Nel 2023 sul territorio italiano ci sono stati oltre 1500 attacchi e 500 incidenti di cyber security, identificati dal più recente report sul cybercrime di Exprivia. Ognuno di questi incidenti può essere associato non solo a qualcosa accaduto in un centro elaborazione dati, cosa che abbiamo difficoltà a percepire come qualcosa di rilevante per noi. Oggi, infatti, il processo irreversibile di digitalizzazione implica che un incidente potrebbe essere associato ad ospedali che non funzionano, ad aerei che non partono, a catene di montaggio compromesse, insomma a qualcosa ben più vicina alla nostra quotidianità di un centro elaborazione dati.
Il phishing è la tecnica di attacco più usata
La vita sul pianeta dipende fortemente non solo da aria, acqua e terra, ma anche da intelligenze interconnesse. Se sulla criticità del fenomeno tutti potremo convenire, difficile spiegarsi il perché, analizzando lo stesso report, si nota che la tecnica maggiormente utilizzata dagli attaccanti è il phishing. Che sia infatti per avere un accesso iniziale alle macchine o che sia per riconoscere la potenziale vittima, il phishing nel 2023 è stata la tecnica di attacco più utilizzata.
Potremo affermare con grande probabilità di avere ragione, che senza phishing o, meglio, con una adeguata preparazione che ci consenta di non cadere vittime di truffe digitali spesso banali, probabilmente la cybersecurity non sarebbe un tema da prima pagina.
Se la posta in gioco è cosi alta e la soluzione è così semplice (“fare attenzione”), cosa rende il tutto estremamente complesso?
Perché è così difficile creare consapevolezza sui rischi cyber
Non sorprenderà quindi che la consapevolezza sui rischi derivanti da cyber-attacchi sia uno dei temi su cui aziende (con riferimento ai propri dipendenti) e istituzioni (con riferimento a dipendenti ma anche la comune popolazione) ritengono fondamentale investire. È necessario che “fare attenzione” si traduca in azioni concrete e fatti.
Il problema invece non è così semplice da affrontare. Non è sufficiente un corso, o anche stabilire delle regole coercitive per fare in modo che tutti “facciano attenzione”.
Gli investimenti in formazione sembrano infatti scontrarsi con un basso livello di coinvolgimento, “engagement” da parte dei fruitori dei programmi di formazione.
Questo è dovuto in parte al fatto che l’approccio al digitale è relativamente recente se si paragona alla storia della umanità. L’essere umano ha imparato in migliaia di anni a individuare minacce legate agli elementi naturali quali acqua, aria, fuoco. Invece ha dedicato solo qualche anno per comprendere che qualcosa creata dall’uomo potesse avere una serie di vantaggi, ma anche qualche svantaggio.
Il digitale è vissuto come qualcosa di reale solo se associato a dei benefici, anzi ancora peggio. Pensiamo al digitale come qualcosa dove i benefici possono essere trasportati nel reale, mentre la negatività rimane nel virtuale.
Ad esempio, nessuno si permetterebbe di entrare in una abitazione incustodita per farsi un caffè trovando la porta aperta. Potrebbe farlo se è un delinquente, ma comunque saprebbe che entrando commetterebbe un crimine. Il fatto che il proprietario abbia lasciato superficialmente la porta aperta non giustificherebbe l’azione ostile.
Se invece si accede “per caso” ad una telecamera di videosorveglianza non adeguatamente protetta, non viene spesso percepito come qualcosa di sbagliato dal punto di vista etico e legale a meno di non essere il proprietario della telecamera. Non ci si pone il problema della legittimità di tale operazione sul piano etico e legale.
Un migliore coinvolgimento (che va dalla interazione alla partecipazione attiva degli utenti alla formazione) non può pertanto prescindere dal trovare tecniche che accelerino la presa di coscienza sulle minacce del digitale recuperando migliaia di anni di ritardo che l’umanità ha nei confronti delle minacce naturali, distaccandosi da tecniche coercitive dalla quale d’altra parte non si può prescindere in tema di sicurezza.
