Prendo spunto da quanto emerso dall’ultimo Rapporto Clusit 2017 per fare alcune considerazioni sullo stato attuale della gestione della sicurezza informatica.
In psicologia sociale si utilizza il termine “dissonanza cognitiva” per indicare quello stato in cui si trova l’individuo quando si verifica una discrepanza tra le sue idee relative ad una situazione ed i comportamenti effettivamente messi in atto nella stessa. Pur riferendosi all’individuo, tale concetto può essere illuminante per descrivere, nell’ambito del tema sicurezza informatica, la chiara contraddizione tra le problematiche emerse dalle analisi su quanto accade e quali misure vengono poi effettivamente impiegate.
In questo tipo di analisi c’è spesso la tendenza, magari anche per enfatizzare l’impatto comunicativo, a considerare l’anno correntemente investigato come quello peggiore. Questa volta è drammaticamente vero, dal momento che nell’introduzione del sopra citato rapporto dell’Associazione Italiana per la Sicurezza Informatica, ricco di dati e di spunti di riflessione, viene sottolineato come il 2016 sia stato “complessivamente l’anno peggiore di sempre in termini di evoluzione delle minacce cyber”.
Si osserva che il Cybercrime e il Cyberwarfare (guerra delle informazioni) sono le categorie più rappresentate per il numero di attacchi registrati negli ultimi sei anni. Viene inoltre posta l’attenzione agli impatti che ne derivano, sia in termini quantitativi sia qualitativi, come ad esempio quello reputazionale.
In questa sede il mio focus sono il phishing ed il social engineering, minacce note da tempo e sfruttate sempre più dai cybercriminali per portare a compimento con successo gli attacchi presso enti e imprese. In particolare fa riflettere il fatto che, analizzando la distribuzione generale delle tecniche di attacco che hanno caratterizzato il 2016, si assiste ad una crescita considerevole di questa tipologia di attacchi con numeri che toccano le quattro cifre (+1.166%).
Ho parlato più diffusamente di phishing e di social engineering in un articolo di questa rubrica. Ora, è da anni che si dibatte su come queste tecniche, sia nella loro forme rudimentali che in quelle raffinate, continuino a mietere vittime più o meno illustri. Ma perché continuano ad essere sottovalutate nel momento in cui si pianificano le attività di prevenzione?
Ed è qui la dissonanza cognitiva di cui parlavo all’inizio: da una parte c’è l’intensa preoccupazione per la crescita delle minacce cyber, dall’altro c’è l’ostinazione a perseguire lungo una strada che ad oggi, stando ai dati, continua a non portare risultati, a fronte peraltro di minacce note da tempo nella loro modalità di manifestarsi.
A questo punto c’è davvero da chiedersi se vogliamo rassegnarci a leggere ogni anno report con numeri allarmistici ma purtroppo reali, oppure vogliamo cominciare a fare un’analisi critica – e costruttiva – di ciò che fino ad oggi non ha funzionato e continua a non funzionare.
Il primo punto che bisogna accettare è che il tema della sicurezza informatica non può ridursi alla sola componente tecnologica. Anche se sono stati fatti passi avanti rispetto a qualche anno fa, la strada da percorrere è ancora lunga.
L’evitare di aprire una mail di phishing impedendo così di cliccare su un link e scaricare un malware, o lo smascherare un attacco di ingegneria sociale, non sono attività che possono essere prevenute con i software (o almeno non solo).
Attenzione: non sto dicendo che le soluzioni tecnologiche non servono. Ma la loro efficacia può essere messa in discussione da comportamenti distratti e imprudenti. Il comportamento umano è basilare in queste situazioni e può diventare una strategia di difesa, a condizione che si investa seriamente in percorsi di crescita della consapevolezza.
Eppure, la formazione e l’informazione sugli aspetti umani e sociali della sicurezza informatica, necessarie soprattutto per la gestione dell’ingegneria sociale e degli attacchi di phishing, continuano ad essere relegate in uno spazio ridotto delle politiche di prevenzione generale e aziendale, pur continuando poi tutti ad affermare con una certa fermezza l’importanza dello sviluppo di una cultura della sicurezza. Ed anche questo comportamento è da ritenersi dissonante.
Dalla mia esperienza formativa su tali tematiche, riscontro una continua sorpresa nelle persone quando vengono portate a riflettere sull’importanza dei loro comportamenti a fini preventivi. Si tratta di un’esperienza per loro sempre illuminante in quanto non erano stati mai state stimolate a considerare gli aspetti umani e sociali della Rete.
Per questo sono sempre più convinta che la formazione, ovviamente da realizzarsi con metodologie didattiche qualitativamente efficaci e scientificamente appropriate, sia un fattore strategico in qualsiasi organizzazione per la presa di consapevolezza dei rischi.
Certo, non è semplice agire sui comportamenti e sugli atteggiamenti delle persone: ci vogliono tempo, risorse e soprattutto percorsi di cultura della sicurezza ben progettati. Ma se non si investirà seriamente e concretamente sul piano culturale della sicurezza informatica, normative, regolamenti e soluzioni tecnologiche serviranno a ben poco.
