L'analisi tagliente e senza filtri di Antonio Ieranò sulla cybersecurity moderna, tra competenza, irriverenza e verità scomode del cyberspazio.
Un viaggio semiserio tra consapevolezza, responsabilità, normative e… la Signora Genoveffa
Nota dell’autore: Se state cercando un articolo asciutto, scientifico e rigorosamente privo di battute sarcastiche, probabilmente avete sbagliato luogo, tempo e dimensione. Se invece l’obiettivo è farvi sorridere, riflettere, irritare (ogni tanto), annuire (forse) e – con un po’ di fortuna – maturare una nuova consapevolezza sulla sicurezza dell’informazione, allora mettetevi comodi. O comprate un elmetto cibernetico, ché non si sa mai. Se a un certo punto sentirete la necessità di bere un caffè lungo per rimanere svegli, non esitate: è un vostro sacrosanto diritto digitale.
Se stessimo parlando di coltura, probabilmente il discorso scivolerebbe serenamente su concimi, semi, temperature ideali e su come creare un orticello urbano sul balcone di un monolocale, nella speranza di vedere germogliare zucchine radioattive (o giganti) entro la fine della stagione. E invece, ahimè, parliamo di cultura, e più precisamente di quella cultura fondamentale che serve a mettere in sicurezza i nostri preziosi dati, i nostri dispositivi e – non da ultimo – la nostra vita digitale, sempre più interconnessa e vulnerabile.
Spesso, quando si parla di sicurezza dell’informazione (un campo di cui la cybersecurity è solo una parte, benché suoni molto più “cool”), ci si imbatte in reazioni che oscillano tra lo sbadiglio da disinteresse e l’ansia da fine del mondo. Siamo ancora convinti, infatti, che “tanto a me non può succedere” e che le notizie di furti di dati, virus, ransomware e attacchi mirabolanti siano un po’ come i fulmini: colpiscono sempre “l’erba del vicino” (anche se, poi, quell’erba bruciacchiata non è un bel vedere).
Ma perché questa ostinata cecità? Perché preferiamo spesso dedicarci alla coltura degli asparagi fuori stagione piuttosto che dedicare due minuti a capire come proteggere il nostro smartphone, la nostra rete Wi-Fi, i dati del conto in banca, le nostre foto delle vacanze in costume (che magari, da certe parti, è meglio proteggere davvero)? In fondo, la risposta è da cercare proprio nella cultura: se uno non ha la percezione del rischio, non mette il casco; se non ti hanno mai insegnato a non lasciare le chiavi in auto con il motore acceso, probabilmente lo rifarai. E se nessuno ti spiega che dare la password “123456” a mezza popolazione mondiale non è un’idea brillante, continuerai a farlo.
C’è dunque un gap culturale che rende la sicurezza dell’informazione più difficile di un esame universitario di fisica quantistica in un corso di laurea in lettere antiche. E no, non stiamo scherzando troppo. Beh, forse un po’ sì. Ma la sostanza è: finché non mettiamo in moto una vera rivoluzione cognitiva (e un filo di responsabilità in più), continueremo a piangere lacrime amare al prossimo scandalo di phishing “che ha colpito milioni di utenti ignari”. E continueremo con la solita litania: “Non lo avrei mai potuto immaginare”.
Immaginiamo la sicurezza dell’informazione come un enorme, intricato giardino botanico, dove ogni singola pianta (leggasi: dato, asset, sistema) deve essere curata, potata, protetta da parassiti e innaffiata con regolarità. La differenza fondamentale rispetto alla coltivazione di un praticello è che, in ambito cyber, i “parassiti” si chiamano hacker (o, come sarebbe più corretto dire, “attaccanti informatici”, perché il termine “hacker” ha origini ben più nobili di quanto i media generalisti ci facciano credere). Tuttavia, per mantenere il paragone con la coltura, è come se queste fameliche cavallette digitali fossero capaci di “teletrasportarsi” nel vostro giardino anche se vivono a migliaia di chilometri, e di devastarlo con qualche migliaio di euro di danni all’ora.
