Viaggiando in treno, soprattutto nei vagoni di prima classe, è facile imbattersi in passeggeri dediti al lavoro sul computer o su altri dispositivi multimediali, oppure impegnati in discussioni di lavoro con i colleghi, o ancora, nel peggiore dei casi, capaci di passare il viaggio al telefono parlando con la stessa tranquillità che adotterebbero in privato, nell’intimità e nella sicurezza del proprio ufficio.
Sono proprio i passeggeri che appartengono a quest’ultima categoria i più vulnerabili, perché veicolano all’esterno una grande quantità di informazioni riservate sulla loro vita privata e professionale, oltre che sulla loro azienda, senza neanche rendersene conto.
È infatti possibile ricavare senza sforzo, in una situazione come quella descritta, abbastanza elementi utili per capire chi siano questi signori e di che cosa si occupi l’azienda per la quale lavorano, ovvero per avviare quella che, usando un linguaggio tecnico, si chiama social engineering: uno studio sul soggetto finalizzato a carpirne i punti deboli, al fine di avvicinarlo in ambienti dove si troverà indifeso, per esempio tramite social network o via email.
Se per esempio abbiamo sentito il nostro uomo al telefono, e abbiamo capito che ha un appuntamento fissato per il venerdì successivo con una certa azienda, è molto probabile che da quel momento in poi apra senza la dovuta attenzione e cautela una email proveniente da quello che, a prima vista, sembra proprio l’indirizzo di posta elettronica di quella data azienda, e che magari riporta in oggetto “Annullamento incontro venerdì”. Attraverso questa finta email è molto facile per un malintenzionato attaccare con un virus o un malware il pc del suo obiettivo.
La prima fonte di fuoriuscita di informazioni da un’azienda è il dipendente, che inconsapevolmente e senza intenzioni dolose fornisce informazioni riservate e preziose a un competitor o a un criminale.
La sicurezza è uno stato mentale basato su procedure applicate dalle persone. È infatti proprio il fattore umano, nella stragrande maggioranza dei casi, quello più rischioso per un’azienda, quello che aprirà una falla nella roccaforte aziendale: non è in questione che accada, ma soltanto quando accadrà.