Viviamo in un mondo in cui non siamo più analogici e non siamo ancora totalmente digitali, uno spazio ibridizzato dove mondo fisico e mondo digitale si incontrano e si intersecano molto più di quanto noi crediamo. Secondo una ricerca condotta da Euromedia il 93,2% degli italiani dichiara di connettersi a Internet quotidianamente con una permanenza media di 6 ore, come se la nostra connessione fosse legata da un login e logout, in realtà noi siamo connessi anche quando pensiamo di non esserlo.

Il digitale è uno spazio nuovo che non conosciamo, ricco di straordinarie opportunità inesplorate che non siamo in grado di percepire totalmente ma anche di grandi minacce di cui cominciamo ad intravvederne la portata e le conseguenze anche se non riusciamo a riconoscerne i veri pericoli.

Tendiamo ad esportare nel mondo digitale modelli di definizione del rischio dal mondo fisico dove la percezione del pericolo ci è stata tramandata geneticamente da milioni di anni di evoluzione del genere umano o formata attraverso la conoscenza e sulla base di esperienze dirette ed indirette. La conoscenza e l’esperienza generano consapevolezza che induce comportamenti in grado di limitare le nostre vulnerabilità: non ci avventuriamo a passeggiare in zone pericolose nella città di notte; mettiamo porte blindate e sistemi di allarme alle nostre case; chiudiamo l’automobile nel box…

Ci sono analogie tra i due mondi certo. Innanzitutto non esiste il rischio zero. Non esiste nel mondo fisico come la cronaca ci racconta tutti i giorni, non esiste nel mondo digitale. L’unico modo per avere la certezza di non subire un attacco informatico è… non connettersi alla rete. Un comportamento che forse è possibile in qualche angolo remoto del nostro pianeta o in qualche comunità new age.

Non potendo puntare sul rischio zero possiamo quindi solo cercare di ridurlo il più possibile con sistemi di prevenzione, deterrenza e soprattutto comportamenti. La vulnerabilità nasce non solo dalla tecnologia non adeguata ma soprattutto dai comportamenti delle persone come gli ultimi attacchi su scala mondiale hanno ampiamente dimostrato.

Ma ci sono anche grandissime differenze. I pericoli del Cyberspace non sono visibili, abbiamo una componente esperienziale molto limitata e soprattutto una scarsa conoscenza dello spazio nel quale ci muoviamo. Nel mondo fisico siamo portati a pensare che la nostra esposizione al rischio di furto è legata alla sottrazione del bene che possediamo e non avendo percezione del valore dei nostri dati pensiamo che i cyber attack abbiano come target oggi solo grandi aziende, istituzioni o personaggi pubblici. Ed è quello che la comunicazione di massa ci induce a pensare.

La realtà invece è che nel cyberspace così come nel mondo fisico esiste la micro-criminalità: un attacco ramsonware può colpire chiunque e la cifra del riscatto può essere di qualche centinaia di euro, ed inoltre nel cyberspace puoi non essere un target ma un vettore; le vittime non è necessario che possiedano qualcosa di valore da sottrarre;  è sufficiente essere un veicolo verso qualcuno che lo possiede.

In questo mondo ibridizzato  viviamo prevalentemente in mobilità, usiamo device aziendali a casa e strumenti personali in azienda e ci colleghiamo a reti pubbliche dai bar, dagli aeroporti, dai treni.  Non esiste più una netta separazione tra tempo lavoro e tempo privato, né la distinzione tra la dimensione privata e quella di dipendenti di azienda. Il solo fatto di essere un dipendente o fornitore o cliente di un’azienda fa di noi un potenziale target e non a caso infatti la maggior parte degli attacchi è generata proprio da “insider”, siano essi dipendenti, fornitori, clienti o collaboratori di terze parti. Una ricerca di IBM ha rilevato che il 60% degli attacchi effettuati nel 2015 provengono dall’interno dell’azienda stessa e solo il 44,5% degli stessi da “malicious insider” ovvero volontariamente commessi. Oltre la meta’ di questi erano generati da vittime involontarie.

Stiamo entrando in un mondo con oltre 50 miliardi di oggetti connessi alla rete nei prossimi 3 anni, la maggior parte dei quali non sono stati progettati per essere intrinsecamente sicuri. Si pensa a sviluppare prodotti a basso prezzo per una maggiore diffusione e il time to market segna la differenza tra successo e fallimento perché chi prima arriva conquista il mercato, risorse e tempo sono elementi fondamentali per testarne sicurezza e vulnerabilità.

Non stiamo parlando solo di elettrodomestici o di smart tv, ma di dispositivi che entrano nelle reti di produzione delle aziende (Insustry 4.0) o nel nostro corpo come i device medicali. Johnson & Johnson negli Stati Uniti ha segnalato ai propri clienti il rischio che una loro pompa di insulina prodotta potesse essere “hackerata”. L’ex Vice Presidente degli Stati Uniti Dick Cheaney nel 2013 si fece disattivare il pace maker per paura di essere hackerato.

Se avessimo la consapevolezza che il successo della nostra azienda, la sicurezza della nostra casa o la nostra salute dipendessero anche dai nostri comportamenti useremmo ancora 123456 come password? Secondo Wired oggi risulta essere ancora la password più utilizzata e diffusa.

Le aziende hanno investito poche risorse rispetto al rischio che corrono in sicurezza informatica e hanno “esportato” i comportamenti del nostro vivere analogici. Gli investimenti sono stati quasi esclusivamente indirizzati ai sistemi perimetrali (firewall), muri digitali per proteggere come in un’antica fortezza medioevale i confini di un mondo e di uno spazio che in realtà non è più perimetrabile.

Comportamenti che hanno portato nel tempo le aziende a dotarsi di una infinità di sistemi che non parlano tra di loro e che hanno alzato il livello di complessità di gestione senza riuscire a produrre una visione di insieme. Le più illuminate si sono dotate di sistemi di controllo “ex-post” che permettessero di ricostruire il passato per comprendere cause e responsabilità dell’accaduto. Non si tratta di strumenti non efficaci o non necessari ma non sufficienti.

Poco o nulla invece è stato destinato alla formazione delle persone, alla definizione di policy sull’utilizzo e i comportamenti da tenere da parte dei propri dipendenti.

Si è pensato poco a dotarsi di strumenti di controllo per monitorare quello che avviene in real time per poter reagire prontamente quando un attacco va a buon fine. Perché oggi il tema per cittadini e aziende non è essere attaccati o meno ma avere fatto tutto il possibile per prevenire prima e la capacità di immediata reazione dopo, quando un attacco ha successo.

Il digitale è una straordinaria opportunità per l’efficienza e la produttività delle nostre aziende; per migliorare la sanità e la ricerca; per garantire il diritto all’istruzione e alla conoscenza. Non è un opzione ma una necessità da comprendere per limitarne il lato oscuro e massimizzarne i benefici.

Il modo più efficiente per farlo è mettere le persone al centro e la tecnologia al servizio. Conoscenza, Consapevolezza, Comportamenti.