Nel mondo reale, per proteggere un giardino dai ladri di ortaggi, si metterebbe un buon recinto, magari un cane da guardia e un sistema di illuminazione. Nel mondo della sicurezza informatica, quel “recinto” è una combinazione di procedure, policy, competenze, protocolli e, infine, tecnologie. E, sorpresa sorpresa, non basta limitarsi a “installare un antivirus” o “accendere un firewall” sperando che tutto vada bene. Qui non si tratta di “piantare bulbi e semi” sperando che tutto germogli in un eden da cartolina. Occorre una visione d’insieme e la comprensione (a volte dolorosa) che ogni singola negligenza può trasformarsi in un varco aperto al nemico.
Il problema, però, è che questa consapevolezza non sorge spontanea come l’erba infestante: va seminata (e qui torniamo alla “coltura”!), fatta crescere con cura e costantemente alimentata. Non è immediata, richiede studio, tempo, investimenti, e soprattutto una cultura condivisa, in cui tutti (dal top management all’impiegato, dallo studente delle medie al cittadino anziano) capiscano di avere un ruolo non irrilevante nell’ecosistema della sicurezza digitale.
In Italia, e in Europa in generale, non possiamo lamentarci di carenza normativa: di acronimi e nomi altisonanti ne abbiamo a pioggia. Parliamo di NIS2 (la nuova direttiva europea sulla sicurezza delle reti e dei sistemi informativi), di GDPR (o “GDPT” per chi ama aggiungere qualche consonante a caso, la regolamentazione europea sul trattamento dei dati personali che, tecnicamente, conosciamo tutti… solo di nome però), di standard ISO/IEC 27001 e successivi, di framework del NIST (che non è un personaggio di una saga fantasy ma l’Istituto Nazionale di Standard e Tecnologia statunitense), e via discorrendo. In sostanza, c’è un oceano normativo in cui navigare, a volte con la sensazione di avere la bussola rotta e una barchetta bucata.
Il bello (o il tragico) è che, nonostante queste normative e standard spesso siano corredati da sanzioni “notevoli”, molti continuano a ignorarle o a trattarle come mero adempimento burocratico. Un timbro sulla carta, una firma su un documento, e via, il gioco è fatto. Poi, quando succede il fattaccio (e succede sempre), la reazione standard è un misto tra lo stupore da soap opera e la disperazione più genuina: “Ma come, eppure avevamo l’autocertificazione in cui dichiaravamo di essere compliant…”.
È evidente che la presenza di norme non è sufficiente a garantire la sicurezza delle informazioni. Se manca la convinzione che quei processi e quelle misure servono davvero a qualcosa, allora stiamo solo collezionando scartoffie. E qui torniamo all’insistenza sull’elemento culturale: se non comprendi perché devi fare backup, perché devi proteggere le tue credenziali, perché devi mantenere i sistemi aggiornati, perché devi formare il personale, allora qualsiasi regola o legge ti apparirà come un’inutile seccatura.
“Ci vorrebbero più soldi!”: ecco il mantra che ogni professionista della sicurezza almeno una volta ha recitato, con voce stentorea, cercando di commuovere un CDA (Consiglio di Amministrazione) o un CFO dal braccino corto. In molti casi il problema è concreto: la sicurezza dell’informazione richiede investimenti, persone qualificate, strumenti di monitoraggio, consulenze, addestramento. E se dai un occhio alle voci di spesa, potresti sentirti svenire.
Ma, sorpresa: non sempre il budget è il vero ostacolo. Spesso c’è un budget destinato alla sicurezza, solo che è mal gestito, “spezzettato” in rivoli di spesa senza una strategia coerente, o magari viene stanziato all’ultimo minuto per “fare qualcosa” e mostrare che si è fatto un passettino in direzione della compliance. Così, fra un antivirus da discount e un firewall che ha l’ultima patch rilasciata quando ancora i modem facevano “tudutuu tudutuu” per connettersi, ci si consola con la solita frase: “Almeno abbiamo fatto qualcosa…”.
