Pablo Escobar? Vallanzasca? Al Capone? No, i protagonisti delle ultime serie TV su Netflix non sono loro…
Il crimine ormai non avviene più solo sulla strada, tra le persone, con armi ed ostaggi. Ecco che allora troviamo Mr. Robot, Black Mirror e una versione restaurata di Lupin, che con le loro abilità informatiche tengono in pugno interi governi e riescono ad infiltrarsi nei computer di mezzo mondo.
Il tema della cybersecurity è caldo, anzi caldissimo. L’occasione di parlarne durante uno degli appuntamenti di Exploring The Future è ghiotta. Per questo Roberta Morici del Cefriel – Politecnico di Milano, che coordina gli appuntamenti in Open Education del filone Technology, apre le danze di questo incontro facendo riferimento a come le tecnologie stiano cambiando il nostro lavoro, ed inevitabilmente le nostre vite.
Ma non solo; tra le tante modifiche con le quali la nostra quotidianità ha dovuto fare i conti, ce n’è una che mina alle fondamenta della nostra esistenza. E’ il costrutto di sicurezza, nella sua declinazione informatica. Potenzialmente quando siamo di fronte ad un device con connessione internet, potremmo essere sotto cyber attacco. Noi come privati, le aziende, gli enti governativi, senza differenza.
La Lectio Magistralis condotta da Andrea Cabrini, Managing Editor Class CNCB, ci accompagna in un viaggio alla scoperta dei potenziali rischi connessi alla cybersecurity, fornendoci degli strumenti di immedesimazione preziosi per entrare nella mente del “cyber criminal”, che ci permettono di poter arginare un rischio che è reale, in un contesto a dir poco veloce e mutevole come quello del mondo phigital post-pandemia.
La disruption ai tempi del Covid
Chi prenderebbe un aereo, conscio di una vulnerabilità dei sistemi che potenzialmente metterebbe a rischio la propria vita e quella dei propri cari? La risposta, quanto mai scontata, porta a comprendere la portata del fenomeno. Per proteggere le infrastrutture critiche, il Presidente della Repubblica Sergio Mattarella ha firmato un decreto per istituire l’agenzia per la cybersicurezza nazionale.
Tutti siamo esposti, anche se a volte semplicemente non ce ne rendiamo conto. Si presume che tra le aziende, il 50% è stato vittima di cyberattacchi, l’altro 50% non sa di essere stato attaccato. Attacchi ad importanti aziende internazionali come Twitter, Garmin, Campari, e molte altre ancora, testimoniano quanto il tutto sia concreto ed effettivo.
Il terreno è fertile per i cyberattacchi, il Covid ci ha costretti ad un’accelerazione impressionante nell’utilizzo di dispositivi da utilizzare da remoto, per supportare nuove modalità di lavoro e di apprendimento quali smart working, dad, ecc. E’ un forte elemento di rottura con il passato, che corrisponde ad un salto nell’agenda digitale di circa 6 anni. Purtroppo il tutto senza dare il tempo alla sicurezza informatica di studiare il fenomeno, e di adeguarsi. Il risultato è una tempesta perfetta. E un’opportunità per il cybercrime, l’occasione della vita.
L’infrastruttura di sicurezza che sta dietro al lavoro da remoto, non è la stessa di quando si lavora in azienda. Il primo rischio nel lavorare da casa, come suggerisce una ricerca CNBC, è quello di essere attaccati. Il problema diventa quindi più pervasivo. Se consideriamo che dall’altra parte, i cybercriminali sono strutturati e agiscono come vere e proprie aziende, con un modello di business che si fonda proprio nel trovare le falle dei sistemi di sicurezza, allora la questione si fa ancora più seria.
Identikit: i cybercriminal
Se pensiamo alla minaccia come a dei geek, gli “smanettoni” con magliette di Star Wars e una passione sfegatata per i computer e le nuove tecnologie, siamo sulla strada sbagliata. Ora il cybercrime (o cyberterrorism, dipendentemente dallo scopo) è business oriented, con una struttura molto organizzata, complessa, globalmente interconnessa, con piani economici e R.O.I. proprio come una qualunque altra azienda. Con strumenti e tool che sono paralleli a quelli dell’IT lato sicurezza. E non per ultima, una potenza di fuoco notevole. Si stima che il cybercrime, nel quale le aziende private hanno probabilmente molta più disponibilità economica degli stati, sia nel 2021 la 3° industria mondiale, e che nel 2025 il suo business possa raggiungere gli 11 trilioni di dollari.
