Virtualità e profili di rischio: la cybersecurity

L’utilizzo dei sistemi informativi, dei mezzi di comunicazione e, più in generale, della virtualità, ha poi inserito nel panorama moderno un’ulteriore problematica da affrontare e gestire. Dato il contesto complesso e incerto in cui essa si inserisce, questa può essere definita come una delle sfide maggiori derivanti dalla modernità, in ambito tecnologico e virtuale.

L’importanza di tale tematica è sottolineata inoltre da dati numerici piuttosto importanti. Ogni anno vengono attaccati virtualmente 556 milioni di individui, e questo corrisponde a più dell’intera popolazione dell’Unione Europea. Ciò vuol dire che ogni giorno avvengono più di un milione e mezzo di attacchi informatici, ovvero diciotto attacchi al secondo.110

Quello che emerge dai dati è dunque che, nonostante i grossi investimenti che le organizzazioni compiono rispetto alla protezione di dati sensibili, molte di queste non sono in grado di gestire gli attacchi informatici, sempre più complessi, a cui sono sottoposte giornalmente.

La Cybersecurity ha in generale l’obiettivo di proteggere la virtualità creatasi nell’ambiente interno ed esterno alle organizzazioni, da attacchi o violazioni alla rete e ai sistemi informativi.

Con il termine Cybersecurity, intendiamo un ramo della sicurezza informatica, che si occupa della sicurezza delle informazioni e dei sistemi informativi (intesi come strumenti tecnologici a vario titolo all’interno dell’organizzazione); tutto ciò utilizzando una 109_{Ricerca condotta da International Data Corporation.}

113

connessione Internet. La sicurezza e la protezione riguarda le possibilità di furto o distruzione di dati, contenuti in hardware o software, o ancora l’interruzione dei servizi posti in essere dall’organizzazione. Con riferimento al nostro ambito di interesse dunque, può essere oggetto di attacco informatico anche un sistema Intranet utilizzato da un team nello svolgimento dei propri compiti; questo perché, come detto in precedenza, il sistema informativo viene gestito privatamente, ma utilizza i medesimi protocolli di Internet. Volendo tradurre il termine, dato che il costrutto viene comunque sempre utilizzato in lingua inglese, si farebbe riferimento alla sicurezza. In inglese corrisponde però a due termini che hanno significato completamente diverso tra di loro; questo può aiutare a comprendere qual è il campo di applicazione della tematica qui affrontata. Il termine sicurezza in lingua inglese, dunque, può essere tradotto con due termini: safety e security. Nel primo caso ci riferiamo a protezione da incidenti o da guasti; nel secondo caso, come detto prima, alla protezione da attacchi. La distinzione è particolarmente importante in quanto sottolinea la differenza rispetto al modo di adattarsi alle misure di sicurezza adottate, da parte del soggetto che vuole attuare un attacco. La sicurezza, intesa come safety, idealmente dovrebbe proteggere l’individuo da incidenti di vario tipo. Ad esempio, se si prevede che un fiume in piena raggiungerà un livello massimo di tre metri, idealmente basterà costruire un ponte alto quattro metri. Per quanto riguarda la sicurezza, intesa come security, stabilire dei livelli di protezione più alti non produrrà nessun altro effetto se non quello di stimolare colui che promuove l’attacco a superare tali limiti. Tra gli attacchi informatici di cui in questa sede si intende dare evidenza, ci riferiamo all’ingegneria sociale, con specifica menzione della tecnica del phishing.

L’ingegneria sociale, in generale, studia il modo in cui gli individui possono essere influenzati tramite atteggiamenti e comportamenti. In senso stretto, o comunque con riferimento all’ambito informatico, si intende un insieme di tecniche, sempre riferite a comportamenti persuasivi, per ottenere informazioni riservate (ad esempio password di accesso).

In questo caso gli attacchi informatici si basano principalmente sullo studio dei comportamenti degli individui; una volta conquistata la loro fiducia, allo scopo di indurli ad abbassare le difese, possono ottenere in forma del tutto spontanea le informazioni desiderate. La fase di studio che precede gli attacchi in genere prevedono una fase di studio che può durare anche diverse settimane; il vero e proprio attacco può invece durare anche solo pochi minuti. Ad esempio il tempo di una telefonata.