Peccato che la sicurezza dell’informazione non sia una collezione di optional, tipo “vuoi i coprisedili in pelle di coccodrillo per la tua auto?” ma un sistema organico che deve coprire architetture, processi, persone e tecnologie. Serve una visione strategica: definire le priorità, analizzare i rischi, allocare le risorse in modo intelligente e sostenibile. Se invece si preferisce buttare un po’ di soldi qua e là con la stessa coerenza di un astemio che recensisce vini, non sorprende che la baracca continui a scricchiolare pericolosamente.
Prima di chiedersi “Ma dove abbiamo sbagliato?”, è il caso di osservare che esiste una “variabile” spesso trascurata ma determinante: l’utente, il cittadino comune, quello che di solito è chiamato a interagire con dispositivi e servizi digitali. Insomma, tutti noi. A volte lo si chiama – con fare un po’ sprezzante – “l’utente medio”. Per dare un tocco di matematica, c’è chi lo definisce “cittadino quadratico medio”, giusto per farlo sembrare un personaggio uscito dal mondo dei numeri complessi.
Il punto è semplice: se il singolo utente non percepisce l’importanza di proteggere i suoi dati, non lo farà. Non c’è NIS2, non c’è GDPR, non c’è ISO 27001 che tenga. L’atteggiamento sarà del tipo: “Ma a me che importa, tanto non ho nulla di interessante…”. Da qui l’uso di password ridicole, di reti Wi-Fi aperte come le porte dell’oratorio, di smartphone senza PIN (figuriamoci l’autenticazione biometrica!), di link cliccati con la curiosità di chi apre un uovo di Pasqua, e via discorrendo.
È come per il casco in moto o la cintura di sicurezza in auto: la maggior parte di noi ha imparato, talvolta anche con la spinta di multe salate e campagne martellanti, che sono strumenti salvavita (o almeno riducono i danni). Eppure, c’è sempre chi se ne infischia, perché “tanto guido piano” o “faccio solo tre metri, che vuoi che succeda?”. Allo stesso modo, la sicurezza digitale è percepita come un’astrazione. Pensate alla differenza: non indossare il casco in moto ha un effetto tangibile in caso di incidente. Mentre un furto di dati o un malware che ci spia sembra qualcosa di lontano e improbabile. Poi però, quando ci rubano l’account bancario, urlare “Non potevo immaginarlo!” non ripristina il saldo.
Il confine è sottilissimo: da un lato abbiamo l’utente consapevole, uno che almeno si pone qualche domanda (“Questo link è legittimo o è phishing?”; “Questa app sconosciuta la devo proprio installare?”; “Devo connettermi al Wi-Fi gratuito dell’aeroporto per fare il bonifico di 10.000 euro?”). Dall’altro c’è l’utonto, che incarna la quintessenza della fiducia cieca mista a un fatalismo da tragedia greca (“Se deve succedere, succederà!”). È l’individuo che apre allegati email dai nomi più bizzarri, che ama le password deboli, che installa qualsiasi plugin del browser perché “mi serve per cambiare il cursore del mouse in un gattino puccioso!”.
Certo, chiunque può cadere in trappola. Non è una questione di intelligenza, ma di mindset. E qui entra in gioco il “devi stare un po’ all’erta”: non significa vivere con la paranoia di vedere spie ovunque, ma capire che nel mondo digitale ci sono rischi reali. Così come sai che girare in auto senza freni ti espone a un pericolo, allo stesso modo dovresti realizzare che girare senza antivirus o senza un buon sistema di autenticazione ti mette in una posizione di svantaggio. E la colpa, in caso di guai, non potrà sempre essere dei “perfidi hacker russi” o dei “maledetti cinesi”: magari sarebbe bastato mettere una password robusta (e non condividerla con l’amico dell’amico).
