Alla luce della desolante fotografia del livello di consapevolezza nazionale sui rischi cyber, può essere utile gettare le basi per un progetto di crescita culturale ad ampio spettro di medio lungo periodo sulla materia della sicurezza cyber e della protezione dei dati personali.
Infatti, per quanto le iniziative di consapevolezza e awareness siano fondamentali e irrinunciabili, l’esperienza sembra insegnare che raramente portano buon frutto laddove non trovino un giusto terreno humus sul quale germogliare e dal quale estrinsecare il loro potenziale, motivo che chiama ormai tutto il sistema paese – e non già solo gli esperti di settore – a intraprendere un percorso di formazione e crescita culturale con un forte coordinamento centrale.
Indice degli argomenti
Saper pensare nel cyber spazio
Il celebre scrittore David Foster Wallace, in un commencement speech[1] del 2005 al Kenyon College, poi pubblicato postumo in Italia nel 2009,[2] esortava gli studenti – laureandi in materie umanistiche – a interpretare l’usato cliché dell’imparare a pensare, da sempre visto come il valore aggiunto degli studi umanistici, come la preziosa capacità di saper andare oltre i loro umanissimi e innati istinti per proiettare la propria vita quotidiana al di là dell’inevitabile alienazione data dall’apparente appagamento di una visione egoistica e autocentrata della realtà circostante, visione alla quale rischiamo di indulgere in modo quasi automatico se non riusciamo ad esercitare coscientemente la nostra determinazione su cosa pensare.
Il punto di partenza scelto dallo scrittore per questo approfondimento, nelle precedenti righe sintetizzato troppo brutalmente per rendergli davvero onore, è un semplice apologo, solo all’apparenza innocuo, ma in grado di celare in poche parole come le ovvietà più onnipresenti siano anche le più difficili da percepire e quindi le più insidiose.
Ci sono due giovani pesci che nuotano e a un certo punto incontrano un pesce più anziano che dice loro: “Salve ragazzi, com’è l’acqua?”. I due pesci più giovani nuotano un altro po’, poi uno guarda l’altro e fa:” Che cavolo è l’acqua [3]?
Per quanto questo incipit letterario possa sembrare anomalo, crediamo che possa fornire tanti e interessanti spunti per un percorso di crescita consapevole anche nel cyber spazio.
In effetti, per quanto – almeno per gli addetti ai lavori – sia chiaro in maniera quasi adamantina che il problema in gioco non si esaurisca soltanto con l’acquisizione e la gestione di opportuna e moderna tecnologia ma riguardi piuttosto aspetti di natura profondamente culturale, rimane ancora molto poco dettagliato come (e perché) questa “crescita culturale” debba concretizzarsi; e forse, per quanto la materia in gioco sia tutt’altro che umanistica, scopriremo che la risposta potrà tradursi appunto in un invito ad “imparare a pensare” di cyber security, intendendo con ciò il saper interiorizzare i concetti andando – come i pesci dell’apologo didascalico di cui sopra – oltre quello che prima specie possa sembrarci banale, superfluo o lapalissiano.
Saper pensare per capire su cosa porre la nostra attenzione nelle interazioni sociali che ormai continuativamente intessiamo sulla rete.
E la soluzione stessa suggerita da Wallace ai laureandi del 2005 sembra delineare un percorso di maturazione che vale la pena provare a dettagliare, quasi fosse un piano programmatico a mo’ di sasso lanciato nello stagno della coscienza politica e sociale.
Troppo spesso, in effetti, la cyber security è erroneamente vista, comunicata e implementata, tirata in ballo a sproposito (non necessariamente con dolo, essendo peraltro di sovente male compresa nella sua stessa natura) e in generale trascurata proprio per gli stessi motivi per i quali, con le opportune differenze, vale la pena capire “cosa sia l’acqua”.
E non solo per la stringente necessità di prendere coscienza degli aspetti più ovvi che però, attesa la loro ubiquità, escono dai radar della nostra attenzione, ma anche per l’importanza di ricomprendere nel percorso di crescita un orizzonte che vada al di là della singolare e personale esperienza di ciascuno, allargando lo sguardo sull’impatto collettivo della sicurezza cyber.
Security awareness dei dipendenti: il nuovo valore per mettere in sicurezza l’azienda
Una piramide di buone ragioni
I più recenti eventi restituiscono un panorama desolante dello stato di consapevolezza sul tema, da qualunque punto di vista si decida di ammirarlo.
Dalla casa dell’utente domestico che sbuffa alla richiesta di aggiornamento del proprio tablet, al giornalista sportivo che, commentando in diretta le Olimpiadi, (non propriamente un evento dallo scarso share) non si fa scrupoli a dare in escandescenze ritenendo, per usare un eufemismo, del tutto prescindibile la password per la propria postazione di lavoro (per intenderci: la postazione di lavoro di una emittente tv a diffusione internazionale, con tutte le conseguenze che una compromissione di detta postazione potrebbe causare) per arrivare poi alla Regione Lazio che si è dimostrata non del tutto efficace nel comunicare un attacco subito, appare evidente come esista un problema legato alla percezione dei rischi cyber nel nostro paese.
