Oggi facciamo un piccolo passo nel passato, come ai tempi di sicurezzanet: oggi parliamo della falla informatica di WhatsApp e di cosa gli HR devono sapere a riguardo questo fatto.
Come saprete, a inizio maggio è stato scoperto un potente spyware sviluppato dalla israeliana NSO, azienda che si occupa di sicurezza informatica e vende strumenti di cyberwarfare alle agenzie governative di tutto il mondo. Pegasus – il nome dello spyware che penetra sfruttando un bug che causa un buffer overflow nel protocollo VoIP di WhatsApp – sarebbe in grado di prendere il controllo quasi totale del telefonino con un semplice squillo (non c’è bisogno nemmeno di rispondere). Anche se l’ultima versione rilasciata dell’applicazione corregge questo buco, non è ancora chiaro quanti utenti siano stati colpiti. Tuttavia per via dei costi di sviluppo di queste tecnologie di cyberwarfare, normalmente vengono utilizzate solo contro target ben studiati come: dissidenti politici, attivisti etc .
In azienda, specialmente negli ultimi anni, il cellulare come benefit sta quasi scomparendo. Soprattutto negli Stati Uniti – sulla falsa riga del BYOD per i computer – i dipendenti scelgono di utilizzare il loro cellulare privato, qualche volta in cambio di una piccola compensazione. Questo genera un’elevata frammentazione di modelli di cellulare all’interno del perimetro aziendale, e la conseguente necessità di utilizzare un sistema di messaggistica cross-platform che nel mondo occidentalizzato quasi sempre è WhatsApp.
WhatsApp quindi è sempre più usato anche in ambito business: recenti studi mostrano che nel 2019 un lavoratore su due ha usato WhatsApp per comunicazioni relative al lavoro. Cosa dobbiamo quindi sapere noi HR su questo argomento?
Innanzitutto noi, come molti altri colleghi di dipartimenti che maneggiano dati sensibili, dobbiamo ricordarci che WhatsApp non è conforme a livello di GDPR per via delle sue condizioni di licenza sul trattamento dei dati di terzi: l’utilizzo dell’applicazione per la gestione va contro le normative vigenti.
Sebbene non sia utilizzato per la gestione di dati sensibili, non si può non riconoscere che WhatsApp continui a crescere come strumento di comunicazione e coordinamento tra colleghi.
Quindi magari senza arrivare alle drastiche decisioni tedesche, dove alcune aziende hanno completamente bloccato l’utilizzo dell’applicazione di messaggistica dai propri dispositivi, è probabilmente giunto il momento di includere nelle varie campagne di sensibilizzazione anche gli eventuali rischi che nascono dal loro utilizzo.
I nostri dipendenti ormai sanno di essere la prima linea di difesa per mantenere sicuri e privati i dati aziendali: sono anni che li addestriamo a riconoscere email di phishing, pharming, whaling, e più recentemente si è cominciato a parlare anche di ransomware. È giunto quindi il momento di aggiungere un nuovo capitolo legato ai rischi connessi all’uso delle app di messaggistica? La risposta è una soltanto: sì.
Aggiornamento 22 / MAGGIO :
Riporto qua sotto un email che ho appena ricevuto da AboutPharma, come volevasi dimostrare, Whatsapp e’ subito entrato prepotentemente nei training di formazione aziendale.