Dopo le varie vicende che hanno tenuto banco sui mass media legate alla sicurezza digitale, anche il grande pubblico si è accorto dell’esistenza della cybersecurity. Quando certe vicende diventano trend e generano hype, tengono banco su giornali e telegiornali per molti giorni è positivo, dal momento che viviamo in un Paese che clicca ancora sugli SMS di phishing provenienti da un sedicente Inps che promette 2.000 euro con un semplice click.
Cybersicurezza, il fattore umano in cima alla lista dei “problemi”
Al Digital Security Festival ho moderato diversi interventi di ospiti che si occupano di sicurezza cibernetica da vari punti di vista – tecnici, culturali e filosofici – e la situazione che si è andata delineando non è stata rosea, soprattutto guardando al Belpaese. Se dovessi fare una personale classifica dei gap italiani partirei dall’elefante nella stanza, cioè l’assenza di consapevolezza dell’importanza di questo tema. Poi ci metterei la cronica lacuna nostrana rispetto alle competenze digitali, e non solo degli adulti come vedremo in seguito.
Fin qui tutto in qualche modo collegato da un fil rouge che coinvolge principalmente l’essere umano e le sue scelte. Certamente dopo il problema umano, arriva quello che definirei tecnico, o meglio, quello che si genera sfruttando la tecnica per sferrare attacchi sempre più efficaci, precisi, massivi e a basso costo.
Mancanza di consapevolezza dell’importanza delle informazioni: un esempio concreto
Partendo dal primo posto della mia personale classifica delle questioni di cybersicurezza in relazione ai punti deboli, voglio farvi un esempio di quanto l’assenza di consapevolezza sia davvero un grandissimo problema. Poco tempo fa, e questo è un aneddoto veritiero, mentre rientravo da una lezione che avevo tenuto a tre ore di distanza, ero comodamente seduto al mio posto su un treno ad alta velocità. Era uno di quei viaggi tipici del cliché del rientro dalla “città del business”, dove l’aria è carica di ambizione e produttività, un luogo dove il lavoro sembra non poter mai essere interrotto, complice forse il fatto di essere in una carrozza business, come la città di cui sopra.
Seduto a pochi posti da me, un manager era completamente immerso nelle sue telefonate. Parlava a voce alta, quasi dimentico del fatto di trovarsi in un ambiente pubblico. Nel giro di pochi minuti, ho appreso dettagli sorprendenti. Il nome della grande banca per cui lavorava, il progetto su cui era impegnato e persino i nomi di alcuni software e collaboratori. Il manager discuteva senza freni dei tempi di consegna, delle funzioni del front-end e del back-end, e delle fonti di dati che sarebbero state utilizzate. Non mancavano accenni ai fornitori coinvolti e alle tappe successive del progetto. Ma c’era di più. Senza alcun riguardo per la privacy, rivelava anche dettagli personali suoi e di chi collaborava con lui. Non avevo intenzione di origliare, ma era impossibile non ascoltare. E se invece di un semplice viaggiatore fossi stato una persona con intenzioni malevole, un concorrente o anche solo uno smanettone curioso? Sarebbe bastato prendere nota di tutto (o registrare l’audio) e poi fare un po’ di ingegneria sociale se non addirittura qualche attacco diretto, visto le informazioni rilasciate dal manager poco sveglio.
Tutti gli investimenti in tecnologie avanzate, firewall e protocolli di sicurezza possono essere vanificati in un istante se le persone non comprendono l’importanza di proteggere le informazioni, anche nei contesti più banali della quotidianità. Et voilà, ecco perché la consapevolezza è la regina delle keywords della cybersicurezza.
La cronica mancanza di competenze digitali
Ma se “consapevolezza” è la regina, le “competenze” digitali la seguono a ruota. Anche in questo caso non ho buone notizie e posso entrare nello specifico in quanto durante il festival sono stati eseguiti due assessment, da parte dell’associazione AICA, in due tappe differenti, coinvolgendo centinaia di partecipanti, che riguardavano il modulo di Cyber Security. Vi anticipo che poco meno della metà non ha raggiunto un livello di competenze adeguate!
Per gli amanti delle statistiche, qualche dato in più: i partecipanti erano gli studenti di diverse scuole superiori del Nord-Est. Io mi aspettavo dei risultati incoraggianti vista l’età dei ragazzi, soprattutto in uno dei due casi perché coinvolgeva principalmente studenti in ambito informatico; questi ultimi hanno svolto l’assessment del modulo di Cyber Security ottenendo una media voto di 65,2%; la percentuale di test che ha ottenuto un voto che gli avrebbe permesso di passare l’ipotetico esame (>70/100) è stata del 37,5%; la percentuale di test che ha ottenuto un voto insufficiente (<50/100) è stata dell’11,7%. Mentre la media voto ottenuta dal test svolto dagli studenti di istituti non prettamente informatici è stata del 51,8%. AICA ha quindi calcolato che la media generale dei test svolti dai diversi studenti e docenti che hanno partecipato è del 55,7%.