114

Le leve, a carattere prettamente psicologico, utilizzate dall’attaccante sono in genere autorevolezza, panico e ignoranza. Con autorevolezza si intende l’invio, ad esempio tramite mail, di messaggi con caratteristiche tipiche di un ente con una certa autorità (ad esempio un ente governativo). Con panico, si intende invece la costruzione di uno scenario che è completamente opposto alle consuetudini del soggetto attaccato, proponendo così soluzioni più rapide dietro le quali, invece, si nasconde il vero e proprio attacco. Un esempio è l’invio di una mail contenente l’avviso della presenza di un virus nel sistema informatico, e contenente un link per il download di una opzione correttiva; il link, in realtà, contiene il virus stesso. In ultimo, con ignoranza, intendiamo la mancata conoscenza dei sistemi hardware o software; in questo caso ciò tende a far sì che si tenda a seguire le indicazioni contenute nelle mail utilizzate come esempio per le precedenti leve psicologiche.

Una tra le tecniche più utilizzate con riguardo all’ingegneria sociale è il phishing. Con tale termine si definisce una truffa perpetrata tramite sistemi Internet, fingendosi enti affidabili tramite comunicazioni a carattere digitale, con lo scopo di ottenere informazioni a carattere riservato. L’attacco comporta in primo luogo l’invio di email che replicano, sia in termini di contenuti che in termini di aspetto, quelle di un ente autorevole conosciuto al soggetto attaccato. Le email in genere contengono poi avvisi riguardo problemi che si manifestano nel sistema e che vanno risolti; questo può avvenire tramite un collegamento presente nella mail che conduce in genere a una copia del sito web dell’ente che in realtà è un server controllato dall’attaccante. In ultimo, si richiede l’autenticazione all’utente al fine di ottenere informazioni rilevanti, tra le più importanti password o credenziali in generale, che verranno opportunamente memorizzate. Queste serviranno poi per diversi scopi: acquistare beni, sottrarre denaro, o ancora, essere utilizzati come sostegno per futuri attacchi.

Dal punto di vista organizzativo, tematica in questa sede di nostro interesse, l’ingegneria sociale e in particolare il phishing, sono attacchi informatici da intendersi come ipotetica fonte di fallimento per l’organizzazione nel suo complesso. Anche se l’attacco viene effettuato nei confronti di un sistema informativo in particolare (ad esempio Intranet utilizzata da una specifica unità), le conseguenze tendono a manifestarsi complessivamente a tutti i livelli aziendali.

115

In generale, si può affermare che “esistono alcune organizzazioni che riescono a gestire meglio gli attacchi informatici rispetto ad altre”111_{; se è vero che, a seconda dei dati trattati} (ad esempio bancari piuttosto che governativi) cambia il modo in cui è possibile approcciarsi alla tematica della cybersecurity, è anche vero che non tutte le organizzazioni sono in generale in grado di riconoscere di essere state oggetto di attacco informatico. Il primo passo è infatti, non solo quello di comprendere dove e quali dati sono considerati sensibili per l’organizzazione, ma anche avviare un processo di consapevolezza rispetto alla tematica degli attacchi informatici. Questo permettere di comprendere in modo chiaro e completo quali sono le problematiche e le vulnerabilità dell’organizzazione; ciò riguarda anche e soprattutto gli attori organizzativi individualmente, dal momento in cui utilizzano sistemi informativi per lo scambio di informazioni.

Alla luce di ciò possiamo dare evidenza di alcuni suggerimenti112 che, dal punto di vista organizzativo, si dovrebbero idealmente seguire per fronteggiare al meglio un eventuale attacco ai sistemi informativi aziendali. Di seguito si propone un elenco dei suddetti.

111_{(2014), Managing cyber risk in today’s security landscape, an intwrview with Michael} Chertoff, Edison electric institute Inc., Ed. Nov-Dic.

112_{Westridge, E., Quinlan, C., (2015), 11 tips for effective cybersecurity, Investement Advisor,} August.

116

Figura 3.5 – Schema riassuntivo delle pratiche considerate efficaci per la cybersecurity. • Avere un team orientato alla gestione della cybersecurity: in questo caso, con il termine team, non si intendono solo alcuni utenti dell’intera organizzazione; al contrario è necessario che tutti gli individui siano consapevoli dell’approccio necessario alla gestione degli attacchi informatici. Per questo il team, qui inteso dunque in senso ampio, deve essere trasversale rispetto all’organizzazione nel suo complesso, e quindi ricomprendere tutti gli attori organizzativi proveniente dalle diverse aree e funzioni aziendali.

