Lo scorso 23 febbraio il reparto IT dell’esecutivo UE ha chiesto a tutti i dipendenti della Commissione Europea di disinstallare TikTok dai dispositivi aziendali e da quelli personali sui quali sono installate applicazioni aziendali.
Un provvedimento dal quale possiamo prendere spunto per spiegare alcuni fattori di valutazione di una strategia di cyber security in un’organizzazione.
Premetto che la cyber sicurezza è una disciplina complessa che si realizza con la sinergia di vari gruppi di lavoro che sono fortemente specializzati, che devono intersecare e contestualizzare molti scenari, una gran quantità di dati e numerose verifiche tecniche.
Di conseguenza, un’organizzazione che decide di mettere in atto dei provvedimenti ha delle motivazioni solide ed evidenze strumentali.
Mi sento in dovere di dire, in più, che personalmente non ho alcun pregiudizio nei confronti di TikTok. E non ho alcun pregiudizio nei confronti di altri social. Quindi sono lungi dal processare un social piuttosto che un altro.
Il loro utilizzo e il fatto che possono essere utilizzati come vettori a discapito di ignari utenti, rappresentano, da sempre, un tema caldo in ambito di cyber sicurezza.
Considero, quindi, i “social” come strumenti che devono essere usati con maturità e consapevolezza. Utili quando sono usati in maniera sana e proporzionata: luoghi, sebbene virtuali, dove si può trovare espressione di cose meravigliosamente umane come anche del peggio che l’essere umano può rivelare.
TikTok non è sicura, l’UE chiede ai suoi dipendenti di non usarla e disinstallarla: le motivazioni
Indice degli argomenti
Uso consapevole dei social
Facciamo un passo indietro, per avere una visione più ampia. Bisogna tenere assolutamente in considerazione che i social media sono degli strumenti dove si può riscontrare, a mio avviso, la massima espressione dell’ingegneria sociale.
In un luogo, seppur virtuale, dove uno degli obiettivi è cercare di intrattenere gli utenti per il massimo delle ore possibili, si può comprendere quanto questi ambiti possano rappresentare delle potenziali minacce.
Ci tengo a precisare, visto l’argomento di questo articolo, che con il termine “minaccia” non intendo rappresentare solo un potenziale pericolo in ambito tecnologico, bensì cerco di ampliare il significato di questo termine in scenari che possono insistere su più piani di riferimento. Non meno quello umano che rimane ancora la vulnerabilità più consistente e nei confronti della quale vede la formazione e l’informazione come l’unico rimedio.
Interessante, da questo punto di vista, può rivelarsi il Digital News Report 2021 del Reuters Institute, dove viene relazionato uno studio che illustra, per ogni Paese, il fenomeno globale del calo di interesse che il Covid ha pesantemente accelerato sul settore del giornalismo e di come i vari attori abbiano reagito per compensare tale fenomeno rivolgendosi ad altre piattaforme rispetto a quelle finora utilizzate fino ad allora.
Il report, al di là della finalità per la quale è stato redatto, contiene dei dati che illustrano sostanzialmente un fenomeno che è sociale e culturale poiché, esaltano le differenze di come le varie generazioni attingano all’informazione, al ruolo dei social (che vengono distinti anche per tipologia), le preferenze nella modalità di illustrazione delle notizie preferite a seconda delle generazioni in esame. E anche, quindi, i rischi relativi.
È interessante constatare come, a differenza di altri social media, TikTok sia in rapida crescita nonostante sia uno degli ultimi social approdato sulle nostre reti. E questo fenomeno lo si deve soprattutto alla tipologia di intrattenimento che, con short video, ha cambiato radicalmente il panorama social. Dapprima su una fascia di utenza più giovane per poi, oggi, divenire una piattaforma di interesse di molti. Proprio per la numerosità sempre in crescita dei suoi utenti.
Cogliendo proprio questa analisi di come le diverse generazioni usano diverse fonti per il reperimento delle notizie, si affacciano potenziali rischi legali alle fake news, al phishing (espresso nelle sue molteplici varianti), ai reati di adescamento, alla diffusione di codice malevolo, ai reati in ambito di ingegneria sociale. Solo per citare alcuni.
Le principali minacce rilevate da ENISA
Per citare un’altra lettura molto interessante, che riprende tra l’altro anche il report proprio di cui accennavo prima, l’Agenzia dell’Unione Europea per la cybersicurezza (ENISA), che si occupa proprio della sicurezza delle informazioni, ha pubblicato il Threat Landscape 2022, che nella sua decima edizione analizza il panorama delle minacce alla sicurezza informatica dell’Unione Europea.
Nelle prime pagine del report c’è subito l’elenco delle principali minacce rilevate:
- Ransomware
- Malware
- Minacce di ingegneria sociale
- Minacce ai dati
- Denial of Service
- Internet threats
- Disinformation-Misinformation
- Attacchi alla supply chain.
Si, avete letto bene: “Disinformation-Misinformation ” è vista come una minaccia.
Certamente l’aspetto geopolitico che stiamo vivendo in questi ultimi mesi dopo oltre due anni di pandemia di certo ha impennato il livello di disinformazione che insiste sulla rete. Ciò, a tutti, sembra essere evidente ed incombente.
