Report annuali, prodotti all’avanguardia, convegni, mega esperti, che cosa non si fa in nome della cybersecurity. Termine da qualche anno sulla cresta dell’onda, ha scatenato (giustamente) gli interessi di istituzioni, aziende, professionisti e studiosi. D’altro canto, non solo il cybercrime è ormai un’attività redditizia che non accenna a fermarsi; v’è anche il fatto che gli attacchi informatici diventano sempre più aggressivi e sofisticati.
Gli attacchi ransomware, ad esempio, stando al rapporto di Verizon sui data breach uscito qualche mese fa, sono praticamente raddoppiati rispetto al 2017, e sempre più riguardano gli asset critici delle aziende. I dati confermano la vulnerabilità rappresentata dal fattore umano, dal momento che molti attacchi sono veicolati dalle mail che, ovviamente, sono gestite dalle persone.
Sul fattore umano si potrebbe dire molto, ho già più volte trattato l’argomento, anche all’interno di questa rubrica, rappresentando il punto focale dei miei studi e delle mie attività professionali.
La questione che vorrei sottolineare in questa sede è se stiamo davvero andando nella giusta direzione. Stando ai risultati dei vari rapporti (ho citato Verizon, ma basta leggere i rapporti del CLUSIT sulla sicurezza informatica) non si direbbe. A questo punto la domanda è lecita: non è forse il caso di prendere atto che qualcosa non sta funzionando e cercare di aggiustare il tiro?
Nel frattempo, mentre si continua a non vedere, lo spettro della cybersecurity si aggira per il Paese alla ricerca di soluzioni che, ovviamente, non possono fare miracoli se non sono accompagnate da strategie ed interventi ragionati e sistemici.
Intanto si moltiplicano convegni e incontri che spesso finiscono per creare un clima di angoscia e di disperazione, visto che vengono prontamente ricordate in dettaglio tutte le minacce alle quali siamo esposti per il solo fatto di vivere nell’era digitale. Peraltro questo continuo martellamento su rischi e minacce rischia di produrre nelle persone un sentimento di impotenza con effetti talvolta anche opposti, come quello della desensibilizzazione.
Qualche giorno fa ne parlavo con un esperto (uno di quelli doc!) e anche amico, e abbiamo riflettuto sul fatto che forse in tutto questo c’è qualcosa di patologico. Non si può continuare a rincorrere mode e a spacciare innovazioni come la soluzione di tutti i problemi della sicurezza, quando bisogna risolvere questioni ancora aperte (in psicologia potremmo utilizzare il concetto di “conflitti non risolti”). Così, se da un lato problemi “banali” come il phishing ed il social engineering hanno successo e continuano a produrre danni per le aziende, dall’altro la moda (mascherata dietro la parola progresso) propone i temi del momento, come machine learning e intelligenza artificiale per tutti a supporto della cybersecurity. Sia chiaro: sono apertissima a tutte le innovazioni del mondo in grado di contribuire alla sicurezza, ma a condizione che vengano rispettate due premesse fondamentali, peraltro tra loro legate.
La prima è che qualunque innovazione e strategia proposta per la sicurezza non può prescindere dalla persona, ovvero dal fattore umano. E i risultati lo dimostrano. Posso confermare per esperienza diretta che nelle aziende dove, accanto alle soluzioni innovative (che sono necessarie), si investe anche in un’adeguata formazione sulla sicurezza (realizzata però secondo opportuni criteri e adeguati investimenti), i risultati si vedono. D’altro canto, esperienze in altri settori diversi della sicurezza distinti da quella informatica confermano che l’approccio integrato è quello giusto. Un esempio che riporto spesso è quello della sicurezza antirapina nel mondo bancario che è riuscito a dare una risposta al problema delle rapine in modo olistico e sistemico, integrando misure, ricerca, protocolli anticrimine e formazione ad hoc. Sul tema della formazione, ad esempio, da anni il personale bancario può far riferimento ad una guida che integra l’aspetto tecnico della sicurezza con quello comportamentale (Guida antirapina, di Isabella Corradini e Marco Iaconis, Bancaria Editrice), perché nella prevenzione dei fenomeni criminosi, così come nella loro gestione, i comportamenti umani sono fondamentali.
I risultati sono tangibili visto che, allo stato attuale, le rapine non costituiscono più un problema primario per le banche. Va da sé che i processi non sono immediati, ma i risultati arrivano.
L’altra premessa, che sarà oggetto di un prossimo approfondimento, è che non si può pensare di andare avanti senza porsi il problema delle conseguenze etico-sociali che le tecnologie digitali hanno sulle persone. Non farlo significherebbe perdere in partenza qualsiasi sfida.
Occorre, quindi, ripensare gli approcci alla cybersecurity. Ma per fare questo bisogna rinnovarsi culturalmente, avere il coraggio di staccarsi da vecchi schemi che vedono (anche se a parole si dice il contrario) la sicurezza come un prodotto o, peggio, una check list da gestire. Ancora una volta, il cambiamento deve partire necessariamente da un rinnovamento culturale, cominciando a ripensare iniziative che ormai non sortiscono alcun effetto rigenerante. Ci vuole l’adozione di un pensiero critico che, partendo dalla valorizzazione di quanto buono fatto finora, sappia evolversi, riconoscendo errori e debolezze. Se si va oltre con le innovazioni digitali, può farlo anche il nostro pensiero.