• Educare gli attori organizzativi: come detto in precedenza è proprio tramite gli utenti dei sistemi informativi che possono intervenire attacchi informatici. Per questo motivo è opportuno che gli individui siano sottoposti a continui aggiornamenti rispetto alle modalità con cui gli attacchi informatici possono manifestarsi; molto spesso terreno fertile è proprio l’inconsapevolezza o la disattenzione dell’utente.

• Analizzare i propri sistemi informativi e informatici: innanzitutto è di fondamentale importanza comprendere dove e quali siano i dati contenuti nei sistemi utilizzati dall’organizzazione; ciò è funzionale all’individuazione dei dati ritenuti a carattere sensibile (ad esempio credenziali di accesso a vario titolo). Successivamente sarebbe opportuno procedere all’utilizzo di strumenti, procedurali o tecnici, che consentano una maggiore protezione di tali dati. Un esempio potrebbe essere utilizzare un sistema di password diverse da quelle utilizzate per i dati in generale, o ancora, limitare l’accesso a tali categorie di dati. • Comprendere il contesto normativo di riferimento: identificare il contesto normativo di riferimento vuol dire prima di tutto condurre un’analisi riguarda la regolamentazione internazionale, europea e, infine, nazionale. Inoltre, si rende necessario, procedere all’individuazione degli obblighi contrattuali che l’organizzazione detiene in merito alla conservazione, al trattamento e alla protezione di dati provenienti da terze parti; ciò aggiungerebbe ulteriori necessità in termini di sicurezza obbligatoria da eventuali attacchi. In ultimo, non possono non essere tenute in considerazione le politiche e le procedure stabilite internamente dall’organizzazione in merito alla tematica della sicurezza e della privacy.

117

• Sviluppare un piano di difesa in caso di attacco: dato che sono molteplici le modalità con cui un attacco informatico può manifestarsi, è necessario sviluppare diversi piani a cui attingere nel caso in cui ciò avvenga. I piani di risposta e difesa dovrebbero essere particolarmente dettagliati ed includere ogni possibile dettaglio del modo in cui l’attacco potrebbe manifestarsi. Il riferimento temporale utilizzato deve essere ambivalente. Da un lato è opportuno segnalare quale sia il leader a cui fare riferimento nell’immediato verificarsi dell’attacco informatico, o ancora, eventuali numeri di emergenza (ad esempio quelli di tecnici informatici). D’altra parte è opportuno pianificare delle azioni a lungo termine per compiere eventuali azioni legali, investigative o tecniche a difesa della propria organizzazione. Come emerge dai suggerimenti suddetti, a livello organizzativo, sono di fondamentale importanza aspetti quali la consapevolezza da parte degli utenti dei sistemi informativi (che potremmo qui definire cybersecurity culture) e la formazione continua degli stessi rispetto alle tematiche sopracitate.

Come detto in precedenza, ignoranza, autorevolezza e panico possono essere causa di attacchi informatici. Ciò vuol dire che anche le organizzazioni che investono molto (in termini monetari) in cybersecurity, non possono sentirsi completamente protetti; questo dunque perché, la maggior parte delle problematiche che favoriscono un attacco non sono di stampo tecnologico, ma umano. Per fronteggiare un attacco le organizzazioni non possono quindi più fare riferimento unicamente a soluzioni tecnologiche ma al contrario devono attuare una visione incentrata sugli attori organizzativi. Anche in questo caso, la tradizionale scala gerarchica di tipo verticale, viene sostituita da una leadership attiva che, comprendendo tutta l’organizzazione o il team, garantisce la presa di decisioni in modo più rapido. Una leadership al contrario esercitata orientandosi solo sulle figure posizionate al vertice della scala gerarchica o alla guida di un team, sono da considerarsi poco funzionali in un contesto dove gli attacchi informatici crescono esponenzialmente ogni giorno.

Il principale problema delle organizzazioni consiste infatti nel ritenere valida la sola creazione di un sistema di difesa dagli attacchi informatici. Piuttosto sarebbe utile “ammettere che i sistemi informativi possono e vengono violati e, di conseguenza, formare e aggiornare gli utenti rispetto alle misure da porre in essere”113; questo non vuol

113_{Disparte, D., Furlon, C., (2017), The best cybersecurity investement you can make is better} training, Harvard Business Review.

118

dire solo ed esclusivamente conoscere le contromisure da adottare in caso di attacco ma, anche e soprattutto, saper riconoscere situazioni potenzialmente dannose.

