La cyber-sicurezza non si fa con le macchine e i software: si fa con le persone. Un commento pubblicato dal Financial Times mette in luce quello che rappresenta il vero anello debole della catena quando si tratta di proteggere reti e dati dai cyber-attacchi: il comportamento umano.
Nel mondo anglosassone lo chiamano “social engineering“, quella serie di azioni sconsiderate cui siamo inconsapevolmente spinti mentre ci troviamo al computer o sullo smartphone e che ci portano a cliccare qua e là, aprire files e link, inserire informazioni sui social media e accedere a dati sensibili usando device non protetti senza riflettere su quello che stiamo facendo. Questi comportamenti poco attenti e poco consapevoli sono destinati a pesare enormemente sulla sicurezza di dati, reti e persone con l’arrivo della prossima rivoluzione digitale, quella della Internet of Things.
Con la IoT, ciascuno di noi avrà in casa e in ufficio (anzi, molti già hanno) un numero crescente di oggetti connessi in rete manovrabili da remoto; in fabbrica, negli ospedali, nelle scuole, ovunque, si preannuncia un boom di “cose” connesse. Potremo attivarle o disattivarle con un semplice click da uno smartphone e così potranno fare anche gli hacker.
Già sono noti gli esempi di pirati informatici che hanno preso il controllo di auto connesse o, più di recente, di telecamere di sicurezza, router e altri oggetti della IoT per sferrare attacchi DDos. Anche infrastrutture critiche, come quelle di società elettriche, sono state prese di mira. Non è difficile per i cyber-criminali infiltrarsi in milioni di device e trasformarli in computer zombie attraverso i quali attaccare qualunque obiettivo.
Secondo il FT, il 90% dei cyber-attacchi va a buon fine a causa di comportamenti umani a dir poco distratti. E’ anche così che di recente 40.000 clienti di Tesco Bank in Gran Bretagna sono caduti vittima di hacker – e la metà ha perso i propri soldi. Mentre l’industria della cyber-security continua, giustamente, a sviluppare tecnologie per proteggere oggetti e sistemi e 1.000 miliardi di dollari saranno spesi quest’anno in soluzioni di cyber-sicurezza (stime di Cybersecurity Ventures), non si dà ancora abbastanza peso alla necessità di “formare e informare” le persone su come comportarsi in modo consapevole nel mondo iper-connesso.
E non sono solo i “comuni utenti” ad agire sconsideratamente: persino top executive e personaggi di alto profilo possono comportarsi in modo da esporsi ai cyber-rischi. Anche per questo in Gran Bretagna il Cyber Security Centre oggi si occupa anche di “educare” contro le minacce che arrivano dalla rete singoli utenti, dipendenti e manager aziendali e dirigenti e funzionari di enti pubblici.
Per la Internet of Things, gli esperti sottolineano da tempo la necessità di creare protezioni embedded in tutti gli oggetti, in base al paradigma della security by design; è urgente però anche occuparsi seriamente dell’altro elemento della cyber-sicurezza, quello umano, con azioni mirate di formazione e sensibilizzazione per evitare di trasformare le cose connesse, che saranno utili per tutti e efficienti per il sistema produttivo, in fenomenali alleati del cyber-crime.