Si celebra oggi il Safer Internet Day 2024 (SID), la giornata mondiale per la sicurezza in Rete istituita e promossa come ogni anno nel mese di febbraio dalla Commissione Europea. Anche questa edizione è un’occasione di riflessione per la diffusione della cultura della cyber sicurezza, della consapevolezza e sull’uso sicuro del digitale.
In ogni ambito, dalle scuole alle aziende, perché “il fattore umano è causa di oltre il 90% di tutti gli incidenti informatici“, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit. “Questo dato non deve sorprendere e non vale solo per il classico e banale phishing: lo studio di molti casi di attacchi accaduti ci conferma che anche attacchi ad obbiettivi importanti hanno utilizzato come primo fattore d’intrusione (quello che nella cyber kill chain è conosciuta come la fase di Exploitation e Delivery) un errore umano”.
“In un’era in cui la tecnologia è parte integrante della società, la sicurezza online è un requisito fondamentale per la collettività”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “Il Safer Internet Day è un evento che ci ricorda l’importanza di un internet accessibile a tutti in modo sicuro e responsabile”.
Ecco come proteggersi, in azienda, ma anche a scuola, dove il Safer Internet Day deve “far sì che un Internet più sicuro e migliore diventi realtà – per tutti, ma soprattutto per i giovani e i più piccoli”, secondo Paolo Lossa, Country Sales Director di CyberArk Italia, una “generazione che sta crescendo con l’AI come parte integrante dello stile di vita digitale, con tutte le sue possibilità e rischi. L’AI aumenta la superficie di attacco creando nuovi punti di accesso, ad esempio chatbot compromessi e deepfake a malapena distinguibili dalla realtà”.
“Giornate annuali di sensibilizzazione come il Safer Internet Day”, mette in guardia Rich Davis, Director of Product and Solution Strategy di Netskope, “possono essere utili come opportunità per parlare di igiene informatica con i dipendenti, ma alzare la consapevolezza sulla sicurezza informatica non dovrebbe essere un esercizio da spuntare solo in occasioni particolari; lo stesso vale per i programmi di training sulla cyber security per i dipendenti. La realtà è che una buona igiene informatica richiede continui cambiamenti culturali, con un comportamento responsabile che deve essere chiaramente indicato come prioritario (e comunicato) dai livelli più alti dell’azienda”.
Indice degli argomenti
Safer Internet Day 2024: i consigli per navigare sicuri
Le aziende, soprattutto le Pmi del manifatturiero, sono le più esposte ai rischi informatici. Nello scenario interconnesso e digitale in cui viviamo, i rischi informatici rappresentano infatti una minaccia onnipresente che coinvolge anche ogni singolo individuo.
“Il panorama delle minacce informatiche è in continua evoluzione e richiede un impegno collettivo per garantire la sicurezza e la privacy degli utenti online”, avverte Paganini: “In quest’ottica, l’educazione, la consapevolezza della minaccia e la condivisione delle informazioni relative alle minacce sono fondamentali per un internet migliore”.
“L’evento Safer Internet Day è dunque un’opportunità per tutti noi, deve essere di sprono ad unire le forze per promuovere un uso sicuro e positivo della tecnologia”, ricorda Paganini.
“I cyber criminali sfruttano così fortemente il fattore umano, perché sono vere e proprie aziende, attente ad ottimizzare costi e benefici di ogni loro attacco”, mette in guardia Sbaraglia: “E lo sfruttamento dell’errore umano è molto più rapido e meno costoso di altre tecniche più sofisticate. Nei miei corsi di formazione (oggi la formazione è sempre più importante!) amo sintetizzare questo concetto con la frase: “Per violare un sistema operativo ci possono volere settimane, mentre per violare il ‘sistema operativo uomo’ possono bastare pochi minuti”.
“Purtroppo la cybersecurity è considerata ancora una materia riservata agli specialisti, che la trattano talvolta con un approccio ‘da addetti ai lavori’, difficilmente comprensibile a chi esperto IT non è”, avverte Sbaraglia: “Questo è un errore culturale molto grave, mio parere: i progressi nel modo in cui gli aggressori utilizzano l’errore umano (phishing, social engineering eccetera) per facilitare l’infezione degli endpoint o il furto di credenziali rendono assolutamente necessario per le organizzazioni non considerare più le loro soluzioni di sicurezza – per quanto possano essere avanzate – come l’unica linea di difesa”.
