Il filosofo Luciano Floridi, racconta che il nuovo modo di vivere dell’essere umano è Onlife. “[…] Onlife è quanto accade e si fa mentre la vita scorre, restando collegati a dispositivi interattivi […]”.
Il concetto di vicinanza alle altre persone non è più basato sulla presenza fisica, ma sull’interazione continua dei rapporti in presenza mentre si dialoga, connessi, con altri, attraverso i dispositivi digitali.
I dispositivi connessi e in continua transizione ci proiettano sempre più alla velocità ed alla remotizzazione delle esigenze. L’uso del digitale è una alternativa quasi contrapponibile alla vita reale.
Il rischio più profondo ed attuale per l’essere umano comune è quello di perdere l’attenzione alle cose, alla riflessione, alla memoria, alla sicurezza.
È pertanto dominante in questo contesto il tema della cybersicurezza in cui, istituzioni e organizzazioni in primis, occorre tenere elevata l’attenzione con l’obiettivo di sfuggire agli attacchi hacker perpetrati da esseri umani ad altri essere umani.
Siamo tutti bersagli di social engineering, phishing, BYOD. L’anello debole è l’errore umano: un click su phishing, una password "123456", un dispositivo USB infetto.
Percorriamo in questo primo articolo l'evoluzione storica della cybersicurezza, offrendo qualche best practice per trasformare vulnerabilità in resilienza.
Partiamo dal concetto di ingegneria sociale (social engineering), nato con intenti positivi dall'ingegnere chimico olandese Jacques van Marken (1845-1906). Secondo van Marken, fornire ai lavoratori delle sue fabbriche spazi ricreativi, momenti di aggregazione, diritti e persino una banda di ottoni vicino agli stabilimenti, aumentava il senso di appartenenza, la produttività e le motivazioni nelle ore lavorative.
Nel mentre è cresciuta l’accezione negativa dell’ingegneria sociale. A partire dall’utilizzo di tecniche per la estorsione via telefono di informazioni riservate di aziende importanti attraverso i suoi dipendenti, per arrivare ad oggi. Tutto è immediatamente digitalizzato, attraverso la rete informatica a rischio sono anche i dati delle aziende ma anche le informazioni personali, se non i conti correnti, dei propri dipendenti. Fattore comune è la debolezza che induce l’essere umano a ridurre la propria attenzione, ad essere vulnerabile. Fattore comune è la crescita delle capacità dell’hacker.
Fino agli anni 60 la sicurezza informatica era pensata, dedicata, alla protezione fisica dei dispositivi, allora di nicchia o comunque dedicati a grandissime organizzazioni e di uso esclusivo, non in rete e poco condiviso.
Il concetto cambia negli anni successivi in cui inizia a diventare importante l’esigenza della comunicazione tra i dispositivi per trasmettere informazioni, per esempio degli eserciti militari se non gia’ delle aziende stesse.
Fu così che attraverso ARPANET (1969), precursore di internet, si diffuse il primo il primo virus innocuo ma viaggiatore, denominato Creeper di Bob Thomas. Il 1987 è l’anno di Suriv-3/Jerusalem, il virus del "Black Friday", capace di distruggere file nei computer di grandi aziende, uffici governativi in USA, Europa, Medio Oriente. Iniziano a svilupparsi i primi antivirus come Anti4us.
L'informatizzazione cresce velocemente, mentre la resilienza delle organizzazioni rimane più lenta, comunque quasi sempre in risposta ad eventi.
Il primo CERT (Computer Emergency Response Team) nacque presso la Carnegie Mellon University nel 1988 soltanto a seguito del Morris Worm, dove le vulnerabilità di sendmail e finger furono adoperate per bloccare circa 6000 PC.
Negli anni '90 nascono i primi firewall commerciali: DEC SEAL (1992), Check Point (1993), mentre SSL rivoluziona la crittografia web.
Nel 2000 ILOVEYOU devasta 50 milioni di PC. Il worm in questione diffondeva via e-mail, attraverso spam, messaggi d’amore ai destinatari, rubando credenziali di accesso, per poi cancellare e danneggiare file dei dispositivi intercettati. Stuxnet (2010) sabotava, attraverso chiavette USB, le centrifughe iraniane per l’arricchimento dell’uranio, senza bisogno di internet.
