Anche quest’anno si è rinnovato l’appuntamento del Digithon 2017, evento che aggrega ogni anno in Puglia rappresentanti di istituzioni, imprese, università e centri di ricerca. Digitale al centro delle attenzioni di speaker e analisti, con particolare riguardo alle tematiche più in vista o suggerite dalla cronaca del periodo. Inevitabile il focus sulla cybersecurity, argomento che impaurisce e impegna tutti a comprenderne le cause e cercarne gli antidoti.
Proprio nell’ultima mattinata dei lavori di Digithon 2017 uno dei focus è stato dedicato alla sicurezza, ma con un approccio del tutto originale, portato da Isabella Corradini, presidente del Centro Ricerche Themis, che nella ricerca sui fenomeni di cybersicurezza focalizza da sempre la propria attenzione su uno degli aspetti più trascurati o meno considerati: l’elemento umano. La sicurezza può essere assicurata con soluzioni di hardware e software, ma se non si interviene adeguatamente sull’uomo si rischia di compromettere consistenti investimenti, per non aver investito adeguatamente sull’anello più importante della catena.
Ad Isabella Corradini, abbiamo posto qualche domanda proprio su queste tematiche e vi riportiamo di seguito le risposte che abbiamo raccolto.
Key4biz. Cybersecurity evoca in genere l’intervento di ingegneri specialisti in tecnologie. Lei si occupa di aspetti considerati spesso “marginali”, ma che in realtà sono l’essenza della sicurezza. Cosa ci dice al riguardo?
Isabella Corradini. Generalmente la cybersecurity viene associata a figure di esperti tecnologi che operano nell’ambito della sicurezza informatica. Si tratta di figure certamente necessarie, poiché è importante conoscere gli aspetti tecnici relativi al come si verificano gli incidenti informatici. Ma ci sono altri aspetti che spesso vengono trascurati, come quelli relativi al “fattore umano”, che però non sono da considerarsi marginali, se è vero che anche a detta degli esperti è proprio il fattore umano a costituire l’anello debole della catena della sicurezza. Basta leggere i dati: molti incidenti informatici hanno successo perché sfruttano le vulnerabilità umane, per le quali occorre una conoscenza diversa da quella “tecnica”. Parliamo di comportamenti, non di computer. Per mia formazione professionale ed esperienza sul campo, dico sempre che mi occupo di persone e non di macchine, o meglio dell’interazione tra uomo e macchine in termini di comportamenti, soprattutto di quelli che hanno a che fare con la sicurezza.
Key4biz. Qualche esempio?
Isabella Corradini. Le informazioni che si pubblicano sui social network pensando che, tutto sommato, si tratta di informazioni poco rilevanti, ma che in realtà vengono sfruttate a loro vantaggio dai cybercriminali. L’uso di password deboli e replicate nei molti account che si possiedono. L’apertura di mail di phishing con inconsapevole scaricamento del malware. Perché ancora oggi il phishing funziona? Perché si basa su tecniche note da tempo che fanno leva su caratteristiche umane. Si parla di ingegneria sociale (social engineering), ovvero il riuscire a far credere qualcosa di diverso dalla realtà, manipolando la percezione dell’utente e sollecitandolo a compiere azioni che altrimenti non farebbe, come dare informazioni o cliccare su link o allegati appositamente inviati, il tutto a vantaggio di chi impiega queste strategie. A costituire un problema, poi, non sono solo le mail, ma anche quei post sui social network che, camuffati come messaggi pubblicitari, nascondono invece link e allegati malevoli. La strategia psicologica consiste proprio nel rendere allettante il messaggio per l’utente che, anche solo per curiosità, finisce per cadere nel tranello. Attenzione però, la mail di phishing è solo un esempio delle varie forme di ingegneria sociale. La quale, infatti, può essere applicata con diversi livelli di sofisticazione nei confronti di persone che lavorano all’interno di organizzazioni con l’intento di ottenere informazioni, ad esempio a fini di spionaggio industriale.
Key4biz. La sua esperienza nella sicurezza è piuttosto vasta, si occupa anche di altri tipi di sicurezza. In che modo tutto questo le è utile per affrontare il tema cyber?