Immaginate un consiglio di amministrazione, composto da persone in giacca e cravatta (o tailleur), alcune delle quali leggono – con la passione di un bradipo in letargo – le slide del responsabile della sicurezza informatica. Se il board non ha assimilato culturalmente l’importanza della protezione dei dati e dei sistemi, la sicurezza resterà sempre un mero costo, una spesa da comprimere o un fastidioso orpello burocratico. Non la vedranno come una leva strategica, né come un valore aggiunto. E, di conseguenza, difficilmente le decisioni aziendali terranno in adeguato conto l’importanza di un sistema di protezione integrato.
Eppure, così come un costruttore di automobili non si sognerebbe mai di progettare un veicolo senza freni (anche perché qualcuno con un minimo di raziocinio direbbe: “Ehi, aspetta un secondo…”), allo stesso modo, un’azienda dovrebbe considerare la sicurezza come parte integrante del proprio “motore”, come un requisito di base. Se inizi a vedere la sicurezza non come un impedimento, ma come un fattore abilitante (e competitivo), ecco che le cose cambiano. Le risorse si trovano, l’organizzazione viene ripensata, le procedure diventano meno astratte.
Un grande equivoco nel mondo aziendale è pensare che “Sicurezza informatica = Reparto IT”. Per cui si finisce per parcheggiare tutte le responsabilità di protezione dati e sistemi nelle mani del povero IT manager, come se fosse un tuttologo in grado di curare i server, rispondere ai ticket degli utenti che hanno dimenticato la password, e nel frattempo scrivere policy di sicurezza da manuale. Spoiler: non funziona così.
Quindi, come potete intuire, stiamo parlando di domini contigui, con sovrapposizioni, ma che richiedono competenze e approcci diversi. Non è che un IT manager diventi automaticamente un “guru” della sicurezza, così come un giardiniere non diventa all’improvviso un botanico solo perché ha il pollice verde. E poi ci sono gli sviluppatori: esseri meravigliosi che amano scrivere codice, ma spesso se ne infischiano di pratiche di sicurezza basilari. Se poi gli fai notare che basterebbe un controllo in più sugli input utente per evitare la famigerata “SQL injection”, ti guardano come se volessi togliere loro la libertà di espressione artistica.
L’aspetto fondamentale è che questi team dovrebbero collaborare, parlare, scambiarsi informazioni. E magari i manager OT potrebbero fare un salto in IT per capire come integrare misure di sicurezza adeguate, viceversa i developer potrebbero confrontarsi con i responsabili security per adottare buone pratiche di secure coding, e così via. Utopia? Forse. Ma se non ci si prova neanche, rimaniamo nel medioevo digitale.
Le cronache degli ultimi anni sono piene di storie su aziende – anche grandi – paralizzate dal ransomware: quei simpatici malware che criptano i dati e chiedono un riscatto in bitcoin per restituirli. Spesso, la sorpresa è accompagnata da frasi tipo: “Ma come, non avevamo un backup?”. E la risposta, a volte, è “Sì, ce l’avevamo, ma era connesso in rete e pure lui è stato criptato insieme al resto”. O, ancor peggio, “L’abbiamo configurato male, e non funziona da 8 mesi”.
Fare backup sicuri, protetti e off-line dovrebbe essere un precetto base, da scolpire su tavole digitali come i comandamenti. E sarebbe anche banale ricordare la regola del “3-2-1” (tre copie, su due tipologie di supporto, una off-site o off-line). Ma, chissà perché, quando si parla di allestire un piano di backup serio, la risposta più frequente è: “Eh, costa troppo”, “Ci vuole troppo tempo”, “Lo faremo domani”… fino al giorno fatidico in cui si perde tutto, incluse le foto delle vacanze di zia Genoveffa e persino i progetti dell’azienda. E lì scatta il panico, con l’IT manager che suda freddo e il CEO che scrive mail indignate.
