01net

Proprietà intellettuale, i rischi del social engineering

Per costruire solide difese alla proprietà intellettuale bisogna partire dal fatto che chiunque sia a caccia di Ip come primo passo cerca informazioni pubblicamente disponibili. Peraltro secondo gli esperti di intelligence la maggior parte dei danni non arrivano dai ladri.

In modo legale è possibile infatti reperire informazioni sull’azienda che danno indicazioni alla concorrenza su come si sta muovendo. A partire dai venditori che mostrano prodotti di imminente uscita alle fiere, per passare alle organizzazioni tecniche che descrivono le loro strutture di ricerca e sviluppo negli elenchi di posti di lavoro.

Poi ci sono i fornitori che si vantano delle vendite sui loro siti web, dipartimenti pubblicitari che rilasciano comunicati stampa sui nuovi depositi di brevetto e le le aziende delle industrie oggetto di sovvenzioni da parte delle autorità di regolamentazione che riportano informazioni sulle strutture produttive che possono diventare parte del record pubblico. Infine, i dipendenti che pubblicano commenti sulle bacheche di Internet.

L’importanza del telefono

La società di ricerca sono use condurre la loro attività al telefono. Normalmente solamente inquanta persone su cento sono disposte a parlare. Quando la società di ricerca spiega chd lavora su un progetto per un cliente che non può nominare a causa di un accordo di riservatezza, mediamente quindici persone a questo punto lasciano perdere. Ma gli altri 35 iniziano a parlare. Gli appunti finiranno in due file. Il primo comprende le informazioni per il  cliente, mentre il secondo è un database di 120.000 fonti, incluse le informazioni sulla loro esperienza, amicizie e dettagli personali come hobby o dove hanno conseguito la laurea.

La social engineering

Spesso i cacciatori di proprietà intellettuale usano tattiche ben praticate per ottenere informazioni senza chiederlo direttamente. Si tratta dellla social engineering, che include anche chiamate pretestuose da qualcuno che finge di essere uno studente che lavora su un progetto di ricerca, un impiegato in una conferenza che abbia bisogno di qualche indicazione o un segretario del consiglio di amministrazione che abbia bisogno di un elenco di indirizzi per inviare cartoline di Natale.

Durante il boom tecnologico, un volo che andava da Austin a San Jose si era guadagnato il soprannome di the nerd bird. Quel volo era pieno di persone che volavano da un centro ad alta tecnologia ad un altro e assieme ad altri voli simili era diventato un ottimo luogo per i professionisti dell’intelligence per ascoltare le discussioni tra i colleghi o dare veloci occhiate a slide Powerpoint o fogli di calcolo.

I dipendenti devono sapere che non devono parlare di affari sensibili nei luoghi pubblici e il marketing deve imparare come non rivelare troppe informazioni ai visitatori in fiera. I colloqui di lavoro sono un’altra possibile fonte di perdita delle informazioni.

La concorrenza potrebbe inviare un suo dipendente per un colloquio di lavoro oppure invitare uno dei dipendenti della concorrenza senza altro scopo che la raccolta di informazioni sui processi. In qualche modo i segreti commerciali sono facili da proteggere e gli accordi di non divulgazione possono proteggere ulteriormente la vostra azienda.

Ciò che è più complicato è aiutare i dipendenti a capire come dettagli apparentemente innocui possono essere visti in un quadro più grande e come una semplice lista telefonica aziendale diventi un’arma in mano di persone come John Nolan.

Paese che vai protezione che cambia

Bill Boni, vicepresidente della sicurezza informatica a T-Mobile Usa che ha lavorato anche consulente di sicurezza globale, ha raccontato di una banca in Sud America dove si sospettava azioni di spionaggio. Per questo è stato ingaggiato un team per la sicurezza, ma visto che la perdita di informazioni proseguiva è stato scelto una altro grupppo. Il secondo team ha trovato 27 dispositivi, probabilmente messi dalla prima squadra, che controllavano le informazioni della banca.
A volte lo spionaggio è condotto da governi stranieri che vogliono aiutare le aziende locali e quindi sostenere l’economia del paese. Ecco perché nessun singolo insieme di linee guida per la protezione della proprietà intellettuale funzionerà ovunque nel mondo. Per questo bisogna valutare i rischi per tutti i paesi in cui l’azienda svolge attività e agire di conseguenza.

Alcune procedure, come ricordare alle persone di proteggere i loro computer portatili, saranno sempre uguali. Alcuni paesi richiedono invece maggiori precauzioni. Per esempio in certe parti del mondo i manager potrebbero aver bisogno di registrarsi sotto pseudonimo, avere le loro stanze d’albergo e spazi di lavoro bonificati.

Utilizzare IoT

Uno degli ambienti più vulnerabili in fatto di proprietà intellettuale è l’industria sanitaria. In molti ospedali, ogni letto può avere fino a quindici dispositivi IoT, con potenzialmente la metà collegati a Internet. Gli hacker stanno diventando consapevoli del fatto che il valore delle informazioni protette sulla salute è molto più prezioso delle informazioni personali.

La debolezza in una rete ospedaliera tramite questi dispositivi IoT la rende un obiettivo più semplice rispetto al passato. Per questo le organizzazioni devono sviluppare e implementare le proprie strategie che potrebbero includere la protezione dei server finali, dei server centrali e dei punti di accesso wireless, poiché sono più probabilmente il target principale per una eventuale intrusione.