Nel mondo sempre più digitale in cui stiamo vivendo, Internet ha un ruolo fondamentale come canale di comunicazione. “Lo sanno bene anche i cybercriminali, tanto che oltre il 90% delle minacce arriva tramite email”, aggiunge Luca Maiocchi, country manager di Proofpoint.
Il ruolo della formazione
“Dobbiamo abituarci a trasformare gli utenti da ‘anello debole della sicurezza’ a prima linea di difesa, in modo che possano giocare un ruolo nella sicurezza informatica”, evidenzia Sbaraglia: “In tutto questo, risulta di fondamentale importanza la formazione: sia nelle aziende, a tutti i livelli, che per le persone, perché ognuno di noi ha un computer, uno smartphone e quindi può essere obbiettivo di attacchi e truffe informatiche”.
Per proteggersi in questo scenario, secondo Luca Maiocchi, le aziende devono adottare “un approccio di sicurezza che tenga conto di tutte le componenti potenzialmente interessate, a cominciare da quella umana. Il 90% delle minacce che arrivano via email richiede una qualche interazione umana per scatenare il suo potenziale. Per questo, puntare solo sulla tecnologia non è sufficiente, ma è necessario formare il personale a un uso consapevole di posta elettronica e navigazione sicura su Internet”.
“Il mio consiglio alle organizzazioni è di cercare modi per trasformare queste comunicazioni annuali”, conferma Rich Davis, “sull’importanza di pratiche di sicurezza informatica in un dialogo continuo, magari utilizzando l’intelligenza artificiale per fornire agli utenti un coaching in tempo reale nel momento in cui si incontra un rischio informatico o di protezione dei dati. In modo più strategico, l’adozione di un’architettura abilitata al principio “zero trust” garantisce che un’organizzazione riduca l’esposizione al rischio rappresentata da un singolo dipendente e svolga il lavoro di un gran numero di giornate di sensibilizzazione individuali”.
L’allarme fra i giovani
Secondo l’ong Save the Children è urgente realizzare ambienti digitali sicuri per bambine, bambini e adolescenti, a causa dell’abbassamento dell’età media nell’uso del digitale e dell’incremento del tempo medio passato online da parte dei minori. Online e i sui social più giovani possono discutere e confrontarsi, ma rischiano l’esposizione al cyber-bullismo, alla mancata comprensione delle regole della privacy o delle modalità di interazione con gli altri, oltre a sottoporsi acriticamente alle scelte degli algoritmi.
Il 40,7% degli 11-13enni in Italia usa i social media, anche se l’accesso ai social è previsto solo dopo compimento dei 13 anni: c’è una prevalenza femminile (47,1%) rispetto a quella maschile (34,5%). In Italia accede a internet tutti i giorni il 78,3% degli 11-13enni, il 91,9% degli adolescenti nella fascia 14-17 anni e il 44,6% dei bambini tra i 6 e i 10 anni.
I bambini nella fascia d’età tra i 6 e i 10 anni che, dopo la pandemia, usa il cellulare tutti i giorni, è salito dal 18,4% (biennio 2018-19 ) al 30,2% (2021-22). L’89,2% di 11-17enni impiega il cellulare tutti i giorni.
Gli adolescenti tra i 14 e i 17 anni comunicano con WhatsApp, Messenger, Viber e altro (93%), guardano i video (84%, in crescita), visitano i social media (79%), videogiocare (72,4%), acquistano online (28%), leggono notizie (37%), svolgono corsi online (27%) e scaricano ebook (22%).
Ma l’11,4% delle ragazze e il 9,2% dei ragazzi subisce i atti di cyberbullismo e il 13,5% del campione usa in maniera problematica i social media. Metà delle adolescenti di 13 e 15 anni ammette di non riuscire a stare meno sui social media. Il 24% di ragazzi e ragazze di 11, 13 e 15 anni è a rischio di utilizzo problematico dei videogiochi (i maschi già a 11 anni). Sale dunque il rischio di dipendenza tecnologica, da social o da giochi in rete.