La lezione è antica quanto l’informatica stessa: un dato che non è salvato almeno in due o tre posti diversi, e testato con restore periodici, è un dato perso. Punto. Non ci sono scuse. Eppure, abbiamo ancora fior di organizzazioni che ignorano questa realtà. Alla fine, la chiave è di nuovo la consapevolezza: se capisci che quei dati sono vitali, ti organizzi. Se non lo capisci, ti affidi alla sorte, sperando che il ransomware colpisca un altro.
Un ulteriore errore è pensare che la sicurezza dell’informazione riguardi solo i reparti tecnici. In realtà, ogni settore aziendale maneggia dati più o meno sensibili. Il Marketing, ad esempio, può avere a disposizione database di clienti, preferenze, informazioni su prodotti e campagne: un vero tesoro per i criminali informatici. L’HR (Human Resources) gestisce dati dei dipendenti, contratti, buste paga, performance e valutazioni. Il Legal si occupa di documenti riservati, contratti, contenziosi. Insomma, un attacco a uno di questi reparti può avere effetti devastanti sull’intera azienda.
Eppure, spesso il livello di attenzione o di formazione sulla sicurezza è bassissimo. Molti non sanno riconoscere una mail di phishing neanche se fosse firmata da “Tuo cugino hacker, clicca qui per regalarmi l’anima”. Altri inviano dati riservati senza criptazione. Altri ancora usano la stessa password per l’account Facebook, la posta aziendale e la piattaforma di CRM. Salvo poi stupirsi quando qualcuno se ne approfitta. Anche qui, la tecnologia può dare una mano (filtri anti-phishing, autenticazione a due fattori, sistemi di crittografia), ma se la mentalità è “massì, che sarà mai…”, avremo sempre la falla umana pronta a diventare la porta d’ingresso.
Sogniamo un paradiso digitale: i manager parlano di sicurezza fin dall’inizio di ogni progetto, gli sviluppatori scrivono codice robusto e controllato, i responsabili di produzione integrano i sistemi OT in un’architettura sicura, il marketing e le risorse umane sanno come proteggere i dati sensibili, i backup sono testati, l’accesso remoto è blindato, i dispositivi mobili sono gestiti con policy serie. Utopia? Forse. Ma un primo passo per avvicinarci a questo scenario è investire in formazione e cultura, a partire dai banchi di scuola.
In un mondo dove i bambini sanno usare il tablet prima ancora di parlare, ha senso insegnare l’alfabeto digitale insieme all’alfabeto tradizionale. Sembra scontato, ma così non è. Non occorre necessariamente introdurre ore di “sicurezza informatica” in latino (con tutto il rispetto per le lingue classiche), ma almeno spiegare i principi base della protezione dati e delle minacce online. Rendere i ragazzi più consapevoli e responsabili, anziché lasciarli crescere come piccoli “utonti” che cliccano ovunque.
Un altro problema che spesso accompagna le campagne di sensibilizzazione (a livello aziendale, istituzionale o mediatico) è l’abuso di termini inglesi, acronimi e slang tecnico, che finiscono per rendere la comunicazione incomprensibile a chi non è del settore. Il risultato è che la gente ascolta, annuisce e… non capisce nulla. Poi torna a fare esattamente quello che faceva prima.
La teoria della comunicazione (a scuola, all’università, in ogni contesto formativo) ci insegna che è il mittente del messaggio a doversi preoccupare della chiarezza del testo, non il destinatario. Se parli di “vulnerability assessment”, “penetration test”, “fishing simulation” (sì, a volte lo scrivono sbagliato…) e “endpoint protection con EDR e threat intelligence in cloud native environment”, l’utente comune si sente come se fosse finito su un pianeta alieno. È compito di chi comunica rendere il discorso più digeribile, anche a costo di semplificare, spiegare con esempi concreti, ricorrere a qualche metafora – magari non troppo ardita – per far sì che le persone si portino a casa un concetto chiaro: “Non condividere la tua password e non aprire allegati loschi!”.
