Cyber Security: quanto conta il fattore uomo?

Un trend in crescita costante, da 7 anni a questa parte, per gli attacchi cyber, la loro gravità e i danni conseguenti, con un 2017 considerato come uno degli anni peggiori per minacce cyber. Così descrive la situazione sicurezza l’ultimo rapporto Clusit, aggiornato a giugno 2018, che parla di “trionfo di malware, attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”.

“Il tema della sicurezza informatica – afferma Gabriele Faggioli, presidente CLUSIT e Direttore Scientifico Osservatorio Sicurezza & Privacy Politecnico di Milano – non è mai stato così al centro dell’attenzione come negli ultimi due anni. Sotto un profilo legislativo il percorso di piena efficacia del Regolamento Europeo 679/2016 ha sicuramente determinato un salto percezione della rilevanza della tematica sia nelle aziende, perlomeno di media-grande dimensione, che nella pubblica amministrazione ma, forse, è sotto il profilo mediatico che la tematica ha visto il maggior sviluppo. Non c’è giorno che non si parli su tutti i media di attacchi, di conseguenze, di rischi. Questa attenzione spasmodica dei media, oltre alla leva normativa, sta sicuramente portando a una maggiore sensibilità di ognuno di noi”.

Quali i danni economici degli attacchi?

Nel periodo 2011-2017, secondo lo stesso rapporto, i costi generati globalmente dalle sole attività cybercriminali sono quintuplicati, passando da poco più di 100 miliardi di dollari  nel 2011 a oltre 500 miliardi nel 2017, che ha registrato il coinvolgimento di quasi un miliardo di persone nel mondo, causando ai soli privati una perdita stimata in 180 miliardi di dollari.

Non molto diversa la situazione italiana: seppure non siano disponibili statistiche su questi aspetti, in proporzione l’Italia avrebbe subito danni derivanti da attività cybercriminali per quasi 10 miliardi di euro, ovvero dieci volte il valore degli investimenti in ICT security.

Quanti gli investimenti in ICT security?

In Italia, secondo Clusit, gli investimenti in ICT security sono cresciuti in un anno del 5%, sfiorando il miliardo di euro ma mostrandosi abbondantemente insufficienti rispetto al valore del mercato ICT pari a 66 miliardi di euro. “C’è una cronica (e drammatica) insufficienza degli investimenti in cyber security nel nostro Paese, che ci pone sostanzialmente ultimi tra i Paesi avanzati e rischia di condizionare seriamente lo sviluppo dell’Italia ed il benessere dei suoi cittadini nei prossimi anni”, si legge tra le pagine del rapporto.

Sul fronte aziende, solo il 4% delle intervistate fa monitoraggio dei rischi in tema di minacce cyber e vulnerabilità e non valuta tutti gli aspetti di sicurezza nella propria strategia di medio-lungo periodo.

Quanto conta il fattore umano?

L’approccio alla sicurezza fino a questo momento è stato incentrato sugli aspetti tecnologici, organizzativi o normativi mentre poco si è pensato all’aspetto formativo e informativo delle risorse interne, ignorando il fatto che nella maggior parte dei casi gli attacchi più grandi sfruttano proprio le vulnerabilità delle persone.

Per eludere le misure di sicurezza anche minime messe in campo dall’azienda basta sfruttare proprio l’anello debole della catena: l’uomo. L’errore umano, forzato attraverso attacchi di social engineering, in particolar modo nel phishing resta una delle cause di maggior danno.

Secondo i dati raccolti da Cefriel dal 2010 attraverso un numero rilevante di simulazioni realistiche, che hanno coinvolto più di 20 aziende di varia natura e 40mila utenti, in una campagna di phishing simulata, a prescindere dalla percezione del rischio, fino al 45% degli utenti cliccano su un link e fino al 60% di questi cede le proprie credenziali. A riprova della superficialità di chi “cade in trappola” il fatto che la metà del tasso di successo di una campagna di phishing si ha nei primi 20 minuti, ovvero sfruttando il fatto che le persone non riflettono sulle azioni che compiono.

“Oggi forse come non mai – continua Faggioli – i cittadini possono prepararsi all’utilizzo consapevole dei device e in via generale di ogni strumentazione informatica e telematica soprattutto se connessa. Questo non vuol dire che tutti i cittadini siano più attenti di prima, anzi. Però indubbiamente la consapevolezza dei rischi sta aumentando e quindi si presume anche dei comportamenti virtuosi. Questa evoluzione, che si accompagna a un mondo in cui le tecnologie stanno diventando intrinsecamente sempre più sicure (o almeno così dovrebbe essere) non toglie che il fattore umano sia sempre e comunque decisivo. Per quanto le tecnologie possano aiutare a limitare moltissimi rischi, alla fine non è possibile eliminarli tutti soprattutto perché la tecnologia sarà sempre in larga parte in mano agli esseri umani.

Aprire mail di cui non si comprende il contenuto o la provenienza, imparare a capire quali sono gli indici di un tentativo di truffa o di phishing, cambiare le password periodicamente, evitare comportamenti rischiosi su siti non tutelanti sono solo alcuni comportamenti che la tecnologia non potrà in assoluto impedire. Così come una macchina può essere sicurissima, ma alla fine se il guidatore va a 250 all’ora o contromano rischia la vita, così le tecnologie non saranno mai sicure senza un utilizzo maturo e consapevole. Per questo è importante che fin dalle scuole primarie i bambini, e poi i ragazzi, vengano formati dei rischi che si corrono”.

Quali i rimedi?

“Oggi – afferma Raoul Brenna, responsabile della practice Information Security and Infrastructure di Cefriel – le contromisure tecnologiche non sono più sufficienti per contrastare tutti gli attacchi informatici. La risposta ai moderni attacchi cyber richiede una sempre maggiore consapevolezza da parte degli utenti. Chiunque può essere potenzialmente bersaglio di un attacco, e inconsapevolmente agevolarne la diffusione in azienda, ma non tutti purtroppo possono considerarsi esperti di sicurezza informatica. Il principale rimedio è quindi quello di cercare di rendere le persone consapevoli dei rischi e delle modalità di attacco in modo che possano tramutarsi nella prima linea di identificazione e reazione. Ciò non è sempre facile, anche perché la formazione ‘tradizionale’ in aula non può essere considerata realmente efficace. È necessario promuovere la sperimentazione di modalità di awareness innovative, che includano la condivisione di contenuti multimediali per veicolare i messaggi chiave, o che coinvolgano l’utente ad esempio tramite la gamification. Nell’ambito del progetto europeo DOGANA, finanziato dal programma H2020, in cui Cefriel era coordinatore scientifico, è stato creato un gioco di carte, che consente di simulare attacchi avanzati verso un’azienda. Durante una partita, gli utenti possono migliorare il loro livello di consapevolezza rispetto ai rischi cyber, comprendendo quali sono le azioni che abilitano gli attacchi e quali sono le possibili conseguenze. Queste ricerche avvalorano l’efficacia di strumenti innovativi di awareness e del coinvolgimento attivo degli utenti e incoraggiano a proseguire su questa strada per ottenere risultati significativi”.