Dal momento che un giorno sì e l’altro pure il nostro Paese è bersagliato da attacchi informatici verso importanti istituzioni (e non senza conseguenze), ritengo sia indispensabile un’analisi razionale della situazione riguardante la cybersecurity per poter procedere nella giusta direzione.
Da qualche anno a questa parte non si fa altro che sottolineare come gli attacchi cyber siano in costante aumento e sia pertanto necessario contrastarli. Ovviamente, va tenuto conto di aspetti contestuali: se negli anni 2020-2021 tra i fattori di crescita degli attacchi cyber veniva additato il Covid, ora è la guerra Russia-Ucraina ad avere un ruolo rilevante, soprattutto per gli attori che stanno intervenendo sul campo.
Il punto però è che non basta analizzare solo quello che fa l’avversario, bisogna anche analizzare cosa manca o cosa non funziona nell’approccio di contrasto dell’avversario. Vale la pena ricordare che nonostante anni di roboanti articoli di giornale, convegni e report in materia di cybersecurity, non solo non abbiamo fatto grandi progressi, ma stiamo perfino peggio.
Primo passo
Qualche giorno fa ho pubblicato un post sul mio profilo Linkedin per richiamare la necessità di un atteggiamento mentale diverso per essere efficaci nella cybersecurity, vale a dire quello che in inglese definiamo come mindset. Questo il testo:
“Urge un esame di coscienza in tema di cybersecurity: come in una relazione terapeutica, per risolvere un problema bisogna prima di tutto riconoscere di averlo, ammettere che non si è grado di gestirlo e trovare la strategia giusta per affrontarlo”.
Il post era di commento ad un articolo apparso sul quotidiano Il Tempo del 5 maggio in cui si evidenziava come a distanza di circa un mese dall’attacco subito dal Ministero della Transizione Ecologica (6 aprile 2022) il problema continuasse a persistere, al punto di bloccare le attività previste dal cronoprogramma del Piano Nazionale di Ripresa e Resilienza (PNRR).
A parte l’essere lieta delle molteplici condivisioni del post e dell’apprezzamento ricevuto da parte della community, ribadisco la necessità di un cambiamento di approccio nella gestione della cybersecurity.
Comprendo la difficoltà di ammettere errori e mancanze, ma se non partiamo da questo si continuerà solo a “mettere toppe” qua e là, senza riuscire a costruire una struttura solida per poter affrontare attacchi che, per un motivo o per l’altro, continueranno a crescere in termini di numero e di qualità.
Cybersecurity: recuperare il tempo perso
Si dice che manchino all’appello 100.000 esperti di cybersecurity. Una tale mancanza non solo non è una giustificazione, è ammissione di aver perso tempo prezioso, visto che il problema della cybersecurity non è una scoperta recente. Se l’Italia era stata capace di dotarsi di una strategia nazionale già nel 2013, con la “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” tanto decantata sui quotidiani nazionali, non doveva anche aver contestualmente previsto e pianificato la necessità di preparare fin dal principio figure capaci di lavorare in questo campo?
Lo stesso dicasi per chi ora si sveglia dal letargo e ammette che c’è un problema di cultura della sicurezza: anche qui, fino ad oggi cosa si è fatto? Ne ho parlato in tantissimi articoli nel corso di più di 15 anni, raccogliendo il frutto di ricerche e di esperienze sul campo in un libro dedicato all’argomento pubblicato nel 2020 dalla Springer.
Come spesso sottolineo, la cultura della cybersecurity è un percorso, un processo, non riducibile ad un corso di formazione nel quale viene sciorinato ai dipendenti di un’azienda l’elenco delle cose da fare e da evitare!
La comunicazione
Una riflessione a parte merita poi il discorso comunicazione. Facile comunicare quando si sventano gli attacchi, meno quando vanno a buon fine: ma è proprio in questi casi che la comunicazione può fare la differenza. Negare, far finta di niente o sovrapporsi con ipotesi (a volte anche strampalate) su cosa sia realmente avvenuto non solo crea confusione, ma alimenta l’incertezza. Purtroppo da questo punto di vista c’è ancora molta strada da fare. Saper comunicare l’incertezza, elemento ormai fisiologico del nostro tempo, richiede abilità. Senza contare che anche minimizzare attacchi cyber dichiarandoli blandi o magari solo gesti dimostrativi, ad esempio, non è funzionale ad un’efficace gestione della cybersecurity. Considerata la portata di quello che può accadere meglio stare sempre in allerta.
Gli atteggiamenti
Di questi tempi infine, alcune qualità umane, come la modestia, potrebbero essere di aiuto. Non essendo un’esperta di guerra e di geopolitica, mi limito a riprendere un detto comune secondo cui “vincere una battaglia non significa vincere la guerra”. E quella che si sta combattendo in questo periodo storico è una guerra a tutti gli effetti, anche se con armi diverse, ma potentissime soprattutto in termini di comunicazione. Di conseguenza, meglio lavorare con un profilo basso senza troppi clamori, battaglia dopo battaglia, perché anche l’ego può indurre a commettere errori. Ricordate come agisce l’ingegneria sociale?
Da ultimo, se si è bravi ad anticipare le minacce e far allertare la popolazione dai media, si dovrebbe anche fornire qualche dettaglio in più, magari pure consigliare le possibili misure di contrasto. Sul tema segnalo un interessante articolo di Red Hot Cyber con riferimento agli attacchi effettuati dal collettivo Killnet/Legion Russia qualche giorno fa verso l’infrastruttura IT del Senato, ben spiegato e con utili consigli pratici.
A distanza di pochi giorni gli attacchi dello stesso gruppo si ripetono verso altre importanti istituzioni dello Stato italiano ma nel frattempo cosa si è fatto?
Cominciamo a porci le domande giuste. Le più scomode sono anche quelle più necessarie.
