A che punto siamo con la cultura della cybersecurity, di cui tanto si parla da anni?
Per chi non avesse capito l’importanza del fattore umano e di quanto sia fondamentale sviluppare una seria cultura della cybersecurity a tutti i livelli, consiglio vivamente di vedere questo video relativo alle Olimpiadi in corso a Tokio 2020. Qui il tweet di Stefano Zanero che lo ha diffuso:
La prossima volta che sentite chiacchierare di sofisticatissime policy e prodotti di security, potete commentare con questo video: pic.twitter.com/ny9L0xGTCr
— Stefano Zanero (@raistolo) July 26, 2021
Il telecronista, in diretta e udibile da tutti, si sfoga perché non riesce ad accedere ad un computer di cui ha bisogno e chiede quale sia la sua password. Alla risposta dell’interlocutore, ecco alcune battute estrapolate dal video “chiamarla Pippo una password era troppo difficile? “pure il punto per complicarci le cose… fosse il computer della Nasa”. Facendo riferimento poi ad un foglio appeso dove c’è evidentemente la classifica di qualcosa, aggiunge che di “password qui non ne vedo”. La lamentela principale riguarda comunque la complessità della password.
La domanda nasce quindi spontanea: a che punto siamo con la cultura della sicurezza informatica, di cui tanto si parla da anni?
Cybersecurity: la password complicata
Intanto vale la pena cominciare da una riflessione banale ma efficace per quanto riguarda le password. C’è qualcuno che si azzarda a dire: la mia serratura di casa è troppo complicata? Tutti si adoperano affinchè la loro serratura sia a prova di ladro. Per lo stesso motivo, una password complicata è proprio quello che serve per evitare brutte sorprese, come viene consigliato da qualsiasi esperto in materia, così come di non lasciarle in bella vista su post it o fogli visibili a tutti. Nonostante le raccomandazioni, da anni a questa parte le persone continuano ad usare password facili da ricordare, ma anche da hackerare: non a caso 123456 continua ad essere la password più comune in una lista contenente le 200 peggiori password del 2020.
Ora, non importa che non sia il computer della NASA o della CIA: importa il fatto che in ogni device sono comunque memorizzati dei dati che, come ben sappiamo, potrebbero fare gola a qualcuno o essere il mezzo per accedere ad altro. Il fatto, poi, che siamo pressoché tutti interconnessi, deve farci pensare al fatto che una vulnerabilità in un sistema o in un pc determina problemi per qualcun altro.
Il mondo digitale e il fattore umano
Il mondo digitale è diverso da quello fisico, ce lo diciamo continuamente. I pattern comportamentali che caratterizzano gli esseri umani continuano a rimanere gli stessi, nonostante le conseguenze siano ben differenti. Un conto, infatti, è condividere informazioni personali in un gruppo di persone in presenza, altro è pubblicarle sui social dove chiunque può accedere e commentare, oltre che utilizzarle a proprio piacimento.
Ancora non c’è consapevolezza del fatto che proprio da situazioni prevedibili e banali nascono i problemi per la sicurezza informatica.
Sembra, ad esempio, che il caso Colonial Pipeline, di cui per giorni si sono discusse le possibili catastrofiche conseguenze, sia stato causato da una email compromessa.
Tanti titoloni ormai in uso nel campo della cybersecurity, dove se non c’è la parola cyber non sei nessuno, guerrieri pronti alla battaglia (dal cyber analyst al cyber defence specialist), milioni di investimenti in misure di sicurezza, poi è sufficiente una password hackerata ed ecco l’inevitabile.
Nonostante le compromissioni di questo genere siano ormai all’ordine del giorno, l’importanza del fattore umano continua ad essere ampiamente sottostimata. A parole tutti sono concordi nel doversene occupare, nella pratica il tutto si riduce ad un corso di formazione, spesso anche inefficace allo scopo, che sarebbe quello di sviluppare un’adeguata consapevolezza dei rischi nel mondo digitale. In realtà, la vera sfida è la costruzione di un’estesa ed efficace cultura della cybersecurity, se l’obiettivo che si intende raggiungere è quello di identificare e gestire in modo appropriato i rischi cyber e proteggere le informazioni ormai sempre più digitalizzate.
Cosa è necessario per una cultura della cybersecurity
La costruzione di una cultura della cybersecurity parte dalla centralità del fattore umano che, ovviamente, non si limita al problema delle password, come ho ampiamente discusso nel mio libro pubblicato da Springer. Significa innanzitutto focalizzarsi sull’atteggiamento mentale delle persone verso la sicurezza (il cosiddetto mindset), che poi produce comportamenti più o meno sicuri a seconda dei casi. Se si ha un atteggiamento di sufficienza nei confronti di certe problematiche, perché tanto “a me non succede” o perchè “non sono io che devo occuparmene”, questo atteggiamento non favorisce certamente la corretta gestione dei rischi e l’adozione di comportamenti prudenti. Ed è su questi aspetti che bisogna intervenire. Allo stesso modo, non basta andare in aula con una to do list per indurre le persone a diventare il fulcro della cybersecurity: le persone non sono robot telecomandati, ma esseri umani con fattori cognitivi ed emotivi con cui fare i conti. Pertanto, un corso di formazione può instillare l’idea dell’importanza della sicurezza, ma cambiare i comportamenti è ben altra cosa.
Costruire una cybersecurity culture all’interno delle organizzazioni richiede di pensare in termini di processo, così come si rende necessario l’adozione di un approccio multidisciplinare al fine di integrare competenze diversificate. Come scrissi qualche tempo fa le competenze non si improvvisano: un tecnico informatico per quanto bravo non può essere delegato ad occuparsi del tema della consapevolezza digitale, perché questo richiede la conoscenza dei meccanismi umani e sociali relativi ai comportamenti. Inoltre, continuare a considerare le persone come l’anello debole della sicurezza senza investire nella loro crescita di certo non motiva la loro partecipazione alla sicurezza.
Le soluzioni tecnologiche, per quanto necessarie, non risolvono il problema alla radice. Problemi culturali non possono essere risolti con le tecnologie, ma con una seria e continua attività educativa
Il coraggio di cambiare
Incidente dopo incidente, attacco dopo attacco, la situazione della sicurezza informatica è sempre più critica. Non basta annunciare strategie e rivoluzioni, quello che serve è definire – ma anche saper applicare con le giuste competenze – una chiara strategia nella quale persone, tecnologie e processi operano di concerto. Bisogna avere il coraggio di guardare a ciò che non ha funzionato e adoperarsi per il cambiamento. Il rischio – ormai più che reale – è che la situazione, già di per sé critica, finisca definitivamente fuori controllo.
Un nuovo mindset, quindi, anche per i decisori politici.