Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Tutti speaker sulla Cybersecurity. Ma a parte le chiacchiere, chi fa le cose?

Daniela Farina : 14 Aprile 2023 07:01

La prima rivoluzione informatica è compiuta, viviamo nella società digitale.

La nostra vita “sempre connessa” piena di comodità – la facilità dei contatti e comunicazioni, la disponibilità di qualsiasi informazione, l’accesso ai servizi dal divano della propria casa – ha un rovescio della medaglia.

Abbiamo rinunciato alla nostra privacy, rilasciamo i nostri dati a tantissimi provider affinché possano “servirci meglio” ed è tutto scritto, in chiaro, nelle clausole che tutti accettano, senza nemmeno leggerle più.

Tutte le informazioni che riguardano noi, la nostra società e le nostre aziende sono digitalizzate ed esposte continuamente alle minacce. Quasi ogni giorno, un cyber attacco fa notizia, a livello mondiale. Per le aziende, le conseguenze consistono in perdite economiche, danni di reputazione e sempre più spesso il blocco del business.

Per gli individui, questi incidenti si realizzano con la diffusione dei propri dati personali, talvolta, anche di quelli sensibili, come i dati sanitari. Il tema della sicurezza informatica è sempre più importante e non se n’è mai parlato così tanto.

La Cybersecurity è diventata mainstream

Lo storytelling sugli incidenti informatici attribuisce, spesso, la causa ad un’attaccante esterno. Ma tali eventi sono, realmente, l’effetto di menti geniali che utilizzano alchimie tecnologiche oltrepassano le mura del castello, oppure siamo davanti alla casa di paglia dei tre porcellini che si apre ed a un soffio di lupo Ezechiele?

La realtà è nel mezzo, gli attacchi sfruttano il fatto che – in passato – la sicurezza veniva vista solo come un costo e che solo ultimamente, e con non pochi sforzi, si sta cercando di adeguare. Il modello degli sviluppi attuali, caratterizzato da continui rilasci di prodotti “non maturi” e continui aggiornamenti “non adeguatamente testati” complica la gestione della sicurezza. D’altra parte, maggiore è la complessità e l’esposizione al rischio, minore è la sicurezza informatica.

Spesso si tende ad imputare tutto alle capacità dei criminali informatici, tuttavia, sarebbe più corretto ed efficace, parlare delle reali cause dell’evento. La comunicazione di quanto realmente accaduto, durante un incidente informatico, può costituire il punto di forza, affinché si diffonda la conoscenza e la consapevolezza, sulla base delle cosiddette “lesson learned”. Ecco perché ogni incidente di sicurezza dovrebbe essere visto come un “tesoro” per il miglioramento continuo del sistema paese, anche se questo non viene fatto.

La situazione è seria poiché mentre cerchiamo di adeguare le nostre infrastrutture, le cose da proteggere aumentano sempre di più. Nel nostro paese ci sono 124 milioni di oggetti connessi, 2,1 per abitante.(Osservatorio Internet of Things della School of Management del Politecnico di Milano).

Questi strumenti (IOT-Internet of Things) non nascono con una progettazione che include la sicurezza.
“Tutto è connesso”: il cellulare, la tv, la lavatrice, il frigorifero.…ci siamo ricordati di aggiornare l’antivirus del frigorifero? Sappiamo che la tv, ci ascolta, che il frigo comunica quello che mangiamo al produttore e che la webcam con cui controlliamo casa dal cellulare può essere pericolosa?

Dei rischi connessi a tutti questi oggetti si parla davvero poco!

La sicurezza deve divenire una questione di formazione delle persone!

Deve coinvolgere la scuola per poi passare nelle aziende, nelle piazze, nei media e nei social. La comunicazione riguardante gli eventi di sicurezza dovrebbe essere schietta e definire le reali cause di un incidente informatico, attribuendo le corrette responsabilità. Ciò consentirebbe a creare una cultura della sicurezza, comprendere quale è il contributo, cosa è stato fatto e/o cosa fatto male e cosa si sarebbe dovuto fare.

“Ancora oggi il fattore umano resta uno degli anelli deboli della catena. Il fatto che non si sia ancora affermata una cultura corretta è quasi comprensibile vista la velocità con cui la rete si è trasformata. La nostra vita digitale è affidata in parte a noi stessi e dobbiamo saperla gestire”(Nunzia Ciardi)

Parlare di sicurezza e fare sicurezza è la stessa cosa? Parlare non vuol dire comunicare.

