Sempre più spesso e da più parti si registra la necessità di rendere maggiormente consapevoli e informati gli utenti all’uso delle ICT in relazioni ai potenziali rischi relativi ai temi della privacy e della sicurezza delle informazioni. Probabilmente anche il settore didattico ed educativo dovrebbe iniziare a porsi una riflessione sulla necessità di riconversione dei famosi “nativi digitali” in consapevoli digitali, supportandoli nella sperimentazione e acquisizione di nuove modalità di apprendimento che abbiano impatti non solo su un ampliamento delle conoscenze informatiche in generale ma anche su specifiche competenze nel settore della cybersecurity.
A livello internazionale diverse sono le esperienze interessanti e tra queste sicuramente Hacker Highschool, progetto sviluppato dall’Institute for Security and Open Methodologies, con l’aiuto di Pete Herzog, esperto ricercatore nel settore sicurezza, cofondatore e direttore esecutivo del progetto.
“Nel 2003 – racconta Pete – ho deciso insieme ad un gruppo di esperti di cyber sicurezza di realizzare delle lezioni sulla consapevolezza e sicurezza informatica in modalità open source attraverso lo spirito e la filosofia hacker utilizzando una metodologia peer to peer che permettesse l’autoapprendimento agli adolescenti. L’esigenza era non solo di poter skillare maggiormente i ragazzi nell’uso tecnico dello strumento ma anche poter sviluppare un focus sulla psicologia e le modalità di apprendimento e sviluppo di pensiero da parte dei teens, al fine di poter rendere i materiali efficaci dal punto di vista formativo. Attualmente la scuola è al secondo ciclo di lezioni che vengono salvate in vari repository presenti in rete e scaricate attualmente 205mila volte al mese in media. Il programma completo contiene materiali didattici in diverse lingue: libri cartacei, ebook e lezioni aggiuntive oltre al supporto back-end per gli insegnanti delle scuole superiori e genitori a casa”.
Perché una scuola di hacking?
Devo ammettere che è spaventoso come le aziende stiano abusando dei nostri figli incoraggiandoli e ingannandoli nel fargli riversare in rete sempre maggiori informazioni e dati sensibili legati alle loro vite private per renderli una parte consistente nell’ingranaggio degli acquisti e vendite per il settore commerciale e consumistico. Combiniamo questo aspetto con la presenza dei cyber criminali e dei predatori online ed è facile comprendere come i nostri ragazzi non stiano usando la tecnologia ma vengano usati da quest’ultima. Sfortunatamente genitori ed educatori, che dovrebbero tenere i ragazzi al sicuro, vivono le stesse incertezze e difficoltà nel capire cosa fare e come. Quindi l’unico modo realistico per gestire questa situazione è quello di “scatenare” la curiosità e l’audacia che tutti i ragazzi hanno in modo che possano imparare quanto meno a proteggersi. E questa è la nostra missione. Abbiamo iniziato i corsi per la scuola quando mi sono reso conto che insegnando l’OPST (la certificazione, basata su best practice, volta a migliorare il lavoro svolto dai professionisti che si occupano di sicurezza informatica, nello specifico dei Penetration Test) agli studenti universitari, questi rispondevano molto meglio agli esami pratici rispetto a professionisti più esperti del settore. In quel momento ci siamo resi conto che i ragazzi avevano più facilità nel superare e nel comprendere le corrette procedure nelle prove pratiche poiché non avevano mai dovuto seguire procedure errate e quindi potevano approcciarsi alla materia in maniera corretta.
Come sono organizzati i corsi della scuola?
Le lezioni sono elaborate da un piccolo gruppo di persone e revisionate da un gruppo ancora più ristretto. Talvolta otteniamo materiali di sicurezza originali donati volontariamente dagli autori, che ci permettono di reinserirli all’interno del materiale didattico. Le traduzioni delle lezioni nelle diverse lingue sono elaborate dai volontari e gestite dal gruppo base di revisione. Non collezioniamo i dati di chi utilizza i materiali o frequenta i corsi online, poiché l’importante è poter mettere a disposizione di chiunque i materiali e condividere la conoscenza in modalità open.
Quali gli sviluppi futuri?
L’anno scorso siamo arrivati vicini allo stop del progetto a causa della mancanza di sostegni economici strutturati e volontari capaci. Questa è una situazione ahimè spesso comune a molte realtà di volontariato non-profit, ma siamo caparbi e vogliamo davvero continuare perché crediamo nel progetto: abbiamo deciso così di reinvestire in prima persona realizzando il nuovo sito www.isecomacademy.com. Per rendere pienamente sostenibile e fruibile il progetto abbiamo pubblicato una serie di video in alta qualità delle lezioni con l’obiettivo di raggiungere tutti gli adolescenti nelle scuole e nelle case in giro per il mondo. Per sostenere il progetto e finanziarlo stiamo cercando altri modi come la vendita di libri, video, o la realizzazione di workshop che vengono riconfezionati e rimodultati partendo dai materiali resi disponibili in modalità open.
