Quanto è importante avere una vasta cultura di sicurezza informatica
Quando leggiamo di attacchi informatici eclatanti, come l’attacco ai sistemi informatici della Regione Lazio, la prima dichiarazione dell’azienda colpita recita sempre più o meno queste parole:
“abbiamo subito un attacco informatico, ma nessun dato è stato rubato”, seguita da “non ci è stato chiesto un riscatto” e da “stiamo lavorando per ripristinare i sistemi nelle – non meglio precisate – prossime ore”.
Trascorso un qualche tempo, la responsabilità dell’attacco informatico viene addossata sul povero collaboratore dell’amministrazione o magari sul tecnico informatico interno. La persona viene quasi sempre accusata di non aver avuto sufficiente cura dei sistemi informatici o persino, di aver navigato su siti web non protetti
Quanto c’è di vero?
Tutto ma anche solo una parte.
Addossare la colpa di un attacco informatico ad una sola persona è sbagliato. Ma nel contempo, possiamo affermare che gran parte dei cyber attacchi si scatena per mano dell’essere umano.
Nel casi di un’azienda colpita da virus o hacker, difficilmente verremo a sapere se è stato richiesto un riscatto, se è stato attaccato il server contenente tutti i file dell’amministrazione o se è stato messo ko l’intero apparato produttivo. Certamente, potremo convenire che gli attacchi informatici sono la più pericolosa conseguenza di un comportamento superficiale.
Nessuno di noi è esente dal rischio cyber crime.
Quante volte facciamo click a raffica, nella fretta di accedere a un contenuto che non si apre istantaneamente?
Quante volte riceviamo un’e-mail da un indirizzo all’apparenza attendibile e ci rendiamo conto di aver davanti a noi spazzatura solo dopo averla aperta?
E infine, quante volte, connessi al lavoro da remoto, abbiamo usato il pc (o il cellulare o il tablet) per aiutare un familiare?
Credo che siano episodi che capitano a tutti noi, talvolta anche più volte al giorno.
L’importanza della cultura della sicurezza informatica
Esistono vari livelli di protezione, partendo da un sistema di prevenzione e monitoraggio preciso e non-invasivo come il Vulnerability Assessment, passando per strumenti hardware e software sempre aggiornati ma quasi mai abbiamo preso in considerazione la formazione.
Saper usare un pc (o un qualsivoglia strumento informatico) nella quotidianità, non è sinonimo di consapevolezza dei rischi a cui si va incontro, delle conseguenze di un comportamento non virtuoso e di quelle che sono le best practice da mettere in atto.
Per questo motivo è importante formare il personale (e non solo). Svelare loro accorgimenti da prendere come abitudini, far capire quali siano i campanelli d’allarme, quali azioni è bene compiere e quali no. Possono sembrare banalità eppure buona parte degli attacchi hacker a segno a danno di professionisti e imprese o, addirittura, grandi enti vanno a buon fine grazie a una di queste “banalità”.
Cultura della sicurezza informatica: quando e come farla
Secondo l’ultima Davos Agenda del WEF, la carenza di competenze nelle aziende è, infatti, fra le maggiori sfide per la cybersecurity a livello mondiale. Questo fondamentalmente perché il digitale sta riguardando tutte le realtà imprenditoriali: micro, piccole e medie imprese comprese.
L’obiettivo della formazione deve essere quello di mostrare il collegamento tra stime di rischio cyber ed elemento umano: nasce l’esigenza di mostrare quanto concreto sia questo legame.
Inoltre, all’interno di un’azienda poi, per definire un programma di formazione adeguato occorre tenere in considerazione età e posizione lavorativa dei collaboratori.
Cultura della sicurezza informatica sì, ma anche prevenzione tecnologica
Nella maggior parte dei casi, la sola cultura dei rischi non è sufficiente.
L’attacco informatico presuppone la presenza di un antagonista formato, con competenze informatiche tecniche che vanno al di sopra della pura consapevolezza dei rischi dei singoli utenti. E soprattutto, in maniera molto meno “idealista” e “romantica” i criminali del web cercano informazioni rivendibili.
Ecco perché gli hacker attaccano i sistemi informatici: sanno di poter trovare sempre un ricco bottino, indipendentemente dall’entità della vittima.
Per riuscire ad arrivare al cuore delle aziende, i criminali informatici ricercano la presenza di vulnerabilità di sicurezza e le sfruttano per riuscire ad entrare nel sistema informatico.
Se è vero come è vero che abbiamo tutti necessità di prendere consapevolezza dei rischi del web e di imparare a difenderci, è altrettanto vero che non possiamo pensare di farlo da soli.
Per concludere, riporto un interessante spunto di riflessione fornitoci da Carola Ferdiani, Cybersecurity Awareness Manager:
L’anello debole nella cyber security sono le persone.
Secondo un recente report del Nisa, l’agenzia della cybersicurezza europea, circa l’84% dei cyberattacchi sono un problema di social engineering.
Quella dell’anello debole è però una metafora sbagliata e pericolosa, perché presuppone che altri anelli nella catena siano forti, perché colpevolizza la vittima e perché sposta la responsabilità. ( … )
Le persone subiscono sempre di più le conseguenze degli attacchi informatici, anche quando non sono diretti verso di loro. Ma anche nei casi in cui fossero il target, il problema è sempre il contorno.
Il problema è che sono circondate da tecnologie vulnerabili, da meccanismi di verifica e di controllo inesistenti o male implementati, o da procedure non chiare o non comunicate. In ultima analisi, il problema è che le persone sono sempre il capro espiatorio perfetto, sia in qualità di utenti, sia in qualità di dipendenti. Il punto è formarle, educarle ( … ) forse siamo un po’ malati di tecno-soluzionismo.
Non c’è la tecnologia salvifica, c’è il contesto in cui è calata una tecnologia. Quindi l’anello debole non è mai “l’umano”, ma tutta la catena e forse bisogna lavorare su quella.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.