Il fatto che ad oggi ancora molte organizzazioni siano oggetto di attacco informatico manifesta dunque la necessità di investire maggiormente in cybersecurity culture; ciò è probabilmente dovuto al fatto che, in termini di costi, è notevolmente conveniente investire su un sistema di stampo tecnologico a difesa del sistema, piuttosto che aggiornare e formare gli utenti. Questo non vuol dire che la tecnologia non sia di fondamentale importanza rispetto alla gestione del rischio di attacco informatico, al contrario tecnologia ed aspetti organizzativi dovrebbero essere integrati e correlati. La tecnologia è infatti creata per e utilizzata dall’uomo, e proprio per questo non può essere utilizzata come unico elemento per gestire una tale complessità come quella riferita alla cybersecurity.

Le soluzioni unicamente di tipo tecnologico potrebbero quindi al contrario rendere l’azienda maggiormente vulnerabile rispetto agli attacchi; infatti, sono le soluzioni tecnologiche ad essere estremamente importanti e non la sola tecnologia. Come sottolineato in precedenza, gli attacchi ad oggi possono essere effettuati tramite tecniche riferite all’ingegneria sociale che, piuttosto che concentrarsi sulle vulnerabilità tecnologiche, puntano ad individuare e colpire le vulnerabilità umane.

Date le precedenti evidenze, è necessario alla sopravvivenza delle organizzazioni, sviluppare e promuovere una vera e propria cultura della cybersecurity. Questo non vuole dire concentrarsi esclusivamente sull’invio di mail a contenuto puramente informativo sulla tematica, al contrario è auspicabile sensibilizzare, educare e incentivare lo sviluppo di nuove skills e competenze; tutto questo sarà funzionale allo sviluppo di una maggiore consapevolezza e comprensione della tematica della cybersecurity a tutti i livelli dell’organizzazione.

Per sviluppare una cultura della cybersecurity sono diversi gli step che una organizzazione deve seguire per favorire tale obiettivo.114

Il primo passo è quello dunque di coinvolgere tutti i membri nella stesura di politiche e procedure da utilizzare in caso di attacco; questo permetterà di comprendere cosa ci si aspetta dagli utenti e il compito che ognuno di essi ricoprirà nelle varie fasi del piano di

114_{Macmillan, S., (2017), The best defence againist cyber-attacks: people not technology,} Human resource magazine of Human resource institute of New Zeland.

119

difesa. Gli utenti devono essere poi oltretutto coinvolti nella revisione continua delle politiche e procedure suddette, al fine anche di aumentare il loro interesse nel controllo giornaliero del livello di sicurezza garantito dalle stesse.

La revisione permette inoltre di condurre periodicamente un’analisi rispetto alle condizioni di vulnerabilità che si manifestano nel contesto di riferimento dell’organizzazione; una maggior conoscenza dei propri punti critici permette un utilizzo dei sistemi informativi ed informatici più consapevole. Questo perché tutti gli utenti sono messi nelle condizioni di sapere quali azioni compiere a difesa del sistema in caso di eventi sospetti o di vero e proprio attacco informatico.

Le politiche e procedure devono quindi essere considerate abilitanti per la sopravvivenza dell’intera organizzazione, e non solo uno strumento di supporto tecnologico. Affinché questo avvenga realmente è però necessario che esse vengano comunicate trasversalmente all’interno dell’organizzazione. Un esempio funzionale potrebbe essere proprio condividerle tramite i sistemi Intranet utilizzati dall’organizzazione (o dal team nello specifico). Inoltre, una ulteriore opportunità di verifica della piena consapevolezza da parte degli utenti, è quella di sottoporvi dei test di comprensione rispetto alla tematica della cybersecurity. Ancora è possibile utilizzare delle simulazioni di veri e propri attacchi informatici, ad esempio inviando email fittizie simulando la tecnica del phishing. In ultimo, possiamo dire dunque che le comunicazioni (in merito a regole, politiche o cybersecurity in generale) non devono muoversi verso gli utenti, ma essi stessi devono essere coinvolti in tale attività. L’aspetto più importante è infatti comprendere il loro grado di consapevolezza ed eventualmente colmare lacune comprensive. Questo permette di minimizzare, come abbiamo detto in precedenza, i rischi di attacco informatico e garantire adeguate risposte nel caso in cui questo avvenga.

