponenziale. Pertanto, siamo consapevoli della necessità di dover adottare misure complesse per affrontare i rischi cyber", ha concluso Tulyaganov. "Queste includono il monitoraggio continuo della sicurezza, un piano di risposta agli incidenti e la formazione degli utenti per ridurre al minimo gli errori umani ed aumentare la resilienza complessiva della banca".
© Copyright 2024