Ma cos’hanno in comune tutti gli attacchi di matrice cyber? L’elemento umano. Circa il 97% degli attacchi che hanno successo, sfrutta la componente di ingegneria sociale, cioè l’arte del raggiro portata nel mondo cyber. Solo il 3% è un difetto tecnico. Il loro obiettivo è quindi il seguente: indurre le persone in errore.
Organizzare una difesa per questa minaccia. Da dove si parte?
La cybersecurity non è un tool, ma un processo, che va mantenuto nel tempo. Fatto di regole, strumenti e persone. Per poter arginare il problema, si parte proprio dall’elemento più lontano dalla tecnologia, quello umano. Riuscire a capire cosa guida le persone che si stanno addentrando nel mondo del cybercrime, cercare di scovarne gli obiettivi, provando ad immedesimarsi nei loro comportamenti. Ancora una volta, è la nostra abilità di capire gli altri a fornirci una risposta, una possibile soluzione. Scienze umane, psicologia, scienze comportamentali entrano con preponderanza in questo mondo.
Enrico Frumento, Senior Domain Specialist del Cefriel, nella sua Lectio Magistralis ci illustra come sia diventato fondamentale oggi nella progettazione dei nuovi sistemi considerare come utenti futuri non solo l’H.C.I. (Human Computer Interaction) lato utenti finali, ma anche gli hacker potenziali, che non vanno visti come un incidente occasionale, ma come qualcuno che fa business. Dobbiamo chiederci: cosa spinge un hacker a diventare un cyberterrorist? E’ evidente come i professionisti della sicurezza abbiano interiorizzato che è solo una questione di tempo prima che le difese vengano compromesse. La domanda non è più se mi comprometteranno, ma quando. Questo modifica il paradigma, e introduce il concetto di cyber risk, cioè la stima del rischio di venire compromesso in un determinato modo.
Possibili circoli virtuosi: azioni sistemiche a partire dalla formazione
La portata e la complessità di questo fenomeno, portano quasi a pensare che forse una soluzione non esiste. Il cyber risk non è quantificabile con meri calcoli matematici, ma è una variabile che dipende da più fattori. Anche investendo molto, si pone un altro problema, quello della sostenibilità (economica) della cybersecurity. I processi legati ad essa possono essere molto costosi, e non alla portata di tutti. Ci sono però delle azioni concrete che già sono state attuate, ad esempio i continui investimenti della Comunità Europea nel progetto di reskilling e upskilling delle competenze dei cittadini e la presenza di un impianto investigativo tra le forze dell’ordine mai visto prima. Oltre a questo l’I.A. (Intelligenza Artificiale) può supportarci nell’identificare anomalie sospette nei sistemi.
Questo nuovo paradigma sta modificando diversi settori, come quello assicurativo, il quale ha visto realizzare le prime polizze cyber solo qualche anno fa. E proprio da qui arriva l’ultimo ospite dell’incontro, Roberto Tonet, Faculty e Mandatory Training di Generali Italia. Quello che Roberto cerca di fare con il suo team in azienda è chiaro: trasformare una vulnerabilità (elemento umano) in una prima linea di difesa. Come? Con la formazione. Non è un’impresa semplice, visto che anche grazie al Covid più di 10.000 persone hanno dovuto ricorrere al lavoro da remoto in tempi molto brevi.
Creare consapevolezza del problema, un problema che riguarda tutti noi come esseri umani, è uno degli obiettivi dell’Academy di Generali, attraverso una formazione generalista di primo livello e una più differenziata, in base a ruoli e processi. Ma c’è di più. E’ in atto un cambio culturale dove le persone sono responsabili della propria autoformazione, anche grazie alla possibilità di poter fruire di contenuti, tra cui le Pillole Formative Skilla, sempre disponibili in microlearning e da qualunque device. E’ importante alternare questo con momenti di confronto, tavole rotonde, analizzando casi concreti di attacchi avvenuti in questo periodo storico, che possono portare a suggestioni utili in futuro. Sempre mantenendo un canale aperto tra formazione e IT security. Questo processo iterativo, che porta ad una costruzione della conoscenza in azienda e non solo, può veramente risultare vincente in una partita ancora aperta come quella della sicurezza informatica.
Qui di seguito puoi trovare un abstract dell’evento “Cybersecurity: attivare una difesa fatta da tool, processi e persone”