Oltre ad essere tra le principali minacce informatiche in Europa, il phishing rappresenta un problema importante anche per le aziende dei Paesi dell’Asia Centrale. Con la crescita della trasformazione digitale, i cyber criminali sfruttano ogni opportunità per insinuarsi nelle reti aziendali, inducendo, ad esempio, gli utenti a condividere le proprie credenziali o altre informazioni sensibili.
Secondo il recente Sababa Awareness Report, sono emozioni come l’avidità, la curiosità e il desiderio di aiutare – uniti al senso di urgenza o all’autorità del mittente – che spingono le persone a commettere errori. Pertanto è necessario che le aziende, soprattutto quelle che operano in settori strategici come quello finanziario, formino i propri dipendenti per dotarli delle competenze necessarie per riconoscere, filtrare e segnalare qualsiasi comunicazione sospetta.
Questo approccio consente di sfruttare il fattore umano a vantaggio dell’organizzazione, trasformando i dipendenti in un ulteriore elemento di protezione per l’azienda stessa e per i clienti.
Ed è ciò che ha saputo comprendere anche Ravnaq Bank.
Sfide e obiettivi del progetto
Attiva da oltre 20 anni, Ravnaq Bank è una banca moderna ed innovativa. Ha la sua sede principale a Tashkent, in Uzbekistan, e non possiede altre filiali poiché tutte le operazioni avvengono virtualmente. È stata tra le prime banche in Uzbekistan ad aver lanciato una app per smartphone per le operazioni bancarie online e l’e-commerce, velocizzando e semplificando il business di diversi clienti in tutto il Paese, dai produttori alimentari alle organizzazioni sanitarie.
Due anni fa, quando Ravnaq Bank ha rilasciato la sua app, il team IT ha condiviso le responsabilità legate alla cybersecurity con il dipartimento dedicato alla sicurezza fisica della banca. Una volta valutati i rischi legati alla trasformazione digitale, la banca ha riconosciuto l’importanza di sensibilizzare i propri dipendenti in materia di sicurezza.
“Durante una delle attività di assesment interno abbiamo notato svariati problemi non solo tra gli utenti, che utilizzavano password elementari per accedere a computer e smartphone, ma anche tra i dipendenti della banca, che avevano una quasi totale mancanza di nozioni di cybersecurity di base e commettevano errori nel trattamento dei dati dei clienti”, ha commentato Abdukakhor Tulyaganov, Capo della Sicurezza della Banca. “Ovviamente abbiamo una policy di sicurezza che aggiorniamo ed approviamo mensilmente con il Cybersecurity Center dell’Uzbekistan, ma oltre a tenere sotto controllo la situazione con le policy, abbiamo deciso di concentrarci anche sulla formazione dei nostri specialisti”.
Il progetto
Ravnaq Bank ha compreso che la formazione richiede competenze specifiche e tempo. Il team dedicato alla sicurezza ha deciso di unire le forze con il dipartimento IT e il team di formazione convincendo il Consiglio di Amministrazione ad investire in awareness affidandosi ad un partner esterno.
Una delle ragioni principali che hanno fatto ricadere la scelta su Sababa Awareness è stata la combinazione dei moduli di formazione generici e specifici con simulazioni di attacchi di phishing:
- I moduli generici sono universali e adatti a fornire ai professionisti nozioni base sull’uso corretto di computer e dispositivi mobili oltre a indicazioni su come lavorare online in sicurezza.
- I moduli specifici sono rivolti ai dipendenti di determinati team (ad esempio, assistenza tecnica, marketing e altri) e sono volti a sviluppare competenze in materia di cybersecurity all’interno di scenari comuni e attività quotidiane svolte dai professionisti.
- Le simulazioni di attacchi di phishing consentono ai dipendenti di affinare le proprie competenze pratiche acquisite durante la formazione. Nell’ambito del progetto, Ravnaq Bank ha deciso di condurre simulazioni di attacchi di phishing ogni 3 mesi.
Inoltre, un fattore importante nella scelta della soluzione è stata la disponibilità dei moduli di training in uzbeko e russo. Sababa Security non solo ha tradotto tutti i materiali del corso, ma ha anche adattato la piattaforma al look&feel aziendale della banca, garantendo un’esperienza formativa ottimale per tutti i dipendenti.
Test della piattaforma
Prima di procedere con il progetto, Ravnaq Bank ha deciso di testare la piattaforma su un piccolo gruppo di utenti e la POC (Proof of Concept) è durata una settimana.
“Abbiamo simulato un attacco di phishing per testare la preparazione generale dei nostri colleghi nel reagire ad un attacco informatico e i risultati hanno superato le nostre aspettative. Solo in pochi hanno compiuto azioni insicure di fronte all’e-mail di prova, mentre la maggior parte ha chiamato immediatamente il supporto tecnico per segnalare la ricezione di messaggi sospetti”, ha raccontato Tulyaganov. “Il risultato della simulazione è stato positivo e, di conseguenza, abbiamo deciso di procedere con il progetto”.
Risultati
Ravnaq Bank ha adottato un piano di implementazione graduale dei corsi di formazione per i dipendenti:
- In primo luogo, era prevista la formazione dei team IT e di sicurezza, per supervisionare a loro volta la formazione di altri colleghi;
- In seconda battuta, era prevista la formazione del team retail, che lavora con i clienti fisici e i loro dati, l’app di mobile banking e le carte di credito.
L’esperienza di Ravnaq Bank dimostra l’importanza di un approccio strategico verso le tecnologie innovative e la loro applicazione dal punto di vista informatico. Investendo nella formazione dei dipendenti, le aziende non solo riducono i rischi di sicurezza riconducibili all’errore umano, ma creano anche un ulteriore livello di protezione per il loro business.