Secondo la Polizia Postale, nel 2023 sono lievemente scesi gli episodi di adescamento online di minori, la maggior dei quali accadono in preadolescenza (11-13 anni). Il 9% ha età inferiore a 10 anni ed entra in contatto sui social e videogiochi online. La fascia preadolescenziale nel 2023 ha ricevuto più interazioni sessuali tecno-mediate (206 su 351 casi totali).
L’Unione Europea ha dato il via a un processo per definire e approvare la Proposta di Regolamento sulla prevenzione e la lotta contro gli abusi sessuali sui minori. Intanto Save the Children propone l’estensione della deroga temporanea al Codice Europeo delle Comunicazioni Elettroniche (Codice dell’ePrivacy),
Safer Internet Day 2024 a scuola: dell’educazione civica ai PCTO
Clusit e Women for Security collaborano nel Safer Internet Day 2024, perché la disponibilità di nuove tecnologie e piattaforme per le generazioni più giovani, rende urgente coltivare maggior consapevolezza delle cyber minacce fin dall’età scolastica.
“L’importanza della formazione sulla sicurezza informatica è infatti resa ancora più necessaria dai dati – preoccupanti – del Rapporto DESI (Digital Economy and Society Index) redatto dalla Commissione della UE, che colloca il livello di maturità digitale (definito ‘il capitale umano’) degli italiani al terz’ultimo posto in Europa“, conclude Sbaraglia.
L’associazione ha infatti avviato Sicuramente Clusit, iniziativa rivolta alle scuole come canale primario per diffondere la cultura della cyber security tra i cittadini digitali del futuro.
Ideato per le scuole secondarie di secondo grado, l’iniziativa punta a coinvolgere non solo gli studenti, introducendoli a un percorso di formazione e alle basi della cyber, ma anche insegnanti e genitori.
Agli adulti è proposto un sostegno per prendere familiarità con queste tematiche e farvi fronte nella vita di tutti i giorni con figli e studenti.
Il progetto prevede un ciclo di laboratori, che fa parte del tema “cittadinanza digitale”, che rientra nell’insegnamento obbligatorio dell’educazione civica. Inoltre le scuole possono inquadrarlo nei percorsi di PCTO (Percorsi per le Competenze Trasversali e l’Orientamento).
Ispirandosi agli stessi principi, anche la community di professioniste Women for Security ha inaugurato il progetto Cybersecurity4Schools che punta a portare la cultura dell’uso sicuro e consapevole del digitale nelle scuole secondarie di primo grado.
“Formare oggi gli studenti prepara i cittadini di domani, non solo fornendo loro competenze ormai necessarie per un’ampia gamma di professioni, ma contribuendo a creare una società più consapevole delle minacce digitali e una cultura in cui la sicurezza informatica sia considerata una priorità”, spiega Gabriele Faggioli, presidente di Clusit. “Con i propri progetti, Clusit e Women For Security intendono mettere le proprie competenze ed esperienze a disposizione di due cicli scolastici che coprono fasce d’età in cui ragazzi sono immersi nel digitale, spesso con scarsa consapevolezza dei rischi”.
L’obiettivo è la formazione dei ragazzi fra gli 11 e 14 anni sui rischi online e sulle opportunità del digitale nel costruire il proprio futuro. Le cyber ladies della community tengono corsi in presenza e online a scuole medie sul territorio italiano. Di recente hanno iniziato a collaborare alla seconda edizione di “Mappa della città educante” promossa da Roma Capitale per tutte le scuole della città di Roma. La community formerà alcune classi di istituti romani aderenti al progetto cyber security sui banchi di scuola.
Dedicata agli insegnanti, Women for Security dedica la guida dal titolo “Cyber tips: guida per gli insegnanti”, suddivisa in una parte teorica e in schede didattiche per svolgere esercitazioni in aula.
“Crediamo che la nostra community, tutta al femminile, possa anche essere di ispirazione per le ragazze che vogliano intraprendere un percorso di studio nelle discipline STEM per intraprendere una carriera in un settore in grande crescita come quello della sicurezza informatica e del digitale in generale”, conclude Cinzia Ercolano, Fondatrice di Women for Security.
