In un contesto digitale sempre più complesso, le organizzazioni hanno bisogno di una protezione efficace dalle minacce più avanzate e di una sicurezza “frictionless” (letteralmente, senza attriti) che favorisca l’agilità nelle quotidiane attività lavorative.
Il concetto di frictionless security significa proprio fare in modo che nell’adozione delle policy aziendali di sicurezza gli utenti aziendali non abbiano intoppi o inutili complicazioni che altro non fanno se non indebolire proprio quello stesso perimetro cyber che invece si vorrebbe proteggere.
D’altronde, si parla tanto e frequentemente di cyber security, di consapevolezza, di cambiare le password spesso, di utilizzare più autenticazioni, di controllare tutto e tutti e sborsare migliaia di euro per grandi software di protezione.
Ma alla fine della fiera cosa rimane? Che l’attacco informatico riesce per colpa di fattori del tutto umani, come la pigrizia, la disattenzione, l’ignoranza e la creduloneria; pertanto, è utile sicuramente formare il personale sulla corretta profilassi da mantenere durante l’accesso e l’uso dei dispositivi digitali, ma è anche vero che poi bisogna renderli “facili” e privi di “ostacoli” (leggasi: “rotture di scatole”), perché siamo fatti così (cit.) ossia non riusciamo a sopportare a lungo le regole e le imposizioni, quindi tendiamo ad aggirarle o a facilitarle.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Educare alla sicurezza informatica con la frictionless security
Esempi ne abbiamo, pensiamo a tanti sistemi che richiedono la username, la password, il codice che spesso viene generato da un’altra app o dispositivo, poi la password scade e va cambiata prima della scadenza, in un mondo frenetico, dove anche l’apparizione di un cookie banner genera perlopiù fastidio, tutti questi “chi va là”, “fermo o sparo”, “ma tu sei tu?”, ecc.. Generano fastidio e si tende a bypassarli con vari sistemi come “non chiedere più la password per questo dispositivo”, oppure a non utilizzarli soventemente.
Quindi quale potrebbe essere una soluzione?
La stessa che si è adottata per altre situazioni od oggetti: le automobili moderne sono ricche di sistemi di sicurezza, ma tutti trasparenti all’utente, l’auto di oggi si guida come quella di 60 anni fa, ma dentro ha sensori, ABS, Anti-Skid, GPS, scatole nere e via dicendo. L’utente non deve fare o sapere nulla, lui deve solo guidare con attenzione e anche per quello si va verso la guida autonoma con Intelligenza Artificiale.
Una porta blindata con serratura all’avanguardia non disturba il proprietario, che continua ad aprire la porta esattamente come facevano ai tempi delle crociate, ossia inserendo una chiave e ruotandola.
Sostanzialmente non si sta dicendo di eliminare ogni controllo software e/o hardware di protezione, ma una volta messa in sicurezza l’infrastruttura, bisogna evitare “il fuoco amico”, ossia essere bucati a causa dei nostri stessi uomini, che magari per pigrizia non hanno cambiato la password, l’hanno memorizzata sul dispositivo, la scrivono dovunque o la condividono; stessa cosa per i badge o le chiavi: possono esser perse, condivise, rubate, clonate.
Se invece l’utente non tecnico potesse agire tranquillamente senza preoccuparsi di perdere 5 minuti a inserire codici o controllare le e-mail manualmente o pensare se aprire o meno un file potenzialmente rischioso, allora la cyber security potrebbe arginare il problema del fattore umano.
Come arginare il problema del fattore umano
Come e con cosa si potrebbe raggiungere questo obiettivo “privo di attrito”?
Le prime soluzioni che vengono in mente sono allocate nel mondo dell’AI (Artificial Intelligence), che attualmente è in pieno sviluppo.