Credo non serva commentare oltre, per capire quanto siamo ancora indietro nello sviluppo di competenze digitali in Italia, e non è solo una questione dei cosiddetti boomer: qui il problema è ormai endemico e inizia già dalle nuove generazioni. Altro che nativi digitali!
L’urgenza di far ripartire la spesa in cybersecurity
Per la questione degli investimenti, come ho riportato in un precedente articolo, è emersa, anche grazie al rapporto Clusit, l’urgenza di far ripartire la spesa in cybersecurity il prima possibile, perché in Italia in valore assoluto, e non solo in proporzione, usiamo meno risorse economiche di quasi tutti gli altri paesi, Francia, Germania e ovviamente Stati Uniti come primi esempi. Questo peggiora le cose anche tenendo conto della frammentazione di piccole aziende e pubbliche amministrazioni, che contribuisce a una rete nazionale di difesa digitale molto debole. Ora, con le nuove disposizioni in fatto di cybersicurezza, credo che le cose andranno via via migliorando, ma si parte pur sempre da un livello arretrato, quindi ci vorrà del tempo.
La mia speranza è che il continuo aumento, ampliamento e miglioramento dei regolamenti faccia percepire ancora di più la sicurezza come un’incombenza burocratica, piuttosto che una postura ormai obbligatoria per difendere non solo i dati e i segreti industriali, ma il valore stesso delle nostre aziende. Secondo la National Cybersecurity Alliance più della metà delle piccole imprese tende a fallire dopo un attacco informatico. Certo, è un dato americano, ma è pur sempre un indice da tenere in considerazione.
Fin qui i temi che coinvolgono più direttamente noi esseri umani e i temi meno tecnici, quindi più orientati a cultura, filosofia, scelte e conoscenze. Ma poi ci sono tutti i temi che ho definito tecnici, quindi hardware, software, piattaforme, sistemi, intelligenza artificiale e così via.
Le nuove minacce legate all’IA
Una pletora di ritrovati tecnologici sempre più potenti che potenziano i criminali informatici e alzano di livello gli attacchi, rendendoli sempre più economici e scalabili. Ovviamente fra i temi centrali c’è l’intelligenza artificiale con tutti i suoi derivati: generazione di phishing sempre più preciso e profilato, il deepfake sempre più realistico e ormai in tempo reale nelle chat di lavoro, le robocall sempre più insistenti e credibili, l’ingegneria sociale agli steroidi e chi più ne ha più ne metta. Ed è un processo evolutivo normale, in quanto gli early adopter, per antonomasia, delle nuove tecnologie sono i criminali, che non perdono occasione di ottimizzare il loro “lavoro” migliorando le performance e diminuendo i costi, perché si comportano come vere e proprie aziende, come abbiamo sentito raccontare in diversi speech di professionisti, così come dalla Polizia Postale.
Tecnologie e difesa dai cyber attacchi
Ma le tecnologie avanzate possono e devono essere usate anche da chi difende, sia per le difese stesse sia per strutturarsi in modo adeguato per un recupero veloce dopo un eventuale attacco. Quindi una delle sfide è riuscire a intercettare le minacce in tempo reale e garantire una ripartenza rapida e sicura dopo un attacco, come ho sentito dire a Massimo Mondiani. Siamo in un momento molto delicato, in cui la differenza di velocità fra lo sviluppo tecnologico degli attaccanti e lo sviluppo dei difensori è nettamente a favore dei primi, che hanno vaste risorse economiche da spendere. Per questo serve trovare il giusto mix fra sistemi di difesa e sistemi di recupero, perché la sicurezza informatica non significa solo proteggere.
Si va quindi delineando il fatto che da una parte ci siamo noi, che abbiamo il nostro lavoro, la nostra vita, i nostri dispositivi, le nostre aziende, con le nostre mille cose da fare. Dall’altra parte ci sono gli attaccanti, che di lavoro fanno proprio quello: attaccare. Se da un lato c’è chi attacca di mestiere e dall’altro c’è chi non fa il difensore per mestiere, la battaglia è iniqua. La protezione delle informazioni non è nata con il digitale, ma con l’uomo: una battaglia senza tempo tra protezione e minacce, radicata nella natura umana stessa; per citare a memoria uno stralcio dell’intervento del professor Mauro Conti.