Una forte accelerata della digitalizzazione e del senso di sicurezza e protezione dei dati avviene negli anni del COVID, ma siamo gia’ nel 2020. Aumenta lo Smart working, aumenta la comunicazione e la pianificazione attraverso le app di collaboration, aumenta l’investimento verso la condivisione dei documenti attraverso i cloud. Diviene chiave il concetto che agli sviluppi software occorre affiancare, ed è chiave, la formazione umana alla difesa. Perché l’hacker diventa più impulsivo di fronte all’impulsività dell’utente medio.
Il rischio di considerare l’attacco hacker come il solo momento in cui viene a galla, sottovalutare la prevenzione, è molto elevato. È un rischio che hanno voluto correre anche molte grandi aziende pagandone grosse conseguenze: sia rispetto alla propria attività, sia rispetto alla vita e ai dati dei propri dipendenti, sia rispetto ai propri clienti. Ancor più i danni alla violazione di dati e informazioni sono da considerarsi un danno all’incolumità ed alla sicurezza mondiale.
Parliamo di inerzia iniziale, anche di ulteriore inerzia rispetto ad attacchi gia’ subiti, soprattutto in epoche in cui le regolamentazioni internazionali non avevano ancora assegnato responsabilità a tutti gli utilizzatori della rete. Da antologia sono i casi di Sony Entertainment nel 2014 e di Equifax nel 2017. Un mix di disattenzioni di singoli utenti e di scelte aziendali, con palesi difficoltà di comunicazione anche delle istituzioni che svolgevano le indagini a tutela dell’attacco subito, oltre al coinvolgimento forse inutile dei governi.
La diffusione di una mail con un messaggio equivoco sugli account dei dipendenti aveva favorito l’accesso degli hacker ai server aziendali della Sony, rendendo pubblici i dati di tutti gli utenti registrati sulla piattaforma Playstation e dei dipendenti. Si creò un incidente diplomatico tra Stati Uniti e Corea del Nord, legato a precedenti dichiarazioni di Pyongyang in occasione di un film uscito poco prima (The Interview) prodotto dalla stessa casa. Ne nacque un accesso clima di accuse reciproche che lasciò più volte interdetti anche gli hacker stessi e grossa incertezza per utenti e dipendenti.
Per Equifax, importante società di controllo del credito americana fu, pare invece, un mero errore umano, non fu installata una patch di protezione nei tempi previsti, a far fuoruscire pubblicamente i dati di 146 milioni di clienti. Uno Stato! Anche qui la comunicazione non fu delle migliori, perché inizialmente non si collegò l’accaduto alla mancata installazione della patch.
L’hacker usa l’information gathering passivo (social, LinkedIn) per attaccare un’azienda o una pubblica amministrazione. Lo effettua per prima, ad esempio, sul dipendente che, fuori dal contesto aziendale, è un utente della rete. Effettua lo spear-phishing personalizzato, cercando i lati deboli, le vulnerabilità, da ciò che esso comunica involontariamente, per percepire informazioni sensibili che favoriscono l’attacco.
Gia’ l’azienda Gartner, società di ricerca e consulenza, aveva previsto che entro quest’anno tutte le aziende avrebbero rafforzato la formazione sulla cybersicurezza verso i propri dipendenti, implicitamente a dire che è verso l’utente generico della rete che ricadranno tutte le responsabilità dell’awareness. Responsabilità ampiamente trattate nella direttiva NIS2, UE 2022/2555 del 14 dicembre 2023 emanata dal Parlamento Europeo e del Consiglio, recepita in Italia dal D.lgs. 138-2024, di cui parleremo nel prossimo articolo.
Ma veniamo a noi: cerchi un volo, arriva e-mail di "conferma prenotazione" falsa su cui fai click, rischi fortemente il furto dei tuoi dati.
L’Onlife è amplificata da WiFi pubblici, USB "vuoti" infetti, social fake. L'utente medio è osservabile, prevedibile, vulnerabile, deve imparare a diventare scudo.
Parliamo di qualche Best practice della resilienza umana da applicare “oggi”.
