Abbiamo già sfatato il mito degli 0-day come minaccia fondamentale per la sicurezza del mondo IT.
Fino a che aziende e organizzazioni trascureranno di tenere il passo delle versioni software prodotte dai vendor, fino a quando continueranno a omettere aggiornamenti di sicurezza importanti, allora nessun agente di minaccia sarà mai costretto a cercare (disperdendo tempo e denaro) nuove soluzioni di attacco. Lo 0-day è per un agente di minaccia solo l’estrema ratio da utilizzare in assenza di alternative; ma di alternative dicevamo ne esistono molte.
Il caso più comune è che gli agenti di minaccia riusino vettori di attacco già sperimentati con successo nel passato, da loro stessi o da altri, in quanto efficaci ancora su molti obiettivi.
La prassi è talmente diffusa, tanto che l’agenzia governativa statunitense CISA (Cybersecurity and Infrastructure Security Agency) tiene traccia proprio di questo fenomeno redigendo un
L’anglosassone “#Security #Awareness” esprime un principio cardine di tutta la sicurezza.
Non esiste azione intrinsecamente sicura se non esiste consapevolezza della sua natura e delle sue conseguenze.
Questo è vero nel mondo industriale, professionale, ecc: è un principio evidente, intuitivo. Nessuno immaginerebbe di improvvisarsi operaio davanti ad una pressa idraulica, o chirurgo in sala operatoria, ma nemmeno agricoltore diretto alla guida di un trattore per campi accidentati. Sappiamo come andrebbe a finire.
La consapevolezza delle conseguenze è dunque il principio che arma qualsiasi presidio di sicurezza, e questo è vero anche nella vita quotidiana: pure il banale “passare con il rosso ad un semaforo” è la dimostrazione di assenza di consapevolezza da cui deriva un problema di sicurezza stradale e dunque fisica.
Gli strumenti di #Internet, che oggi sono alla portata di chiunque grazie agli #Smartphone, sono qualcosa di molto analogo ad una “pressa idraulica” o un “trattore”: possiedono dei rischi per coloro che li utilizzino inconsapevolmente. Il #Cyberspazio (Internet) non è qualcosa di completamente distaccato dal mondo reale: quando agiamo in quello spazio, siamo noi e non un #avatar ad agire (come nell’immaginazione del metaverso della fantascienza cyberpunk); siamo noi con la nostra identità, le nostre emozioni, i nostri affetti e (anche) eventualmente il nostro denaro. L’assenza di una nostra presenza materiale in quello spazio illude molti che ci sia sufficiente grado di separazione a creare una protezione dai rischi, ammesso che si pensi in termini di rischio.
Ed invece anche nel Cyberspazio si corrono analoghi, se non più significativi rischi (perché più facilmente innescabili), proprio in quel dominio dell’identità, emozioni, e misere ricchezze che dicevamo.
L’inconsapevolezza sui rischi di sicurezza che derivano dall’adozione degli strumenti del Cyberspazio può colpire chiunque; più facilmente le persone con un basso profilo di istruzione, ma certamente anche quelle persone che, pur con un alto profilo di istruzione, abbiano un basso profilo di competenze sulle tecnologie informatiche. Il problema può colpire finanche il professionista nel campo dell’informatica che non sia particolarmente preparato sulle questioni di sicurezza: anche lui può correre analoghi rischi, per sé e per il proprio ambiente (azienda, infrastruttura, ecc).
La “Cyber Security Awareness” dunque è la declinazione del medesimo principio cardine di cui parlavamo all’inizio quando portato nei temi del Cyberspazio. È una parte della più articolata #Cyber Security, che intende ovviamente trovare le forme di difesa per le informazioni che risiedono o sono in viaggio nel Cyberspazio, di cui il “proprietario” (delle informazioni) è spesso parte del problema.
Infatti, per quanti metodo e criteri a difesa di queste informazioni possano essere messe in campo, l’azione primaria per cui queste sono presenti nel Cyberspazio è legata esclusivamente alle azioni umane che decidono di introdurle e movimentarle lì. Se queste azioni sono fatte in modo inconsapevole possono essere naturalmente soggette al rischio di una azione malevola che tragga vantaggio da queste stesse informazioni (es. furto di identità, truffe, ecc).
Si parla dunque di “fattore umano”, un fattore di rischio derivante dalle azioni umane, che diviene variabile indipendente nel sistema. Le azioni che portano a conseguenze rischiose possono essere prese nella piena autonomia dell’utente del Cyberspazio, ma possono essere anche indotte dall’esterno per la debolezza del “fattore umano” ad essere convinto, ingannato, forzato a fare qualcosa. Questo avviene quando da attori di minaccia (che adoperano tecniche di ingegneria sociale) siano in grado di determinare comportamenti differenti da quanto immaginerebbe di fare un soggetto, proprio perché ingannata e sopraffatta da queste tecniche. Questa è la questione che più estende il rischio da “fattore umano”, in quanto l’inganno (se ben architettato), potrebbe riuscire a colpire chiunque, anche chi è consapevole dei rischi ma non ha strumenti per difendersi.
La consapevolezza è dunque una qualità che deve essere costantemente coltivata per tenere alto il livello della propria e altrui sicurezza.
Fata Informatica, con il suo brand CybersecurityUp, da anni è sensibile a questo tema e ha creato appositi corsi di “Cyber Security Awareness” per aiutare singoli e aziende a ridurre il “fattore umano” quale sorgente di rischio.
Troverete i corsi o notizie sugli stessi all’indirizzo https://www.cybersecurityup.it/securityawareness/csaw-aziende