La Cybersecurity non è (solo) una questione di tecnologia

A volte siamo indotti a prendere decisioni errate perché la nostra sfera emotiva prende il sopravvento su quella razionale. È l’effetto provocato dai bias cognitivi, e cioè “bug” fondati su percezioni errate e su pregiudizi che stimolano il cervello umano a fare scelte in tempi rapidi, e dalle euristiche, ovvero sia scorciatoie mentali che ci permettono di accedere a informazioni immagazzinate in memoria per valutare un argomento, una situazione, un concetto. Sono comportamenti che si applicano a qualsiasi contesto, anche quello della sicurezza, sia di natura fisica che digitale.

Se il rischio di un cyber attacco nella società interconnessa di oggi è esponenzialmente aumentato, come possiamo aumentare il nostro livello di protezione?
Maturando, innanzitutto, la consapevolezza che la sicurezza non è, o per lo meno non è soltanto, un fatto tecnologico, e quindi infrastrutture e sistemi (per altro indispensabili) in grado di fronteggiare le minacce. La sicurezza è anche una dimensione sociale, fatta di cultura aziendale e di competenze utili a sviluppare una corretta percezione del rischio, al fine di aumentare in ogni individuo la sensazione di essere protetto, a casa come al lavoro. Si può intendere (la sicurezza) sia come una sensazione sia come una realtà oggettiva; non è un bene isolato, ma è parte di un sistema complesso. Ed è pervasiva. Ne sentiamo parlare solamente quando fallisce (e fallisce spesso) mentre quando funziona è invisibile.

I dati che illustrano l’andamento recente dei cyberattacchi sono in ogni caso inequivocabili e confermano la rilevanza e la portata del fenomeno. Stando all’ultima edizione del Rapporto Clusit, nel corso del 2019 sono stati registrati e analizzati 1.670 incidenti gravi (ovvero con impatti significativi in termini di perdite economiche, danni alla reputazione e perdita di dati sensibili), rispetto ai 1.552 del 2018 e i 1.127 del 2017. Fra le varie tendenze che emergono dallo studio spicca quella della “in-sicurezza informatica” dell’Italia, che per la prima volta (l’anno passato) non ha registrato alcuna flessione degli attacchi nei mesi estivi. La palma d’oro fra le tipologie di attacco, sempre secondo il Rapporto Clusit, spetta al malware (con il 44% del totale), seguito dal phishing/social engineering (17%).

Scorrendo la storia recente dei cyber attacchi, è interessante analizzare alcune delle vulnerabilità che hanno fatto più notizia per capire come la polarizzazione degli attacchi imponga investimenti in soluzioni di security altrettanto diversificati. WannaCry, ad esempio, è un ransomware responsabile di un’epidemia su larga scala che ha contagiato circa 200mila computer. Il suo compito? Criptare i file presenti sul pc e chiedere un riscatto in Bitcoin per decriptarli. Ha colpito invece anche molte aziende e pubbliche amministrazioni italiane Ursnif, un malware inviato attraverso false fatture elettroniche e in grado di trafugare le password salvate dall’utente.

Secondo il rapporto “2019 – Cost of a Data Breach” redatto da IBM nel 2019, il costo medio di una violazione su scala mondiale è di 3,9 milioni di dollari e scende a 3,5 milioni per l’Italia. Altri studi ci dicono inoltre che un singolo attacco su larga scala può provocare danni per circa 120 miliardi di dollari e che i cyber attacchi sono costati nel complesso qualcosa come tre trilioni di dollari (il 3% del Pil globale), cifra che potrebbe anche raddoppiare entro il 2021.

La gestione del rischio informatico e delle infrastrutture critiche è quindi una priorità per tutte le aziende, di qualsiasi settore e dimensione, e il modello elaborato dal NIST (National Institute of Standards and Technology) è universalmente riconosciuto dagli esperti come una guida a cui fare riferimento per adottare standard e procedure di cybersecurity.
Sono cinque le funzioni di questo modello in continuo aggiornamento (Identificare, Proteggere, Rilevare, Rispondere, Recuperare), il cui scopo finale è quello di abilitare un approccio “risk-based” in ogni organizzazione, fornendo una tassonomia comune per definire le azioni necessarie per raggiungere il proprio obiettivo di cybersecurity.
Vodafone Business ha raccolto le indicazioni di questo modello e mette a disposizione delle aziende e della Pubblica Amministrazione un’offerta di servizi di cybersecurity completa e ad ampio spettro, perfettamente articolata rispetto alle cinque funzioni del NIST e divisa fra ambito tecnologico e fattore umano.

La tecnologia ci rende più efficienti e produttivi e permette di aumentare la scalabilità di risorse e sistemi, ma contemporaneamente – e spesso inconsapevolmente – rende gli individui e le organizzazioni più vulnerabili.
Per questo non è possibile delegare la protezione dei dati esclusivamente alla tecnologia e solo a determinate figure (come i Chief Information Officer) ma è necessario creare dei percorsi di formazione e sensibilizzazione verso i dipendenti utili a mitigare gli errori derivanti dal fattore umano (cultura aziendale). La cybersecurity, come dicono i massimi esperti in materia, è anche una sfida culturale, organizzativa e sociale, che mette sempre e comunque al centro le persone.