Date le evidenze precedenti, il driver di vulnerabilità e di difesa è sempre e comunque l’utente. Questo vuol dire che gli attacchi non possono essere evitati nonostante le migliori soluzioni tecnologiche adottate perché la componente vulnerabile è l’uomo; allo stesso tempo le stesse tecnologie adottate non sono sufficienti per resistere ad un attacco informatico in quanto l’elemento migliore di difesa è sempre l’uomo. Di conseguenza appare evidente che, accanto ad una cultura organizzativa rispetto alla cybersecurity per rendere l’utente maggiormente consapevole rispetto al proprio ruolo, sia opportuno anche sviluppare la cyber resilience dal momento in cui gli attacchi informatici non possano essere completamente evitati.

120

Quando si fa riferimento in generale alla resilienza, si intende la “capacità di fronteggiare positivamente un evento avverso riorganizzando rapidamente le risorse a propria disposizione, tornando alle condizioni di partenza con un impatto minimo sul sistema”.115 Se il termine resilienza viene accostato alla tematica della cybersecurity, allora questo vuole riferirsi alla capacità delle organizzazioni di reagire positivamente all’attacco informatico, riuscendo non solo a minimizzare l’impatto ma anche a continuare nelle proprie operazioni ed attività quotidiane nonostante l’attacco subito.

Proprio per tale motivo la cyber resilience non si riferisce solo ed unicamente all’aspetto tecnologico intaccato da un evento avverso, ma necessità del coinvolgimento totale della leadership, degli attori organizzativi e di tutti i processi e infrastrutture.

L’approccio alla cyber resilience è quindi a carattere multidisciplinare e richiede in sostanza un cambiamento rispetto alla tradizionale concezione di sicurezza informatica in generale; il punto focale su cui agire non sono più solo le tecnologie ma, al contrario, l’organizzazione necessita di un nuovo approccio116 _{orientato all’apprendimento} attraverso gli eventi avversi che si verificano.

Le organizzazioni che assumo un atteggiamento di questo tipo rispetto agli attacchi informatici presentano notevoli benefici; infatti agendo con resilienza l’organizzazione passa da un atteggiamento di difesa esclusiva ad un atteggiamento proattivo. Da tutto ciò deriva una maggiore capacità di apprendimento ed adattamento rispetto al verificarsi di un evento avverso.

Il primo passo per poter affrontare con resilienza un attacco informatico è, come già detto precedentemente, instaurare una cultura della cybersecurity trasversalmente rispetto a tutta l’organizzazione. Non si può più infatti riferire la problematica della sicurezza informatica ai soli dipartimenti che si occupano della tecnologia o dell’informatica; l’approccio non è più per funzioni ma è orientato alla visione complessiva delle singole unità che operano all’interno dell’organizzazione. Solo dunque tramite un approccio integrativo e collaborativo, si può auspicare ai risultati seguenti. Tutti gli utenti infatti devono essere consapevoli delle responsabilità che hanno rispetto alla sicurezza degli strumenti informativi ed informatici che utilizzano; per ottenere un tale risultato è opportuno, da parte dei leader, comunicare correttamente la vision e l’obiettivo correlato

115 _{http://www.treccani.it/vocabolario/resilienza/}

116_{Hult, F., Sivanesan, G. (2013), What good cyber resilience looks like, Journal of business} continuity and emergency planning, Vol. 7, No, 2.

121

alla cybersecurity. Tutto questo deve essere trasformato in un core value per l’organizzazione, al pari degli altri valori fondanti che costituiscono il sistema azienda nel suo complesso.

A supporto di una corretta informazione e comunicazione rispetto agli obiettivi associati alla cyber resilience, sono necessarie poi una serie di iniziative. Tale obiettivo infatti non può essere raggiunto solo tramite comunicazioni, ad esempio tramite loro inserimento nella carta dei valori di un’organizzazione; le attività da svolgere sono in realtà soprattutto di ordine pratico. Da un lato è dunque necessario che i leader sia fonte di ispirazione per quanto attiene alla vision associata alla resilienza; d’altra parte è fondamentale che ciò sia supportato da iniziative concrete. Questo non solo evita forme di conflitto che si possono generare a vario titolo nell’organizzazione, ma soprattutto permette di comprendere il reale valore della resilienza come fonte di progresso e di apprendimento. I conflitti infatti, generano uno spreco di risorse e di tempo, piuttosto che creazione di valore; il progresso