• Phishing: Non cliccare link urgenti ("eredità vinta!") ricevuti via e-mail. Prima di farlo scorrere il mouse sugli URL dei collegamenti per visualizzare l’indirizzo su cui punteremmo, che comparirà in basso a sinistra. Piuttosto che cliccare sull’URL, andare sul link ufficiale del portale per fare l’accesso al nostro account. Tanto se ci sono messaggi della nostra banca per noi, appariranno sul nostro account. Oppure chiamare direttamente il servizio clienti.
• Password deboli: Non adoperare Mai "password123" come password dei nostri account. Usare maiuscole, numeri, simboli (Es: P@ssw0rd2025!). Evitare anche le ripetizioni di password tra account diversi. Adoperare i Password manager (ve ne sono anche gratuiti) per custodire le password, o trovare il metodo, difficile ma utile, di impostare password che rispondono a domande segrete, combinando le risposte per come sopra. Molti portali adesso garantiscono l’accesso multifattore(MFA), più azioni dopo l’inserimento della password da diversi dispositivi o tramite diverse app. Il futuro saranno le passkey biometriche. Cambiare spesso le password (es 90 giorni), fermo restando che gia’ molti portali controllano questo aspetto.
• Dispositivi portatili, smartphone (BYOD): Usare il blocco schermo con PIN/biometria (impostarlo prima possibile, es 30s inattività). Evitare i WiFi pubblici. Disattivare i Bluetooth inutilizzati. Aggiornare i Sistemi operativi e le App prestando attenzione alla fonte degli aggiornamenti ed a limitare i permessi all’accesso (GPS, fotocamera) se non fondamentali. Non lasciare i dispositivi incustoditi, sarebbe un rischio totale subire il furto fisico.
• USB e memorie: Molte aziende disabilitano l’accesso delle memorie aziendali ai dispositivi in dotazione. Laddove così non è, da buon dipendente, favorire che i dispositivi innestati siano sicuri, proprietari, non di terzi (di cui non si detiene il controllo). Cifrare i file. Non adoperare le proprie memorie su dispositivi posti in postazioni pubbliche (aeroporti/internet point) che, per quanto protetti, sono adoperati da troppe persone ignote. Non adoperare dispositivi, anche vuoti, che potremmo per caso trovare a terra. Usare i cloud aziendali e le reti aziendali solo per scopi aziendali.
• Social media: effettuare sempre il Log-out. Evitare l’accesso da postazioni aziendali (brand protection). Imparare ad analizzare i profili da cui provengono i post sui social( es verificando il numero di follower). Evitare di manifestare troppe volte proprie emozioni (rabbia, gioia), sono esche di vulnerabilità. Evitare le catene sulle app di messaggistica WhatsApp/Telegram.
• Web browsing: l’indirizzo web dei siti oggi ha prefisso HTTPS(HyperText Transfer Protocol Secure), è un lucchetto che garantisce massima affidabilità nella comunicazione http. Adoperare preferibilmente il Browser privato per utilizzare i servizi banking o l’accesso sui portali della PA. Non cliccare sui banner/pubblicità che facilmente si trovano sui siti, soprattutto se non si è certi dell’affidabilità del sito. Prima di acquistare un qualunque prodotto, da un qualunque portale, accertarsi delle recensioni rintracciabili in rete, sia riferite al portale che al prodotto stesso.
Molte aziende hanno via via nel tempo introdotto ferree Policy aziendali per regolamentare l’utilizzo della rete e dei dispositivi concessi ai propri dipendenti. Favoriscono gli accessi alle postazioni aziendali attraverso MFA, un migliore tracciamento delle e-mail (es inserendo il prefisso [EXT] per quelle provenienti dall’esterno). Molte si sono allineate alle regole del GDPR: formazione annuale, simulazioni.
Considerano che il dipendente non è IT-expert ma un utilizzatore quotidiano, una formazione costante ed empatica crea resilienza "da umano a umano": perché l’hacker è un umano e studia te, tu studialo.
Come gia’ anticipato, nel prossimo articolo esploreremo la Direttiva UE 2022/2555 NIS2 e il suo intreccio col GDPR, tappa chiave dell'evoluzione normativa dalla Convenzione di Budapest al Codice Privacy italiano. L’estensione a settori critici (energia, sanità, supply chain), gli obblighi di gestione rischi, la notifica incidenti le responsabilità dirette del top management e le multe fino al 2% del fatturato globale.
Intanto grazie per essere arrivato fin qui.