Per riassumere la nostra lunga – e si spera non eccessivamente tediosa – dissertazione sarcastica, i motivi principali per cui la sicurezza dell’informazione continua a non funzionare come dovrebbe sono:
Giunti a questo punto, potrebbe sorgere spontanea la domanda: “Vabbè, ci hai criticato a sufficienza. Ora suggerisci qualcosa di concreto!” Eccoci, allora, con qualche proposta per affrontare il gap culturale in modo costruttivo:
Siamo in un’epoca in cui la digitalizzazione avanza alla velocità della luce, mentre la consapevolezza di molte persone (e organizzazioni) avanza alla velocità di un bradipo con la sciatica. Come risolvere questo gap? Lo abbiamo appena visto: formando, comunicando, collaborando, pianificando, investendo e, soprattutto, capendo. Rendendoci conto che la sicurezza non è un optional, non è un lusso, non è un fastidioso intralcio. È una parte essenziale della società digitale.
Dobbiamo passare dall’idea che tutto si risolva con un antivirus e un “accidenti a questi hacker” a un approccio più maturo. Dobbiamo piantarla di considerare la sicurezza dell’informazione come una coltura di piante esotiche da abbandonare sul balcone con la speranza che crescano da sole. Ci vuole cultura, comprensione e responsabilità, in dosi adeguate. Non troppa, per carità: siamo pur sempre in Italia, non esageriamo con la serietà! Ma quanto basta per non restare sempre lì a lamentarci, a dire “Chi l’avrebbe mai detto?” quando subiamo l’ennesimo attacco informatico.
Oltre al danno d’immagine, al blocco dei sistemi, alle sanzioni e ai costi di ripristino, c’è un danno più sottile: il blocco evolutivo della nostra società, la perdita di fiducia nelle tecnologie, il rimanere ai margini della trasformazione digitale. Perché se non riusciamo a proteggere i nostri dati, la nostra privacy, le nostre infrastrutture, come possiamo trarre beneficio dai progressi dell’intelligenza artificiale, dell’Internet of Things, delle reti 5G (o 6G, 7G, diavolerie future che ci aspettano dietro l’angolo)?
La signora Genoveffa, di età imprecisata e massaia in un paesino remoto, deve poter usare i servizi online in sicurezza per pagare le bollette, prenotare visite mediche, ricevere comunicazioni importanti. E se lei, come tante altre persone, non si fida o non sa come fare, rischiamo di creare un “digital divide” in cui qualcuno rimane escluso da opportunità fondamentali. Tanto per ribadire che la sicurezza dell’informazione riguarda tutti, non solo gli smanettoni con la tastiera illuminata o i “geek” che si scambiano battute in riga di comando.
Infine, una precisazione: non ho parlato molto di tecnologie specifiche – firewall next-gen, SIEM, sandbox, EDR, XDR, NAC, micro-segmentazioni, reti neurali, threat intelligence e amenità varie – perché il punto è che, senza cultura, non c’è hardware o software che tenga. Installare una serratura di livello massimo su una porta che lasciamo regolarmente socchiusa è inutile. E la porta, qui, è la nostra testa.
E ora, buon proseguimento. Se siete arrivati fin qui, vuol dire che un briciolo di curiosità o di masochismo lo avete. Spero di avervi strappato un sorriso e di avervi lasciato almeno una pulce nell’orecchio: la sicurezza dell’informazione non è solo un ammasso di nozioni tecniche, ma qualcosa che riguarda noi, le nostre famiglie, le aziende e perfino le istituzioni pubbliche. È un problema di cultura, non di coltura. E la soluzione inizia – guarda un po’ – con un cambio di mentalità. Provare per credere. O, se preferite, potete sempre tornare a piantare petunie nel vostro orticello digitale e sperare che i parassiti si distraggano. Ma non dite che non vi avevo avvisato!
Esperto di cybersecurity con oltre 20 anni di esperienza, celebre per il suo approccio istrionico e spesso irriverente, e per la sua voce fuori dal coro. In questa rubrica condivide analisi approfondite e opinioni schiette su tematiche legate alla cybersecurity, mantenendo una prospettiva indipendente dal suo impegno professionale