Oggi esiste una letteratura sterminata su quelle che sono le buone pratiche di sicurezza informatica. Oltre a molte normative e direttive che ci hanno insegnato importanti lezioni su come implementare e controllare una buona postura cyber.
All’interno delle grandi organizzazioni, abbiamo il terrore delle sanzioni. Quella parte delle normative che ci informa che se non fai le cose bene, una pesante mannaia sarà pronta ad agire verso portafoglio e persone.
Alle volte mi viene chiesto un parere su tutto questo. Soprattutto su come siamo messi noi a livello paese nell’applicazione di queste regole. Oggi vorrei approfondire questo argomento facendo una provocazione, raccontando il perché in certi casi un “sano” data breach, è qualcosa di straordinario.
Advertising
La magia del Data Breach
La sicurezza informatica, per quelli che non fanno sicurezza informatica, è una gran rottura di scatole, diciamocelo. Questo perché siamo ancora molto lontani dall’effetto “cintura di sicurezza” o “casco motociclistico”, dove l’importanza di un’azione è stata percepita, compresa e “stampata” all’interno del DNA delle persone.
Siamo molto indietro, è vero, ma ci stiamo lavorando da anni. Ma va da se che paragonare la “morte “commare secca” ad un data breach, è qualcosa di ben diverso
Il problema è che avvengono costantemente cose terribilmente paradossali negli incidenti informatici che non sono motivabili da un “accidentalità” dovuta ad un’alta sofisticazione di un “attacco di rilievo”. Pertanto occorre fare delle giuste considerazioni e dire una cosa che a molti non piacerà.
Permettetemi di fare questa provocazione: per fortuna che ci sono i Data Breach!
Soprattutto quelli denunciati che creano grossi e grandi problemi all’interno delle aziende, in quanto ce ne sono un’infinità di quelli che sfuggono sotto i tappeti. Quelli che non sono stati mai portati all’attenzione.
Advertising
Molti motivi sono tutti italiani, come ad esempio “ce la siamo scampata”, oppure “meno male che non se ne sono accorti”, o meglio ancora “ci hanno bucato, ma per fortuna dai log non c’è traccia. Non denunciamo nulla a nessuno!”.
Ci stiamo abituando al data breach, ma non troppo
E’ vero, ci stiamo abituando dannatamente al data breach e le notizie sui giornali non fanno più quella notizia, quello scalpore che facevano prima.
Ma se accadono al “dirimpettaio”, al competitor vicino a noi, psicologicamente avviene qualcosa di straordinario con delle domande pseudo “marzulliane” del tipo: “Vedi? siamo meglio noi”. Ma la considerazione più interessante è la deriva del primo: “cazzo, ma come siamo messi noi?”.
Ma fatemi dire un’altra eresia. permettetemi un’altra riflessione insensata: per fortuna che ci sono i ransomware a doppia raddoppia estorsione. Quelli si che fanno veramente paura.
Perché se paghi o riesci in qualche modo a de-cifrare i tuoi dati: “vabbè, è andato quasi tutto bene”. Ma se non paghi per un qualche motivo e quei dati e la tua proprietà intellettuale piomba direttamente nelle darknet, sono problemi veramente grossi.
Il Video sul canale YouTube di Red Hot Cyber “La magia del Databreach” di Massimiliano Brolli
Tanti soldi quanti non avrebbero mai pensato di spendere in tutta la loro esistenza sulla cybersecurity, oltre a dover gestire nell’immediato un danno di immagine, le eventuali sanzioni e la delusione dei loro clienti.
Il rischio zero non esiste e l’asimmetria tra bene e male cresce ogni giorno sempre di più, lo sappiamo, ne abbiamo parlato centinaia di volte. Inoltre sappiamo che i criminali informatici se motivati e finanziati, non puoi fermarli in alcun modo. Attenzione, non sto parlando degli “hacker”. Il termine hacker impariamo a conoscerlo prima di usarlo in modo sbagliato.
Ma ovviamente, essere “bucati” per una vulnerabilità di ProxyShell, perchè non è stato aggiornato Microsoft Exchange da 10 mesi è ben diverso che essere violati da Cozy Bear o Lazarus (tanto per dirne due a caso).
Capite benissimo che c’è una grande differenza tra questi due tipi di attacchi a livello di sofisticazione. In Italia di organizzazioni pubbliche e private che purtroppo hanno uno stato così importante di degrado, ce ne sono tantissime e forse a loro farebbe bene un sano databreach.
Perché tanto la cybersecurity la si paga sempre.
Se non la paghi prima, la paghi dopo e il conto molto spesso e tanto, ma tanto più salato.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
Aree di competenza:Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.