I problemi della sicurezza informatica sembrano ormai una costante con l’avvio del nuovo anno. Il 2017 si apriva con la faccenda del cyberspionaggio attribuita ai fratelli Occhionero. Il 2018 si è aperto con la notizia delle falle nei microprocessori, e la corsa delle case produttrici per fornire gli aggiornamenti risolutivi accompagnate dalle rassicurazioni di rito.
Al di là dello specifico evento che risveglia l’attenzione di istituzioni e cittadini, va da sé che le problematiche relative alla sicurezza informatica vanno estendendosi, assumendo in certi casi dimensioni preoccupanti. Il panorama è variegato: si va da tipologie di attività che si collocano nell’ambito del tradizionale cybercrime (furti di identità, frodi, ecc.) fino ad attacchi informatici complessi che hanno l’obiettivo di colpire le infrastrutture critiche di un paese. Gli approcci risolutivi al 100% non ci sono e non possono esserci, data la complessità del tema. Ad oggi, nonostante tutte le più innovative soluzioni tecnologiche a disposizione, la situazione è anche peggiorata se paragonata agli anni passati, come confermato da autorevoli rapporti sulla sicurezza informatica.
Ed il panorama non è roseo. Con l’Internet delle cose (IoT) si determineranno ulteriori esigenze di sicurezza, che richiedono risposte ancora più articolate.
Attenzione a chi propone soluzioni miracolose e in tempi brevi. Problematiche così complesse non possono essere affrontate con rimedi al bisogno, come si fa con i farmaci da banco. È fondamentale avere una visione strategica e praticamente applicabile, così come è necessario un approccio sistemico nel quale includere persone, tecnologie e processi. C’è molto da fare, ed è evidente che la domanda di sicurezza è talmente alta in gran parte del mondo da influenzare, in modo interconnesso, politiche e strategie di business.
C’è però un punto che ritengo fondamentale, soprattutto alla luce dell’evoluzione tecnologica di questi anni: occorre ripartire dalle basi, intese come “basi di conoscenza”.
Senza di queste, nessuna strategia può essere efficace.
Malgrado i buoni propositi di questi anni, si continua a perseverare in un approccio squisitamente tecnologico, che certamente non è inutile, ma che per essere efficace richiederebbe di essere accompagnato da altre azioni, come appunto quelle relative alla conoscenza. Che si parli di consapevolezza o di awareness (se si vuole usare il termine alla moda), la base da cui partire è sempre la conoscenza.
Se gli esperti continuano ad affermare che il problema maggiore della sicurezza informatica è costituito dall’anello più debole della catena, cioè il fattore umano, bisogna includerlo in modo appropriato in ogni strategia e misura. Ho più volte discusso tale aspetto.
Ma farlo bene non è cosa da poco. Anche in questo caso, ridurre l’equazione fattore umano=consapevolezza a generici training formativi o a video di sensibilizzazione, per giunta non sempre ben congegnati in termini di comunicazione, non solo è inutile, ma può addirittura essere controproducente.
C’è molto da fare, ed è un bene che continuino a fiorire centri ed iniziative dedicate. È fondamentale saper leggere gli scenari e anticiparne le possibili evoluzioni. Ma oltre a questo, servono professionalità e competenze specifiche in tema di formazione delle persone, che non si improvvisano. Il valore della conoscenza e dell’esperienza è preziosissimo.
Se non si comprende, o non si vuole comprendere questo aspetto, c’è davvero il rischio che negli anni a venire continueremo ad autocommiserarci per il numero e la gravità degli attacchi subiti. E sarà ancora una volta un’occasione sprecata.