Un dirigente così risponde ad una mia domanda sul livello di preparazione al cyber risk: “siamo ragionevolmente tranquilli, in quanto, oltre ad avere molti sistemi di protezione (antivirus, anti intrusione, firewall, ecc.), sottostiamo anche a periodici vulnerability assessment. E, non ultimo, non ci è successo ancora nulla, a dimostrazione della nostra preparazione.”.
Nessun accenno alla cultura aziendale del rischio.
Se posso fare un parallelo con la esperienza di un automobilista, è come se quel signore avesse detto: “ho una macchina nuova, faccio regolarmente il tagliando, tengo sotto controllo l’olio, i freni, i pneumatici. Ho la ruota di scorta. Ho il computer di bordo che mi avverte se qualcosa non va. Ho il giubbetto, il triangolo, una torcia ed un estintore. Ho anche una cassetta del pronto soccorso. Di che altro necessito? Posso quindi stare ragionevolmente tranquillo che difficilmente avrò un incidente grave”. Considerato che la maggior parte degli incidenti dipendono dalle modalità di guida (stanchezza, distrazione, ebbrezza, droghe) e da fattori esterni, indipendenti da chi guida, viene il dubbio che il conducente l’auto abbia compreso dove effettivamente risiede il rischio maggiore.
Se a fare quel ragionamento sopra citato è, in una medio-grande azienda, il responsabile del risk management, allora è meglio declinare una eventuale offerta di un passaggio in auto! E soprattutto avvertirlo di non essere affatto tranquillo.
La principale via di ingresso di un malware in una azienda è la persona. Troppi sono i casi di addetti che aprono file infetti. Spesso essi sono ingannati da un messaggio proveniente da chi appare un collega o una conoscenza, di lavoro o personale; e. soprattutto, perché affetti da una presunta sicurezza; è mai capitato di sentire questa affermazione: “l’antivirus individua l’eventuale malware, perché ne conosce le modalità di esecuzione e comunque lo esegue in una “sand box”, in modo sicuro”?
Affermazione sbagliata. La persona non esperta si sente al sicuro: ciò rappresenta un pericoloso atteggiamento.
Un altro errore che viene compiuto è quello delle eccezioni alle regole, con la conseguenza di aprire porte al nemico. “Ma avevamo fatto quella eccezione solo per questi due giorni, essendo prossimi alla scadenza!”. Mai sentita questa affermazione?
Non ricorda quella dell’automobilista che, scoperto il furto del computer che era stato riposto nel portabagagli dell’auto, esclama: ”L’avevo chiuso a chiave e solo per due minuti! Come è possibile? Ero qui al negozio di fronte!”.
Potrei andare avanti con tanti esempi e tutti che confermano una necessità: creare una giusta cultura del rischio. A tutti i livelli. Ad esempio, non ho citato le debolezze umane. Diceva un collega: “l’uomo più corretto ed onesto può compiere un reato per colpa delle donne, per ricatto o per debiti di gioco”, ed io posso confermare avendo partecipato, e, in diversi casi, contribuito ad identificare i responsabili. Le aziende sono pronte anche a questa eventualità, ossia a fronteggiare attacchi dall’interno, da parte di personale qualificato?
Mi domando: essendoci anche tanti rischi nuovi, non sarebbe ora di iniziare ad investire nella sensibilizzazione dei cittadini? Considerati anche gli incidenti e le frodi perpetrate agli anziani (ed anche ai giovani!), perché non cominciamo a far dedicare nelle scuole delle lezioni tese a sensibilizzare alla gestione dei rischi già i bambini sin dalle classi elementari?
Per esempio nell’ambito delle lezioni di “educazione civica”? Non c’è più? Forse è il caso di ripensarci…
Noi di ANSSAIF da anni abbiamo dato la nostra disponibilità in tal senso e, recentemente, abbiamo messo a disposizione di tutti una metodologia già testata in un campione di scuole. Siamo disponibili ad iniziare soprattutto dai docenti.
Anthony Cecil Wright