Un metodo di AI potrebbe controllare i comportamenti dell’utente, potrebbe riconoscerlo semplicemente inquadrandolo con una telecamera, potrebbe riconoscere dei file sospetti, potrebbe analizzare delle e-mail e anche solo dalla forma scritta capire se c’è stato un cambio di stile di scrittura.
Gli accessi tramite biometria già rendono tutto più semplice, bisogna pensare alla semplificazione dei protocolli di sicurezza oppure sperare che tutti divengano precisi ed attenti.
Sicuramente non può esser demandato tutto all’Intelligenza Artificiale, sicuramente possono esserci anche sistemi automatici che non la richiedono, pensiamo a quando sono uscite le carte di credito contactless o i portatili col sensore biometrico dell’impronta o i cellulari con il riconoscimento facciale, ecc…
La frictionless security è davvero sicura?
Rimane un ultimo dubbio, ma la frictionless rende la vita più facile e sicura da errori umani, ma è sicura?
Qui il comparto ingegneria deve attivarsi, creare dei sistemi user-friendly ma sicuri e non basati sul “volemose bene”, quindi se ho una carta di credito contactless devo esser sicuro che non possa esser clonata con un apparecchietto da due soldi, così come un riconoscimento facciale non deve esser ingannato da qualcuno che pone davanti alla telecamera un disegno a matita della mia faccia.
Quindi alcuni sistemi per implementare la frictionless security potrebbero esser rappresentati da:
- Single-Sign-On, ossia un unico set di credenziali per accedere a più applicazioni e sistemi, eliminando la necessità di ricordare più password. Gli utenti devono essere autenticati tramite SSO prima di poter accedere a risorse ed ogni volta che un utente desidera accedere a un’applicazione, viene utilizzato in modo trasparente un token per convalidare la sua identità.
- Accesso Biometrico, che prevede il riconoscimento e l’autenticazione di un utente solo tramite il riconoscimento di parametri biometrici, come l’impronta digitale, la faccia, l’iride eccetera.
- Autenticazione automatica: tramite l’analisi dei comportamenti dell’utente ed un machine learning che ne convalida l’identità. Questo sistema potrebbe essere addestrato su delle azioni o caratteristiche particolari dell’utente, come i dispositivi soliti dai quali si connette, gli indirizzi IP, gli orari di attività, le azioni tipiche che effettua normalmente e via dicendo. Se l’algoritmo nota delle discrepanze potrebbe negare l’accesso e richiedere la password. Nella figura sottostante un esempio di un piccolo script che rileva anomalie sull’orario di connessione e sull’IP.
- Autenticazione a più fattori, questa si basa sul principio di qualcosa che si conosce (password) e qualcosa che si possiede (un token, un sms, un accesso biometrico su un dispositivo personale).
La frictionless security nelle transazioni elettroniche
Un esempio di frictionless security è dato dal protocollo 3DS adottato per le transazioni elettroniche, che può essere frictionless, dopo un’analisi del rischio basata su parametri come:
- cliente nuovo o esistente;
- valore totale della transazione;
- informazioni sul dispositivo;
- cronologia delle transazioni;
- storia del comportamento.
Se questi parametri non generano allarmi, il sistema permetterà all’utente di completare le transazioni senza dover inserire manualmente i propri dati di pagamento o di autenticazione.
Diversamente adotterà dei controlli aggiuntivi, per rendere sicura la transazione.
Conclusione
Sintetizzando, la frictionless demanda a sistemi che utilizzano tecnologie avanzate per garantire che solo gli utenti autorizzati possano accedere a determinati servizi o applicazioni, senza compromettere la sicurezza ed inoltre limita moltissimo le minacce del phishing e dei malware, proprio perché cerca di estromettere il più possibile l’intervento umano sulle credenziali.
La speranza è che la cyber security aumenti grazie a una maggior consapevolezza dei rischi e minacce da parte di tutti noi, ma che riesca ad adattarsi alla scimmia darwiniana che ancora è viva e scalpitante nei nostri cervelli.
