Cerca e trova immobili

CANTONECyber Security, bollettino di una guerra che non combattiamo

04.10.17 - 07:00
La realtà dei cyber attacchi è cambiata nel corso degli anni. La verità? «È che siamo tutti sotto attacco, senza distinzione»
Cyber Security, bollettino di una guerra che non combattiamo

NEWSBLOG
Rubriche argomentali a pagamento curate da aziende e inserzionisti esterni

La realtà dei cyber attacchi è cambiata nel corso degli anni. La verità? «È che siamo tutti sotto attacco, senza distinzione»

Non sono solito commentare a caldo le ormai quotidiane notizie di cronaca su eventi di criminalità informatica, che mettono in ginocchio aziende, istituzioni, infrastrutture critiche, persone, in tutto il mondo e tutti i giorni. Esistono già giornalisti, aziende, blogger e commentatori vari che scrivono in tempo quasi reale resoconti e articoli, più a meno tecnici, più o meno sensati, più o meno contestualizzati.

Preferisco riflettere a freddo, attendere l’evoluzione dei fatti, la loro conclusione – quando di conclusione si può parlare – e come un geologo di fronte a un grave smottamento contare i danni a posteriori, guardare a distanza le rovine che sono rimaste, e cercare di trarne una lezione, un insegnamento, una linea guida per il futuro.

La verità che si evince dal contesto globale dei cyber attacchi alle reti pubbliche e private, ai grandi nodi come agli account individuali, è che siamo tutti sotto attacco, senza distinzione: è finito il tempo del fatalismo (“a me non succede”), della sottovalutazione (“a chi vuoi che interessi attaccarmi”), della delega (“ci pensa il mio reparto IT”). Siamo tutti responsabili nella protezione delle nostre vite digitali, delle nostre aziende, delle nostre istituzioni. Certo, in misura diversa e con diverse competenze e responsabilità, ma il principio è ormai universale.

Questo significa, in parole semplici, che non si può demandare alla responsabilità di terzi l’atto di difendere le nostre informazioni. Ancorché importante e addirittura rinforzata nelle prescrizioni delle nuove regole della privacy e della sicurezza europee, che individua figure e competenze all’interno di enti e aziende, la terzietà ha un ruolo tecnico e garante, ma nulla c’entra con la cultura della sicurezza, che invece ci vede tutti coinvolti e quindi parimenti responsabili. Sono due tipi di responsabilità diversi, e se dovessi indicare lo sforzo tipico del mio mestiere di consulente per la formazione sulla cyber security citerei proprio la necessità di convincere i clienti di questa importante distinzione.

I fatti di cronaca aiutano molto a capire quanto sia vera e concreta la metafora dell’anello debole rappresentato dal fattore umano: Wanna Cry e Petya ve li ricordate? Questi clamorosi attacchi dello scorso maggio/giugno hanno preso di mira aziende e infrastrutture critiche in tutto il mondo, causano danni incalcolabili. Sono bastate poche ore per comprendere che la responsabilità di un buco così grave andava ricercata nella pigrizia delle aziende nell’applicazione delle patch di sicurezza: anche se sotto molti punti di vista può sembrare inaccettabile, i due attacchi che sono riusciti a fermare persino degli ospedali nel Regno Unito hanno sfruttato una falla di Microsoft, per la quale erano disponibili le patch di sicurezza dal 14 di Marzo, cioè ben due mesi prima degli attacchi. E nonostante il primo attacco di maggio, in Giugno si è ripetuto, in taluni casi anche alle stesse aziende (FedEx-TNT per esempio). L’equivalente nel mondo materiale sarebbe venire avvisati che la serratura di casa casca a terra, da qualcuno disposto a cambiarcela gratuitamente, ed evitare di sostituirla per due mesi, finendo col tornare a casa e scoprire di essere stati derubati perché la porta di casa era sempre aperta in nostra assenza. Chi lo farebbe? Chi riuscirebbe in un atto così autolesionista?

Certo, va precisato che non si tratta solo di pigrizia, applicare le patch costa tempo e soldi, e non sempre è così semplice, devono essere testate. Ma quale costo ha non farlo? Andrebbe chiesto a chi ha dovuto fare una spedizione con TNT nelle settimane successive a Petya: non è stato possibile. Una azienda come TNT è stata totalmente bloccata, con un danno stimato di più di 300 milioni di dollari, e una perdita enorme di clienti e fatturato, virati verso le aziende concorrenti che non erano state colpite dal malware.

I danni vanno comunque proporzionati: i 300 milioni non sono più gravi dei tre milioni persi da una PMI, o i 30.000 per una singola persona che, ad esempio, incappi in un cryptolocker. Questi eventi possono danneggiare in modo irreversibile una azienda, ma anche la vita e la reputazione di una persona. La reputazione, la dignità: un altro valore difficile da quantificare, ma sicuramente alto. Quanto vale la vita di una donna che si suicida perché l’ex fidanzato ha pubblicato qualche foto erotica? Quanto vale la fatica di un imprenditore che si vede distrutta l’operatività dell’azienda?

Buona riflessione a tutti.

Noi di Security Lab abbiamo organizzato due eventi, in ottobre, che consentono di aggiornarsi e migliorare la propria consapevolezza e preparazione: il 4 ottobre, Lugano LAC, un evento dedicato alle famiglie; il 17 ottobre, Lugano Hotel Dante, dedicato alle aziende.


Questo articolo è stato realizzato da ated - Associazione Ticinese Evoluzione Digitale, non fa parte del contenuto redazionale.