"Understanding security of the Cloud: from adoption benefits to threats and concerns", report recentemente pubblicato dai ricercatori di Kaspersky Lab, metterebbe in luce alcuni aspetti meno noti riguardo alla cyber-security in un’epoca in cui servizi, applicazioni e dati tendono a spostarsi in modo sempre più rilevante verso la "nuvola".
Si tenderebbe infatti a credere che l’inviolabilità di un’infrastruttura Cloud sia responsabilità esclusiva del provider che la eroga, ma i dati raccolti relativamente agli episodi analizzati rivelerebbero che soltanto nell’11% dei casi sarebbe stata individuata una mancanza da parte degli ISP. Nei casi restanti le colpe sarebbero attribuibili a chi utilizza il servizio.
In sostanza i cyber-criminali non punterebbero ad attaccare le piattaforme, attività che potrebbe rivelarsi particolarmente impegnativa e spesso infruttuosa, ma preferirebbero ricorrere a tecniche di social engineering con lo scopo di bypassare i sistemi di sicurezza grazie alla collaborazione, volontaria o meno, dei dipendenti delle aziende coinvolte.
Nello specifico, il social engineering sarebbe stato alla base di un terzo degli episodi malevoli a danno del Cloud. Tale approccio consente infatti di studiare i comportamenti dei lavoratori per individuare quelli ad alto rischio, come per esempio l’utilizzo di dispositivi non autorizzati (pendrive USB e smartphone personali) o la violazione delle policy di sicurezza previste.
Ad oggi però le aziende non si dimostrerebbero particolarmente sensibili alle problematiche descritte, spesso sottovalutandole. A tal proposito basti pensare che soltanto il 47% delle grandi aziende e appena il 39% delle imprese medie e piccole avrebbero deciso di adottare soluzioni di sicurezza appositamente concepite per il Cloud.