I report sulla cybersecurity ci dicono che non abbiamo imparato nulla

Tutte le volte che mi trovo a consultare prima e a commentare poi un nuovo report sui temi della cyber security mi faccio una domanda: se facessi copia e incolla di quello che ho scritto tre mesi o tre anni orsono qualcuno se ne accorgerebbe?

Questo non dipende dall’egregio lavoro che molti seri ricercatori svolgono perché in quanto seri raccolgono e analizzano dati reali, ma dalla stupefacente miopia con cui organizzazioni pubbliche e private hanno affrontato il problema più importante. Così, quando mi è arrivato il “Verizon 2022 Data Breach Investigations Report”, giunto alla sua quindicesima edizione, non ho potuto fare a meno di notare come fosse messo in evidenza che nell’82% delle violazioni il fattore umano ha avuto un ruolo decisivo. Fatemi dire che il campione è abbastanza significativo perché sono stati analizzati 23.896 incidenti di sicurezza, dei quali 5.212 hanno portato a una violazione confermata delle informazioni.

Certo nel report ci sono molti altri dati interessanti, come la crescita in doppia cifra percentuale di attacchi ransomware e l’evidente crescita delle azioni perpetrate da organizzazioni criminali strutturate, ma il tema del fattore umano è quello che mi colpisce di più.

Trovo stupefacente come poco o nulla sia cambiato da quel lontano marzo del 2000, quando Kevin Mitnick, celeberrimo hacker, spiegò a una commissione del Senato degli Stati Uniti come era talmente facile raggirare le persone che raramente ha dovuto usare altre tecniche per violare i sistemi. In altre parole, abbiamo avuto almeno ventidue anni per cercare di mettere a posto le cose e soltanto da un paio d’anno molte (non tutte) le organizzazioni hanno iniziato a svolgere sistematiche attività di formazione/informazione del proprio personale. Tuttavia deve essere ben chiaro che quando si tratta di educare le persone non bastano un paio di ore di corso per arrivare a un risultato, ma ci vuole molto tempo. Si tratta di intervenire su atteggiamenti e modalità operative che si sono consolidate in decenni e quindi ci vorranno anni per rimuovere le “cattive abitudini”. Fatto ancora più grave, nulla o quasi si sta facendo per le nuove generazioni che si trovano in mano già a 10 anni uno smart phone senza avere la benché minima idea di quali siano i rischi che si nascondono dietro quel piccolo schermo.