La fine della cybersecurity non è la previsione di un esperto di sicurezza bollito, bensì il titolo in prima pagina di una delle più prestigiose riviste del mondo, la Harward Business Review.
Un titolo inaspettato che nei primi istanti ha fatto tremare le mura delle stanze dei bottoni, laddove si annida il potere di chi controlla e guida le strategie globali di cybersecurity.
Pochi secondi di panico che hanno presto lasciato il posto a qualcosa di più interessante e utile per imbastire un nuovo e stimolante ragionamento, rivolto proprio alla gestione della sicurezza cibernetica. Un’occasione da cogliere per fare il punto della situazione di un fenomeno destinato a dilagare senza precedenti. Altro che fine della cybersecurity, tutt’altro. Si conclude il periodo che ha considerato la cybersecurity come un costo, e si apre una nuova fase ricca di opportunità che la percepisce come un investimento.
Aumenta la complessità dell’impianto tecnologico, aumentano gli oggetti interconnessi tra loro, migliorano i software per la protezione dei dati, ma, purtroppo, aumenta l’impreparazione del personale incaricato di gestire l’intera infrastruttura. Ancora una volta il fattore umano torna prepotente al centro della scena, anche se riposizionato, dimostrando quanto l’intera filiera della sicurezza possa essere contaminata e compromessa in qualsiasi momento a causa di una gestione superficiale del personale aziendale.
A sostenere questa tesi è lo slogan lapidario di Kevin Mitnick, l’hacker più famoso del mondo: “You could spend a fortune purchasing technology and services, and your network infrastructure could still remain vulnerable to old-fashioned manipulation”.
Lui di fattore umano se ne intende eccome. I prodotti e i servizi per la messa in sicurezza dei dati saranno sempre necessari, ma occorre investire e migliorare la formazione continua del personale.
Una formazione che deve cambiare il suo paradigma, offrendo agli utenti un nuovo approccio alla “cyber education”, fondata sulle collaborazioni con i centri di ricerca, sempre più di carattere interdisciplinare. Insomma, dalla segretaria all’amministratore delegato, concetti come “Incident Response Plan” o “Detection & Response” devono essere integrati a pieno titolo nella cultura aziendale.
Ogni forma di lacuna, in termini di scarsa preparazione e mancata consapevolezza, può trasformarsi in una potenziale vulnerabilità. Cosa fare quindi per evitare che ciò accada, soprattutto in presenza di nuove minacce cyber capaci di sfruttare una profilazione utente senza precedenti? Semplice, collaborare e condividere senza se e senza ma.
Per esempio, chiedendo agli addetti ai lavori di condividere in una piattaforma comune i registri digitali (log files) in cui sono registrati i tentativi di attacco che l’azienda ha subito.
In altro modo, gli attaccanti saranno sempre un passo avanti rispetto ai difensori. E i primi, contrariamente ai secondi, non devono mettersi d’accordo, non devono collaborare e soprattutto non devono sottostare ad alcun regolamento, ma possono sfruttare le risorse gratuite della rete per la raccolta a strascico dei big dati da dare in pasto agli algoritmi per l’apprendimento automatico di intelligenza artificiale. A loro basta un semplice messaggio di phishing per raccogliere senza sforzo numerosi e continui feedback, usati per migliorare giorno dopo giorno la qualità dell’inganno emotivo inserito nel messaggio di posta elettronica.
Di fronte a un incremento della criminalità informatica organizzata e resiliente, che può contare su risorse gratuite in cui trovare script, applicazioni e reti neurali, soltanto un cambio di mentalità potrà ridurre la distanza tra chi ha il piacere di attaccare e chi, invece, ha l’obbligo e il dovere di difendere.
In altro modo, non dovremo stupirci se un giorno, non troppo lontano, grazie alla fragilità emotiva di un collaboratore distratto, le città potrebbero cessare di erogare energia elettrica, sempre più necessaria per tenere in vita la neo costituente società digitale.
Testo a cura di Lorenza Bernasconi, CFO Gruppo Sicurezza SA, Savosa