Perché la scelta dell’openness?
La nostra organizzazione è stata fondata in modalità open source e quindi per noi è stata ovvia la scelta di continuare in questo modo anche per l’Hacker Highschool. L’ISECOM è una organizzazione non-profit fondata nel 2001 da parte di una community di esperti di cybersecurity che hanno rilasciato uno standard relativo alla implementazione di una metodologia di sicurezza in modalità open source (OSSTMM). Molti ricercatori internazionali hanno contribuito al rilascio della metodologia in maniera open e gratuita, senza alcun ritorno di tipo commerciale. Attualmente lo standard è stato scaricato oltre 6 milioni di volte, citato in oltre mille pubblicazioni e trecento pubblicazioni scientifiche ed accademiche. La condivisione della conoscenza è una pietra miliare per l’istruzione e il progresso, per quello ci assicuriamo che le informazioni siano sempre disponibili gratuitamente per coloro che vogliono cimentarsi nella conoscenza del percorso.
Se dovessimo descrivere un hacker in 3 parole?
Un hacker è ingegnoso, curioso e predisposto al continuo apprendimento: ha spirito d’iniziativa. L’hacking possiamo considerarlo come una modalità di problem solving che coniuga l’intraprendenza, la logica, la creatività, lo studio e l’analisi. L’Hacker Highschool aiuta gli adolescenti a conoscere e sviluppare la filosofia hacking come metodo per capire il funzionamento delle cose ed imparare facendo (learning by doing). La filosofia hacking trova una utile applicazione in quasi tutti i settori in quanto si basa su ciò che è noto per creare cose innovative, quando viene applicata ai computer e alle reti, insegna anche quelli che sono gli elementi e i concetti più importanti relativi alla sicurezza. La modalità per apprendere tali concetti non può che essere pratica poiché necessita non solo di conoscenza ma di sviluppo di una competenza utile a rendere la risposta ai possibili ed ipotetici rischi consapevole ed efficace. Pensiamo insomma al modo in cui vengono effettuate le esercitazioni anticendio o di guida automobilistica: gli studenti hanno bisogno di fare pratica se vogliono sperimentarsi ed imparare realmente.
Quali le competenze utili a “difendersi” dai rischi?
There’s too many parrots and not enough pirates in security (ovvero in ambito sicurezza ci sono troppi pappagalli e non sufficienti pirati, ndr). Abbiamo necessità di persone in grado di fare e capire cosa stanno facendo e non di persone che si limitano a ripetere ciò che qualcun altro ha inserito o prescritto in una lista di controllo. Senza i fondamentali la sicurezza non ci può essere, le persone non possono improvvisarsi esperte se non hanno conoscenza e competenza pratica della materia. Ma fintanto che si continuerà ad equivocare sui fondamentali della sicurezza delle informazioni le persone continueranno ad apprendere nozioni errate. Quando parliamo di cybersecurity non ci stiamo riferendo a dei prodotti in base ai quali possiamo scegliere quale lista di controllo verificare. Possiamo anche ottenere livelli e certificazioni sul tema ma non è detto che riusciremo ad essere in grado di fermare un attacco informatico né tanto meno di comprenderlo. Dobbiamo essere capaci di analizzare una superficie di attacco e abbinare la giusta scelta di controllo e di sicurezza in relazione alle corrispondenti interazioni. Questi sono i fondamentali per la sicurezza delle informazioni.
Si parla spesso della difficoltà di trovare figure specializzate in sicurezza: come immaginare la futura generazione di cyber esperti?
Alcune grandi aziende hanno deciso ad un certo punto che la sicurezza informatica dovesse essere considerata una professione specialistica, da certificare. Improvvisamente quindi ci siamo trovati di fronte a un numero crescente di corsi con tanto di certificato e questo ha fatto sì che, al momento, si parli di carenza di figure specializzate. Ma siamo proprio sicuri che la certificazione sia la cosa che conta? Secondo me in realtà non abbiamo bisogno di più esperti in grado di applicare le conoscenze apprese solo nel singolo campo prescelto di competenza, ma di buoni esperti che siano in grado di comprendere effettivamente i processi, i rischi e le implicazioni delle attività di sicurezza.
Facebook Comments