Si è appena concluso il consueto convegno dell’ABI Banche e Sicurezza dedicato al settore finanziario. Nelle due giornate dell’evento, tenutosi a Milano il 23 e 24 maggio, si è discusso dello stato attuale della sicurezza e degli scenari futuri, con interessanti spunti di riflessione.
Tra le tematiche trattate nelle varie sessioni, spicca quella relativa alla convergenza tra sicurezza fisica e logica, la cosiddetta cyber physical security, un approccio rinnovato che si pone l’obiettivo di integrare strumenti e metodologie di prevenzione e contrasto e coinvolgere attori provenienti da diversi ambiti, sia fisici che tecnologici.
Non è un mistero che lo scenario della cybersecurity si faccia sempre più articolato e che i vettori utilizzati per gli attacchi riguardino sia dispositivi fisici che canali tecnologici, con una commistione che complica la gestione dei fenomeni criminosi. Si pensi, ad esempio, a come la diffusione di malware nei pc, personali o aziendali, possa essere veicolata da chiavette USB non identificate che – lasciate generosamente come esca – vengono inserite nei computer solo per la curiosità di verificarne il contenuto.
Oppure al fatto che nella realizzazione di attività criminose (dai reati predatori a quelli contro la persona) vengano impiegati strumenti tecnologici durante la fase logistica-organizzativa e/o in quella esecutiva, raccogliendo informazioni, ad esempio, tramite canali social o foto memorizzate nel proprio dispositivo personale.
Nel mio intervento al convegno ho osservato che se nel mondo degli esperti di security le due anime della sicurezza, fisica e logica, sono ancora viste spesso come due entità separate, la stessa visione non è condivisa dai criminali: essi, infatti, agiscono basandosi su una logica costi-benefici e sfruttando tutte le possibili vulnerabilità che riescono a cogliere, fisiche o logiche che siano. L’importante è trovare il “punto di debolezza” per l’ingresso. Che può essere anche l’essere umano.
Non di rado un attacco informatico è preceduto da un’attività di ingegneria sociale (social engineering), ovvero dall’uso di strategie psicologiche che, sfruttando le naturali caratteristiche umane, traggono in inganno la persona portandola, per esempio, ad aprire una mail di phishing o un allegato con scaricamento di malware o a rivelare via telefono informazioni utili all’attaccante.
D’altro canto i dati parlano chiaro. Si veda, ad esempio, il rapporto annuale di Verizon, il Data Breach Investigations Report, che ha analizzato 42.068 incidenti di sicurezza e 1.935 violazioni riguardanti più di 84 Paesi. L’analisi mette in evidenza il ricorso a schemi di attacco che includono canali di diversa natura, fattore umano compreso, il quale rappresenta il vero “tasto dolente” da affrontare.
Va da sé comunque che, se alcune “percezioni” e “cognizioni” dell’essere umano possono costituire l’elemento debole della catena di sicurezza, l’allenamento all’attenzione e al comportamento prudente può essere la chiave di successo della prevenzione.
Tra i suggerimenti forniti nel rapporto Verizon si fa riferimento anche all’importanza della sicurezza fisica, dal momento che i dati possono essere sottratti non solo in modalità on line, ad esempio mediante la perdita o il furto dei dispositivi informatici.
Se dunque le minacce si concretizzano sempre più in modo combinato, non è più pensabile affrontarle con logiche di separazione, anche in considerazione del fatto che l’IoT, ovvero l’Internet delle cose, è ormai una realtà in forte sviluppo.
E questo comporterà da un lato una sempre maggiore digitalizzazione delle informazioni, dall’altro un esteso utilizzo di dispositivi mobili.
Fisico, logico e umano: quale futuro insieme?