Cinque suggerimenti per i minori
Ai minorewnni bisogna insegnare che, anche nell’era di ChatGPT e TikTok, è necessario prendere sul serio la privacy online. Non bisogna pubblicare ciò che non si vorrebbe mostrare a un estraneo. Inoltre occorre verificare sempre l’identità di chi ci contatta online. Proteggere l’identità digitale significa usare password complesse e lunghe e l’autenticazione a due o più fattori (2FA/MFA) per rafforzare la sicurezza dell’autenticazione dei propri account, evitando la condivisione delle proprie password o degli accessi con altri, nemmeno con amici.
I bambini, prima di accedere online (almeno fino a una certa età), dovrebbero sempre chiedere il permesso ai genitori, i quali dovrebbero limitare le app, i giochi e i siti online. Non devono condividere mai il proprio nome con estranei, l’indirizzo di casa o dettagli intimi o immagini personali con utenti online.
Consigli per le aziende: approccio zero trust
“In occasione del Safer Internet Day, desidero enfatizzare l’importanza dei concetti di prevenzione e rilevamento nel contesto delle identità”, afferma Cesare Di Lucchio, SOC Manager di Axitea: “Nell’attuale contesto cyber, le identità si configurano come credenziali di accesso a sistemi, utenti di dominio o accessi passwordless, consentendo l’accesso a strumenti aziendali per la gestione dei dati”.
“In un contesto aziendale, il concetto di prevenzione nei confronti dei rischi legati alle identità consiste nella definizione di adeguate politiche per l’onboarding, l’offboarding, il change management e nell’assegnazione corretta dei privilegi ad esse associate”, continua Cesare Di Lucchio: “Per prevenire attacchi alle identità digitali, è essenziale avere una comprensione chiara dei rischi associati, come potenziali coinvolgimenti in data leak, accessi non autorizzati, compromissione delle identità, social engineering o insider threat. Pertanto, è fondamentale agire nell’implementazione delle politiche negli ambienti di Active Directory o SaaS, adottando un approccio di zero trust per mitigare l’exploit per azioni non autorizzate“.
“Il concetto di rilevamento deve essere altrettanto prioritario, implementando corrette politiche di logging degli accessi e il rilevamento di accessi non autorizzati. Le principali tecnologie di gestione delle identità adottano come best practice la possibilità di visualizzare, esportare e gestire i log a tale scopo“, avverte Cesare Di Lucchio: “Spesso, la gestione segue un evento avverso, pertanto, l’analisi dei log risulta essenziale per adattare le politiche in modo post-mortem”.
Dobbiamo pewrò estendere le tematiche di prevenzione alle identità private, “raccomandando l’utilizzo di strumenti di gestione delle password per renderle casuali per ogni ambiente e agevolare l’accesso”, conclude Cesare Di Lucchio: “Inoltre, è consigliabile adottare piattaforme di autenticazione con MFA, dove sono di default implementati anche rilevamenti basati sulla deviazione dal dispositivo di accesso abituale o dal paese di accesso”.
Inoltre, “i cybercriminali possono utilizzare l’AI per effettuare operazioni computazionali ed esecuzione e malware intelligente scritto dall’AI, come già stato scoperto dai Labs CyberArk”, aggiunge Paolo Lossa: “Per tenere sotto controllo questa situazione e proteggere la propria identità digitale e garantire l’attuale e le prossime generazioni di lavoratori possano trarre benefici, innovare e sperimentare, senza essere eccessivamente a rischio, la fiducia è una grande cosa, ma nel mondo digitale Zero Trust è un approccio più saggio. I sistemi con cui operiamo devono sempre verificare se l’utente sia vero e i diritti di accesso in regola. Sembra severo, ma a volte è necessario – di sicuro, per un Internet più sicuro”.
“È positivo il fatto che i CISO italiani stiano prendendo sul serio la questione del rischio legato alle persone”, conclude Luca Maiocchi, “secondo una recente ricerca Proofpoint, la stragrande maggioranza ha messo in atto protocolli per combattere le minacce derivanti dal loro comportamento. In particolare, iniziative mirate a identificare minacce basate sull’email vengono intraprese dalla quasi totalità delle aziende (96%). Altre misure adottate includono formazione sulla gestione delle password (88%) e sulle best practice di sicurezza (80%). Solo il 4% dei CISO ammette di non avere un programma di formazione continua sulla sicurezza informatica”.
La strada è ancora lunga, ma, in termini di consapevolezza e attenzione, è quella giusta.