Isabella Corradini. Prima di tutto, vorrei dire che non amo molto il termine “cyber” proprio per gli aspetti di cui mi occupo. Parlare di cyber fa pensare a qualcosa che esula dal mondo fisico, qualcosa di non tangibile, ma in realtà non è così. Pc e smartphone sono strumenti, dietro c’è sempre l’essere umano, che può decidere di utilizzarli in modo positivo o negativo. E le cui conseguenze si riversano su persone e organizzazioni.
In ogni caso, la mia esperienza in tema di sicurezza riguarda da molti anni diversi campi e settori, potrei dire a 360° gradi. Ho cominciato ad occuparmi di safety (salute e sicurezza nei luoghi di lavoro), per poi affrontare alcuni aspetti della sicurezza fisica, con esperienza soprattutto nel mondo bancario, ed arrivare infine alla cybersecurity. Il tutto con un comune denominatore: lo studio del comportamento umano e la progettazione di specifiche attività di awareness, finalizzate a far prendere coscienza alle organizzazioni dei problemi di sicurezza e di come agire tenendo conto del fattore umano.
Key4biz. Dunque, quanto sono importanti le soluzioni tecnologiche?
Isabella Corradini. Sono fondamentali, ma da sole non risolvono il problema. Come dicevo, lo scenario è complesso, e lo sarà sempre di più, visto che siamo nell’era dell’Internet delle Cose (IoT, Internet of Things) e stiamo andando verso l’Internet di tutte le cose (IoE, Internet of Everything). Ed è per questo che bisogna lavorare sempre di più sulla cultura della sicurezza, coinvolgendo i cittadini, perché essi sono (e siamo) le persone che usano le tecnologie nel quotidiano. E teniamo conto che il confine tra privato e lavorativo è ormai caduto; anzi la commistione di informazioni private e lavorative che viaggiano su uno stesso dispositivo rappresenta un ulteriore problema. Ovviamente, la cultura della sicurezza deve costituire parte integrante di una strategia ampia e articolata che contempli, tra l’altro, lo sviluppo di partenariati tra pubblico e privato, anche in ambito internazionale, il mettere a fattor comune esperienze e capacità, l’attività di ricerca e, ovviamente, investimenti mirati.
Key4biz. Lei ha usato il termine “igiene digitale” per parlare di educazione alla sicurezza. Ci può spiegare meglio?
Isabella Corradini. Si, è un termine che ho utilizzato in un articolo scritto in collaborazione con il Prof. Nardelli proprio per la rubrica “People&Tech” (https://www.key4biz.it/peopletech-igiene-digitale-norme-base-di-prevenzione/187606/ ). Con questo termine intendiamo riferirci alle norme di igiene nell’uso della Rete e degli strumenti informatici, allo stesso modo con cui ci adoperiamo per la prevenzione delle malattie. Se la pratica di lavarsi le mani, come ben sappiamo, ha sortito effetti straordinari salvando vite umane, un principio simile può valere anche in altri contesti. Così, ad esempio, riferendoci alla sicurezza informatica, se non conosco l’origine di una chiavetta USB, perché inserirla nel mio pc visto i rischi che essa comporta? È proprio questo il punto: si sottovalutano i rischi e le opportunità usate dai criminali. E gli esempi possono essere veramente tanti.
Key4biz. Si può cominciare ad educare dalla scuola?
Isabella Corradini. Si deve. Ma bisogna farlo con intelligenza, ovvero facendo comprendere prima di tutto a cosa servono gli strumenti informatici e come vanno usati per ottenere il massimo beneficio con il minor rischio.
Sto collaborando al progetto Programma il Futuro, (http://www.programmailfuturo.it), attivato dal MIUR (Ministero dell’Istruzione, Università e Ricerca) in collaborazione con il CINI – Consorzio Interuniversitario Nazionale per l’Informatica, il cui scopo è diffondere lo sviluppo del pensiero computazionale attraverso la programmazione (coding) in un contesto di gioco.
Non è un progetto che nasce nell’ambito della sicurezza, ma il messaggio educativo che ne deriva è particolarmente importante perché intende stimolare i ragazzi ad avere un ruolo attivo nei confronti delle tecnologie, anziché esserne consumatori passivi. Questo significa anche aiutarli a prendere maggiore confidenza con l’ambiente tecnologico nel quale interagiscono. Una confidenza che potrebbe favorire la sensibilizzazione ai rischi cui siamo esposti, con diversi livelli di consapevolezza, in questa mutevole società digitale.