L’atto della comunicazione ha infatti lo scopo di trasmettere a qualcuno informazioni e messaggi. Qualsiasi messaggio, inteso come veicolo di informazione (pubblicitaria, scientifica, formativa) ha lo scopo di trasmettere conoscenze da un soggetto (individuo o azienda) ad un altro.

La comunicazione consente di veicolare un messaggio, in maniera tale che arrivi al destinatario, secondo le intenzioni dell’emittente, in maniera chiara, reale e senza fraintendimenti. Questa semplice affermazione racchiude, tuttavia, una notevole complessità nel passaggio dalla definizione teorica all’applicazione pratica.

Nel momento stesso in cui le cause reali di un cyber attack vengono nascoste o solo parzialmente raccontate, si sta celando una realtà che, invece, potrebbe essere molto utile per accrescere la consapevolezza informatica a livello paese. Sorge il sospetto che la narrazione dei media e dei social che deresponsabilizza le aziende, i manager, i responsabili IT e gli utenti ed attribuisce la colpa all’attaccante cattivo possa essere intenzionale.. una vera e propria propaganda.

L’operatività, questa sconosciuta

Nella cybersecurity, la parola d’ordine dovrebbe essere “operatività”, ma purtroppo questo aspetto spesso viene trascurato. Le aziende investono ingenti quantità di denaro in tecnologie avanzate e formazione del personale, ma spesso si dimenticano dell’importanza nell’essere operativi.

Essere operativi significa avere la capacità di agire, di fare le cose, di mettere in pratica le politiche e le procedure di sicurezza informatica. Tuttavia, troppo spesso ci si limita a mostrare solo delle belle slide, contornandole di un buon storytelling, ma senza un approccio pratico.

Il problema è che i criminali informatici non si limitano a creare presentazioni accattivanti. Loro agiscono, e lo fanno con grande efficienza. Per questo motivo, se si vuole combattere il crimine informatico, è necessario porsi sullo stesso piano dei criminali, ovvero essere altrettanto operativi.

Ma cosa significa essere operativi nella cybersecurity?

Significa avere una visione globale dell’ambiente informatico in cui si opera, essere in grado di individuare le minacce, analizzare i dati e di agire tempestivamente in caso di attacco informatico.

Essere operativi significa anche essere in grado di trasformare in policy e procedure le esperienze e quindi correlarle ad azioni concrete, di diffondere queste informazioni agli altri membri del team e di mantenere costantemente aggiornati i processi di sicurezza informatica.

In sintesi, la cybersecurity ha bisogno di operatività prima di tutto. È importante investire in tecnologie avanzate e nella formazione del personale, ma è altrettanto importante essere in grado di agire e di fare le cose. Solo così si potrà proteggere efficacemente le aziende e le informazioni sensibili dei clienti.

Concludendo

I media, i social e gli esperti di cyber security hanno il compito di fare una comunicazione reale, così da attivare comportamenti responsabili e limitare i pericoli derivanti da disattenzioni o errori “umani”. Devono, parlare di più dei gadget tecnologici di cui ci circondiamo e dei rischi sul loro utilizzo. Mettendo insieme i pezzi di questo puzzle appare evidente che lo sforzo coordinato di soluzioni tecnologiche ed organizzative non può realizzarsi senza una forma di comunicazione, che possa diffondere il concetto di operatività. In caso contrario, il tema della sicurezza rischia di divenire sempre più un fenomeno teatrale.

D’altra parte, un criminale informatico è una persona altamente tecnica e se lo vuoi combattere, devi approcciarti sul suo stesso livello, pertanto hai necessità di “capacità” operative, che in Italia, sono piuttosto rare.

Tutti ne parlano, competenti e non, utilizzando spesso una comunicazione mainstream, veloce e divulgativa. Uno spettacolo teatrale, dove si discute di argomenti rilevanti, soffocati dall’esibizione, che primeggia “comunque e ovunque”. Una comunicazione egocentrica ed inefficace attorno ad una materia complessa, che non può essere semplificata. Purtroppo la Cyber Security è una scienza complessa e occorre una grande esperienza per potersi destreggiare al suo interno e non tutti si possono improvvisare a farlo.

Le parole non contano, servono i fatti!

Le parole possono cambiare i fatti solo se raccontano un approccio operativo che possa far cambiare le cose! D’altra parte, siamo il paese più colpito dagli attacchi informatici e allo stesso tempo quello che organizza più conferenze di sicurezza informatica in tutto il mondo.

Se solo fossimo bravi la metà di quanto mostriamo di essere.

Daniela Farina
Laureata in Filosofia e Psicologia, counselor professionista, appassionata di work life balance e di mindfulness, a supporto di un team di cyber security tester in TIM S.p.a.