Fermo restando pertanto l’aspetto coercitivo (e cioè il dipendente deve sapere che ci sono delle politiche da rispettare), per migliorare il coinvolgimento è necessario un approccio strategico ma anche creativo. Un solo corso potrebbe essere un giusto compromesso tra costi e benefici, ma non indirizzare il problema nella sua complessità.
Contenuti coinvolgenti per creare consapevolezza
Attenzione a contenuti coinvolgenti e personalizzati, coinvolgimento attivo di influencer, verifica della efficacia dei contenuti, riconoscimento di comportamenti virtuosi e giochi che simulano la realtà il meglio possibile, sono tutti elementi che un programma sulla consapevolezza dovrebbe avere in grande considerazione.
Assicurarsi che i contenuti siano coinvolgenti, pertinenti e personalizzati al pubblico di riferimento utilizzando differenti formati (video, infografiche, quiz interattivi, storie di successo).
Open Badges per certificare le competenze
Rilasciare una formale certificazione al completamento di una parte rilevante del percorso è una pratica provata di successo. Gli “Open Badges” rappresentano un buon framework adattabile a questo tipo di necessità consentendo di creare percorsi formativi dove la persona è stimolata da un lato ad apprendere, dall’altra ad avere visibilità dei progressi fatti, anche confrontandosi con il resto del mercato.
Gli “Open Badges” servono a certificare competenze, realizzazioni o esperienze di un individuo. Questi badge digitali sono emessi da organizzazioni, istituzioni educative o piattaforme di apprendimento online ma utilizzando piattaforma blockchain consentono di essere indipendenti dalla organizzazione che li ha emessi in quanto riconosciuti anche dalle altre organizzazioni.
Personalizzare la formazione
Anche la personalizzazione della formazione è un elemento da cui non si può prescindere. Sapere che qualcuno dall’altra parte del mondo, in una industria differente ha subito un incidente tende a contribuire a creare quello stato di distacco per cui si percepisce distanza rispetto alla realtà di interesse. Il coinvolgimento delle persone sarà tanto più alto quanto lo scenario è più familiare e vicino.
Il ruolo degli influencer
Coinvolgere nella formazione esperti riconosciuti nel settore (che nel digitale prendono il nome di Influencer) utilizzandoli anche come “testimonial” della campagna per aumentare la credibilità e l’interesse è buona pratica.
Anche coinvolgere personaggi popolari che raccontino le loro storie potrebbe avere il suo peso. Il marketing è l’anima della vendita e internet ha reso più forte questo principio. Possono essere fatte delle cose bellissime ma devono essere comunicate in maniera opportuna e soprattutto il pubblico deve essere motivato a iniziare il percorso.
Gamification per una formazione consapevole
La interazione e partecipazione sono necessarie. Gli “Open Badges” aiutano ma non possono essere lasciati da soli senza ulteriori elementi interattivi come sondaggi, giochi che coinvolgano la popolazione. Sviluppare dei giochi online (“gamification” ) è infatti una pratica che spesso viene associata alla formazione orientata alla consapevolezza ma non solo. Sviluppare simulazioni tra attaccanti e difensori (red e blue team) su piattaforme create ad hoc (cyber-range ) è anche considerata una contromisura fondamentale nei framework di sicurezza per accelerare l’apprendimento di tecniche complesse di difesa.
L’importanza di verificare i progressi
Se l’umanità ha dedicato migliaia di anni a comprendere che il fuoco può fare del male, che in acqua si può annegare e che precipitare da un monte può provocare danni irreversibili, non si può pensare che la formazione sulla cybersecurity in qualche giorno risolva tutti i problemi. La formazione deve essere continua e i risultati verificati con test ma anche con campagne di attacco simulate (ad esempio campagne di phishing simulato).