Lo smart working una manna per gli hacker

Questa settimana si potrebbe parlare anche di come L'Università Tor Vergata di Roma sia caduta sotto i colpi degli hacker, ritrovandosi con i sistemi crittografati, ma apparentemente senza una richiesta di riscatto, e di come questa modalità di attacco stia diventando sempre più frequente per coprire le tracce del reale obiettivo che di solito è l'esfiltrazione di dati. Tuttavia ci sono dei numeri interessanti da mettere insieme.

Partiamo dalle proiezioni in materia di smart working che all'unanimità dicono che i 500 mila italiani che lavoravano da remoto per un giorno alla settimana saranno un lontano ricordo anche quando la pandemia Covid si limiterà a essere presente nei libri di storia. Si parla di un numero compreso tra tre e sei milioni di lavoratori che saranno "smart workers" per due o tre giorni alla settimana. Di questi ordini di grandezza sono tutti convinti, al punto che anche il nostro governo si appresta a mettere mano alla normativa.

Limitandoci a quanto ci riguarda, ovvero il tema della cybersecurity, aggiungiamo altri numeri che vengono forniti da Acronis. L'azienda specializzata in soluzione di security ha reso noti i dati del suo "Cyber Readiness Report 2020" svolto a livello internazionale.

Il primo dato di interesse dice che il 92 per cento delle aziende ha adottato nuove tecnologie per supportare le attività dei lavoratori da remoto (sistemi di videoconference in primo luogo). Il 69% di questi ultimi non li aveva mai usati in precedenza e il 47% ha affermato di non avere ricevuto un adeguato supporto da parte del personale IT e di essersi trovato in difficoltà con la propria connessione wireless (37,1%) e nell'uso dei sistemi di sicurezza messi a punto dall'azienda (30,8%). Due dati che si combinano con un 68% di organizzazioni che ha dichiarato di avere subito almeno un attacco ai propri sistemi negli ultimi tre mesi (prevalentemente phishing o direttamente sui sistemi di videoconferenza).

Se traduciamo le percentuali in parole il report di Acronis ci dice che praticamente tutte le organizzazioni hanno messo nelle mani dei propri utenti delle tecnologie che non sapevano usare e in molti casi non sono state in grado di fornirgli supporto. In questo scenario il fatto che oltre due terzi abbia subito degli attacchi appare un dato "quasi confortante". Facciamo un passo avanti e, sulla base delle previsioni in materia di smart working, possiamo affermare che lo scenario in cui sono maturati questi numeri sarà permanente. Se errare è umano e perseverare è diabolico, significa che gli uomini si sono estinti e sono rimasti soltanto demoni. Con incredibile pervicacia continuiamo a mettere nelle mani delle persone strumenti sempre più potenti e poi li lasciamo in balia di se stessi. Nel nostro paese, poi, abbiamo un Governo che proclama a ogni piè sospinto quanto sia importante essere digital e quanto la tecnologia cambierà la nostra vita. Lo ha fatto anche l'automobile, in meglio però solo dopo che avere la patente è diventato obbligatorio.

A proposito di Governo e cyber security vorrei spendere qualche parole su una questione quanto meno curiosa. Il tema dell'identità digitale, molto caro a chiunque si occupa di sicurezza informatica, è da tempo al centro di innumerevoli dibattiti, giuridici, tecnici, politici e anche filosofici. Tuttavia una delle cose di cui non si discute è che debba essere una ed una soltanto.

Nel nostro "incredibile" paese non è così perché siamo riusciti a fare in modo che ne esistano tre: una definita dalla Carta di identità elettronica (16 milioni cittadini), una dallo SPID (6 milioni di cittadini), una terza dalla Carta nazionale dei servizi (che hanno più o meno tutti). Fatto questo nel 2018 qualcuno si accorge che così non può funzionare e allora si inventa una bella App dall'evocativo nome di "IO" disponibile, previa registrazione utilizzando Carta di identità elettronica o SPID, e funzionante apparentemente solo su smartphone (il 30 per cento che non lo ha è tagliato fuori). Non era meglio togliere o unificare, invece di aggiungere complessità per gli utenti? Mi domando, poi, quale parte del concetto inderogabile di unicità dell'identità digitale sia poco chiara. Di questo tornerò a parlare.