Ripartiamo dalle basi: il security awareness.

Redazione RHC : 13 Giugno 2021 08:00

Autore: Angelo Giuliani

Data Pubblicazione: 5/06/2021

Cosa hanno in comune le seguenti coppie di parole admin/admin; pc044/12345? È incredibile come al giorno d’oggi binomi di questo tipo, senza un nesso logico, subiscano l’effetto di un immediato riconoscimento da parte della nostra mente anche a una prima e magari distratta lettura. Senza indugio alcuno, quindi, possiamo asserire che quelle indicate sono rispettivamente username e password di account di piattaforme o App, attive nella rete internet, almeno da un punto di vista generale.

L’evoluzione della società dell’informazione, a partire dai primi anni 2000, ha fatto sì che tutti, anche i meno avvezzi, siano capaci di individuare quasi a colpo d’occhio ciò che ruota nel mondo dell’informatica per tutti. Ciò che era destinato in principio ad una minoranza di pochi eletti, spesso professionisti del settore, è diventato appannaggio della massa. Quest’ultima intesa come unità addensata e poliforme che racchiude tipologie variegate della popolazione umana, capace di sprigionare forza motrice non solo in termini di nuovi usi e costumi della società moderna, ma anche nuovi paradigmi dei processi produttivi e scientifici.

L’Informatica è il nuovo baluardo di una nuova libertà, mi dissero una volta seduto davanti un buon caffè. Tutto vero, aggiungerei, se non fosse per il fatto che qualunque libertà ha un rovescio della medaglia con cui fare i conti. Un rovescio, quello relativo all’informatica, non ben delineato, quasi difforme e lontano. L’innovazione, qualunque essa sia, porta con sé non solo forza propulsiva sotto forma di novità, ma anche un insieme di regole a cui “sottostare” per poter prendere parte al gioco. Una di queste regole è quella della Sicurezza Informatica o Cyber Security, delegata al controllo e prevenzione e repressione di azioni che avvengono in rete.

Appare evidente, che spesso le best practices, specialmente in termini di sicurezza informatica siano in non pochi casi, solo parole e non seguite a tutt’oggi da fatti, principalmente per ciò che riguarda l’utente domestico. L’esempio fatto in apertura conferma quanto appena detto. Difatti identifichiamo senza troppa fatica un problema serio di sicurezza, inquadrabile in un primo grande punto in comune.

L’uso di password molto labili da parte dell’utente medio ad esempio, si presta molto spesso ad essere terreno fertile per violazioni dei sistemi. Molto elementari dal punto di vista tecnico, tramite massicci attacchi brute-force, quindi a “basso costo”, ma molto funeste in termini di costo sociale.

Frodi e Violazioni della Privacy e dei sistemi, per citarne alcuni, sono i reati in auge che caratterizzano attività fraudolente alla cui base è rinvenibile un sostrato di inadempienze da parte dell’utente finale mista ai nuovi confini da conquistare da parte del reo. Il Quantum probatorio allo stato attuale della questione conta poco. Tutti i dati, qualunque sia la loro consistenza, hanno un loro valore intrinseco da tutelare. Il dato personale ad esempio come può essere il più semplice nome-cognome, non può e non deve avere connotati solo puramente identificativi, ma bisogna continuare a pensarlo nella globalità della persona stessa. In definitiva per dirla in semplici parole, l’avatar virtuale e la persona fisica non devono coesistere, ma esistere in un’unica entità.

Non è purtroppo ancora chiaramente inequivocabile il perché fondamentale di questo strappo con la vita di tutti i giorni. Nessuno andrebbe ad esempio in vacanza per 15 giorni lasciando socchiusa la porta d’ingresso della propria abitazione! La solfa che il concetto sia spiegato male dagli addetti ai lavori e la mala interpretazione da chi utilizza i dispositivi, appare puerile e fin troppo semplicistica. Troppo poco per un concetto di fondamentale importanza, che riguarda ciò che spesso erroneamente si invoca o si difende a spada tratta, ossia la protezione della Privacy.

Purtroppo in linea generale, vi è di fatto alla base l’amara constatazione che quanto più un concetto è espresso semplicisticamente, tanto più risulta vero. In questo caso, aiutato sovente anche da un errato messaggio veicolato dai media tradizionali. Quest’ultimi, non pronti e in parte disinteressati ad approfondire le nuove tematiche del futuro, lanciano messaggi indefiniti, istillando incertezza. Quando pensiamo ad un attacco hacker, inevitabilmente la nostra mente li riconduce a casi come il potente attacco ransomware denominato Wanna Cry che nel 2017 mise in ginocchio gli ospedali inglesi, peraltro ottimamente decritti nel libro CYBERCRIME di Carola Frediani [2019 edito Hoepli]. Casi giganteschi, quasi da film con tanto di suspense.

Nulla di più sbagliato. Gli attacchi, come si è avuto modo di constatare nel corso del 2020, statistiche alla mano, sono più che triplicati. Causa pandemia, le attività svolte online come la Didattica a Distanza (DAD) o Smart Working, non solo ha visto lievitare il numero di utenti, che risultano iper-connessi alla rete, ma ha anche aperto ulteriori squarci nel già delicato equilibrio tra l’utente finale e la citata carenza info-conoscitiva riguardo la sicurezza informatica sin dai più bassi livelli.

Un aspetto rappresentativo che emerge nel post pandemia, è che il lavorare online per tempi prolungati e in modo sempre più interconnesso, raggruppando in un’unica sessione perfino più tipi di attività, ha accelerato il processo di over confidance nei confronti di tutto ciò che è web, provocando il disconoscimento del grado di rischio a cui l’utente stesso si sta sottoponendo. Un atteggiamento dannoso non solo dal punto di vista operativo di un utente, ma anche dal punto di vista dell’indebolimento di tutte quelle accortezze psicologiche verso l’ignoto che da tempi ancestrali supportano l’umana condizione. Non bisogna considerare il concetto di sicurezza informatica come un concetto esterno, privo di significato intrinseco se rapportato alla vita quotidiana, ma a parte integrante di essa.

Certamente quanto descritto non risiede in una dimensione dualistica della questione. La zona grigia fatta dalla realtà dei fatti, è tutelata sotto molteplici aspetti. Molto si è fatto negli anni dal punto di vista tecnico, basti pensare a titolo di esempio all’introduzione dell’autenticazione a doppio fattore 2FA, alle password policy sempre più complesse. Tanto si è fatto anche per tutelare dal punto di vista giuridico chi purtroppo è rimasto vittima di attacchi informatici come l’aggiornamento dell’ex art.615 c.3 c.p. per quanto riguarda l’ordinamento italiano e la massiccia riqualificazione del concetto di privacy da parte dell’Unione Europea attraverso la rielaborazione delle normative nazionali in una sistemazione organica quale il GDPR del 2018.

In definitiva per quanto gli specialisti in materia lavorino alacremente per un miglioramento delle condizioni sopra descritte, Occorre prima di tutto ripartire da nuove consapevolezze, eliminando lacune che spesso non sono soltanto tecniche. Non basta infatti ragionare solo in termini di penetration testing, di firewall, alla configurazione ottimale delle porte o al rilevamento di backdoor. Bisogna ricordare che il primo vero ostacolo ad un attacco hacker è l’atteggiamento tenuto dall’utente.

Tanto più l’utente finale si palesa come parte attiva nella lotta al cybercrime attraverso comportamenti virtuosi, tanto più le probabilità di veder sfumare l’attacco saranno maggiori. Nella pratica investire capitali non solo in automazione, ma in formazione. Questa è in ultima istanza la carta vincente per il prossimo futuro.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.