Ma tra gli aspetti geopolitici non parliamo solo di Covid e conflitto Russia-Ucraina, anche di transizione energetica, transizione digitale, politica ed intelligenza artificiale, per non parlare dell’elettrificazione in ambito automotive che sta creando notevoli discussioni oltre a determinare scenari economici ed industriali non poco importanti per le prossime generazioni.
Anche perché sono ambiti dove giocano interessi governativi che coinvolgono tutti a tutti i livelli.
Cito dal report Enisa: “Cloud computing, AI tools and AI algorithms support malicious actors in fabricating malicious information. This success has both technical and social foundations, and provides state and non-state actors with powerful channels and tools for fabricating and distributing disinformation”.
Ed è quindi una minaccia che le organizzazioni europee, sia pubbliche sia private, di trovano a dover affrontare. Ovviamente in maniera proporzionale ai contesti di azione.
Ad ogni modo, in questo ambito TikTok come altri social sono stati menzionati come vettori di campagne di disinformazione. Attenzione, parliamo di vettori.
Sempre riguardo al report TL2022, ancora prima vengono le minacce di ingegneria sociale che, negli ultimi anni, hanno visto un fortissimo incremento.
Il ban di sicurezza di TikTok
Correttamente la domanda è: “Perché solo TikTok entra nel provvedimento di ban?”. Domanda lecita.
Fino ad ora abbiamo fatto delle considerazioni di largo spettro che hanno l’obiettivo di farvi comprendere come le questioni di cybersicurezza vanno ad intervenire su molteplici aspetti di valutazione di rischio. Aspetti dei quali ho proposto come spunto di lettura solo due report. Sebbene “non abbiamo ancora spostato la polvere dalla superficie”, devo cercare di essere meno prolisso.
Su TikTok, sul quale sussistono evidenti perplessità in merito all’utilizzo dei dati personali, interviene tre mesi fa un articolo di The Guardian, dove emerge che lo staff di TikTok può accedere ai dati degli utenti europei. Staff che è locato in vari Paesi nel mondo dei quali l’articolo fornisce indicazione.
A ciò si va ad aggiungere il fatto che un mese prima dell’articolo di The Guardian, TikTok avrebbe negato al Forbes di fornire chiarimenti in merito ad un possibile tracciamento effettuato nei confronti di un cittadino statunitense. Ciò, se fosse o meno chiarito, rappresenterebbe soprattutto un problema di informativa poiché nonostante TikTok garantisca che l’app non compie tracciamento, questa possibilità rimarrebbe aperta e consentita in base all’informativa stessa di TikTok. Insomma, c’è un po’ di contraddizione sulla quale bisogna evidentemente fare chiarezza.
Anche perché, a complicare il tutto, il 17 luglio 2022, la società Internet2.0 (che si occupa di sicurezza informatica) pubblica un report di analisi tecnica proprio su TikTok.
L’analisi viene circostanziata in determinati ambienti Android e IOS, come si legge nel report e sembra indicare che in questi ambienti operativi, l’applicazione interroghi e raccolga informazioni sulle altre applicazioni installate nel dispositivo, la location almeno una volta ogni ora, contatti, device information, blocco appunti, gli account configurati sul device ed altre informazioni.
Insomma, oltre a tutto quello che può rappresentare un potenziale pericolo in ambito di contenuti ed ingegneria sociale dove i social possono essere dei vettori, qui in più è proprio l’applicazione di TikTok a destare delle consistenti perplessità.
Ciò, di primo pensiero, potrebbe far emergere delle cautele in ambito di manaccia insider, delle quali già ho parlato in passato. Il dispositivo nel quale ho installata sia l’app di TikTok sia altre app dove transitano dati della organizzazione per la quale lavoro, rappresenta una possibile minaccia insider dove il vettore in questo caso è il mio dispositivo dell’utente. E soprattutto io potrei esserne inconsapevole. Ma questo è solamente uno degli scenari in ambito di cyber sicurezza che possono emergere.
Limitare l’uso di TikTok: il segnale positivo
La decisione, per altro intrapresa anche dal Canada, è quindi arrivata sulla base di evidenze che contemplano, come già scritto, considerazioni complesse unite a verifiche tecniche strumentali.
Tengo a far riflettere che il provvedimento intrapreso non deve essere interpretato come “punitivo” in quanto ciò, come già scrivevo, è una normale misura di prevenzione. E come tale deve essere preso.
Qualsiasi organizzazione, sia pubblica sia privata, non può ignorare l’importanza della cyber sicurezza.
Nell’era in cui viviamo dove la nostra vita è stata forzatamente intrecciata con la rete ci deve essere la consapevolezza che facile è imparare l’utilizzo di strumenti che vengono creati in questo ambito, ma anche doveroso è l’aspetto educativo per evitare che tali strumenti disponibili (oserei dire ormai indispensabili) vengano utilizzati per scopi malevoli spesso con l’ausilio dell’ingegneria sociale. O che tali strumenti vengano usati per scopi illegali.
Le nuove generazioni sono quelle più esposte e in questa direzione bisogna rivolgersi con particolare attenzione sia da parte di organizzazioni pubbliche sia da parte di organizzazioni private.
Un segnale positivo poiché in una organizzazione così grande ed inclusiva appare alto il livello di sensibilità che tutti noi dobbiamo osservare.
