Ripensare la cybersecurity mettendo le persone al centro: come farlo bene

Nella cybersecurity moderna esiste un bias sostanziale che considera gli utenti un problema, l’ennesimo sistema di cui occuparsi e da mettere in sicurezza, alla stregua di terminali mobili, sistemi e dispositivi IoT. Questo è un problema di sostanza perché ovviamente la premessa è sbagliata. Le persone sono persone e non macchine. Nel momento in cui gli esperti di cybersecurity smetteranno di occuparsi del problema come una filiazione degli aspetti tecnici si inizieranno a vedere dei risultati.

Per esempio, la formazione viene meramente vista come uno strumento per il “patching” degli umani oppure si isolano gli esseri umani circondandoli di tool che ne controllino gli errori (es. i cosiddetti “anti-deception detection system”).

Questo nel concreto vuol dire ripensare alla cybersecurity mettendo le persone al centro, facendosi guidare dalle scienze umane e non da quelle informatiche, avendo CISO con competenze psicologiche, non colpevolizzando le persone che lavorano e approcciando il problema dal punto di vista corretto. Il discorso è lungo, ma sicuro gran parte della cybersecurity non l’ha ancora compreso.

La cybersecurity “giusta” per difendere aziende e PA: ecco su cosa puntare

Cosa significa affrontare l’errore umano nella cybersecurity

Esiste, ad esempio, una folta letteratura sull’errore umano in medicina che nella cybersecurity si applicherebbe alla perfezione, ma che ancora non trova troppi proseliti, se non in alcune timide pubblicazioni sulla behavioural security^[1].

Semplificando, lavorare sulla sicurezza informatica significa difendere i sistemi informatici dalle minacce dei criminali informatici i cui obiettivi sono, ad esempio, la manipolazione dei sistemi, l’esfiltrazione dei dati o l’interruzione e alterazione dei servizi. Ma cosa succede se al posto dei sistemi informatici ci sono gli esseri umani? Sebbene l’obiettivo finale di un attaccante sia sempre lo stesso, attaccare un essere umano è un processo completamente diverso e le tattiche di attacco cambiano.

Questo fatto, ben noto, coinvolge l’ingegneria sociale e le scienze umane (ad esempio, la psicologia o le scienze comportamentali invece dell’informatica).

Il cuore del problema, in altre parole, ruota intorno a due punti fondamentali. Da una parte la necessità di affrontare il “problema” di sicurezza rappresentato dagli umani con strumenti, anche culturali, adeguati, coinvolgendo in prima istanza le scienze umane. A partire dalla psicologia, ma non solo, sono difatti ugualmente fondamentali le scienze sociali, cognitive e relazionali.

Il secondo è ovviamente che, a fronte di una manchevolezza nel perimetro di sicurezza aziendale, è sempre facile dare la colpa a qualche sconosciuto impiegato (e gli esempi in tal senso si sprecano). Un problema è figlio dell’altro. Perché il fatto che una persona possa mandare “al tappeto” una organizzazione è ovviamente un problema di mancata progettazione o scarsa maturity aziendale. Spesso si incolpa della violazione un misterioso impiegato che ha fatto clic senza pensarci troppo. Pensando in questo modo di evitare il problema i detentori della integrità tecnologica aziendale minimizzano il problema trasferendo la colpa all’anonimo malcapitato di turno. In realtà però in questo modo si ammette indirettamente l’esistenza di grosse aree di rischio cyber non adeguatamente monitorate. A riprova, quasi il 99% dei report di incidenti si concentra sul triage della parte tecnologica e malevola di un attacco e raramente analizza la parte del vettore di attacco umana, parte che è prevista e modellata da pochi framework (come, ad esempio, ATT&CK).

Come si può fare un’analisi delle minacce o una threat intelligence sugli esseri umani?

Tuttavia, dal punto di vista della sicurezza informatica, cosa significa avere a che fare con gli esseri umani? Cosa significa, ad esempio, eseguire penetration test convincenti o scansioni di vulnerabilità per testare a fondo le debolezze umane: non si tratta semplicemente di inviare un’e-mail di phishing e aspettare i clic. Come si può fare un’analisi delle minacce o una threat intelligence sugli esseri umani? Inoltre, come può un’azienda calcolare il rischio informatico che un essere umano rappresenta e quanti modi efficaci ci sono per ridurlo? Se mettiamo gli esseri umani (sia come dipendenti che come operatori di sicurezza informatica) al centro della cybersecurity, le domande diventano molte.

Il problema è complesso perché, per sua natura, è multiculturale e richiede diverse competenze non tecniche. Affrontare la questione “elemento umano” della sicurezza è realmente multiculturale e interconnesso. Inoltre, per quanto riguarda gli esseri umani occorre considerare questioni etiche e legali e che le reazioni delle persone cambiano durante il giorno (quindi ad esempio limitare le attività “rischiose” durante i momenti di maggiore attenzione). Sfortunatamente però, la cybersecurity è spesso carente nelle soft skill necessarie per affrontare un cambio di paradigma di questa portata ed elabora soluzioni e competenze quasi esclusivamente tecniche.

Allo stato attuale gran parte del mercato della sicurezza informatica si concentra sul lato tecnico di un attacco. Spesso meno del 5% del budget di sicurezza informatica è dedicato ai rischi legati agli umani (per esempio investimenti per contrastare la social engineering), rischi che rappresentano quasi il 95% del totale, come dichiarato da un recente studio WEF/IBM^[2].

Un esempio di un recente attacco

Nel novembre dello scorso anno AgID segnalava il ritorno in Italia di Emotet^[3]. Dopo circa 4 mesi di pausa, si è avuta evidenza di una nuova campagna massiva con target italiani, volta a veicolare tramite e-mail un allegato in formato .zip protetto da password e contenente un file .xls dotato di una macro malevola. La cosa interessante è che per infettarsi occorra: aprire l’email, aprire lo zip allegato, immettere la password, aprire il file Excel che si trova dentro lo zip, abilitare le macro di Office, superando tutti i warning che Office mostra ed infine, dimenticarsi di aver fatto tutto questo. Tutte cose che vanno fatte a mano da un utente che non ha piena consapevolezza delle sue azioni. Il punto cruciale, in tutto questa serie di azioni però non è colpevolizzare l’utente, ma ragionare sul perché quella specifica persona non abbia adottato misure protettive o non si sia accorta che qualcosa non era corretto. La colpevolizzazione in questo caso non è un metodo efficace, ma un indice della impreparazione del team di sicurezza che non ha saputo governare quella specifica fonte di rischio cyber. Questo perché ovviamente anche il capitale umano è parte integrante del rischio informatico al quale una istituzione è esposta.

Ripensare la sicurezza informatica dal punto di vista dell’elemento umano

Come evidenziato occorre quindi introdurre una nuova dimensione della sicurezza informatica, che al pari di quella classica, che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. Per farlo occorre però riformulare una serie di attività perché l’ipotesi alla base è sostanzialmente differente: le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche. Questo perché la fonte del rischio cyber non è un sistema informatico.

Le scienze informatiche sono solamente “funzionali”. In figura riporto le principali 7 sfide che abbiamo individuato in Cefriel per approcciare in questo modo la sicurezza informatica.

Note

1. E. Frumento, “Rethinking cybersecurity from the human element point of view, https://www.kuppingercole.com/sessions/5211/2 ↑
2. 2022 Global Risk Report, World Economic Forum ↑
3. https://cert-agid.gov.it/news/emotet-e-tornato-in-italia/ ↑