Insomma, esiste un problema culturale rilevantissimo: balliamo sull’orlo del precipizio, incoscienti non solo della profondità del precipizio, ma proprio dell’esistenza del precipizio stesso; o meglio, balliamo sull’orlo di un precipizio che non percepiamo e ci crediamo invulnerabili e immortali, cosicché quando anche il precipizio ci viene fatto notare, scrolliamo le spalle con disinvolta noncuranza.
Ci si dirà, ma è così grave la situazione? Si tratta davvero di un precipizio o piuttosto di una pozzanghera che una certa propensione allarmista ed un’illusione ottica dovuta a fenomeni di rifrazione e riflessione stanno facendo sembrare a chi scrive più profonda di quanto in realtà non sia?
Viviamo in un periodo storico nel quale si fa un gran parlare di minacce globali, (non è difficile pensare a degli esempi recentemente onnipresenti nel dibattito pubblico quali l’innalzamento delle temperature medie, la pandemia da Sars-CoV-2, e via dicendo) intendendo l’attributo globale, correttamente peraltro, in relazione alla capacità del fenomeno di poter arrecare danno all’intera popolazione del globo terrestre.
Ma, per quanto queste minacce all’umanità non abbiano confini geografici, sono pressoché tutte caratterizzate da un fronte d’attacco monodimensionale (le condizioni climatiche, lo stato di salute ecc.) capace di produrre conseguenze su molteplici dimensioni della vita umana benché su scale temporali molto differenti (morte, impossibilità di sopravvivenza, sofferenze psico-fisiche, impoverimento, degrado della qualità della vita ecc.)
Sono minacce gravissime che interessano tutti e, giustamente, vi sono consapevolezza crescente e attenzione politico-culturale intorno a loro.
La minaccia cyber e gli impatti sulla popolazione “connessa”
Differentemente, la minaccia cyber, che anche condivide la stessa particolare pervasività che caratterizza il riscaldamento globale o la pandemia da Sars-CoV-2, essendo ormai gran parte della popolazione mondiale in qualche modo “connessa” alla rete in maniera quasi continuativa nel tempo e, addirittura, essendo condizionata dalla rete internet pur non essendovi direttamente connessa (si pensi ai servizi resi dalle pubbliche amministrazioni, ai servizi essenziali delle utilities, alle transazioni finanziarie ecc. che letteralmente “viaggiano” su internet anche senza il diretto coinvolgimento di tutta la popolazione utente che, pure, ne trae vantaggio) presenta altresì una diversità e varietà di ambiti attraverso i quali può nuocere alle persone.
In tal senso, forse, la minaccia cyber è la vera minaccia globale dei nostri tempi. In che senso? È globale sia per il numero di possibili vittime sia per le direzioni multiple dalle quali può colpire e per le profondità con le quali può nuocere alle vittime stesse. E dicendo ciò non si pecca di allarmismo.
Cosa impariamo dai recenti attacchi cyber
Scorgendo anche in maniera distratta la piramide dei bisogni di Maslow[4], è facile riconoscere come un attacco in grado di compromettere sistemi informativi che trattano dati personali possa andare a ledere la possibilità di realizzare bisogni a qualsiasi livello. Da quelli meno essenziali (fini superiori dell’individuo e bisogni sociali di sopravvivenza psicologica), scendendo via via verso quelli imprescindibili per la sopravvivenza fisiologica, è sempre possibile ipotizzare una forma di attacco cyber che ne vada a compromettere il soddisfacimento.
È ad esempio ben noto come le infrastrutture critiche siano da tempo oggetto di mirati ed efficaci attacchi in grado di comprometterne l’erogazione: si pensi al famigerato virus Stuxnet (2009), nell’ambito dell’operazione “Giochi Olimpici” promossa dal governo statunitense, che aveva lo scopo di sabotare la centrale nucleare iraniana di Natanz disabilitandone le centrifughe e impedendo la rilevazione dei malfunzionamenti e della presenza del virus stesso.
Molto più recente (2021) l’attacco ransomware perpetrato ai danni della texana Colonial Pipeline, conclusosi con il pagamento del riscatto.
Ancora più vicini, nello spazio e nel tempo, l’attacco ransomware subito dalla Regione Lazio, i cui esiti non risultano completamente chiariti, e il recentissimo attacco ransomware alla SIAE.
Si potrebbe continuare ad oltranza e non è difficile immaginare forme di attacco capaci di compromettere le catene di distribuzione agro alimentare, la logistica farmaceutica, o altre supply chain.
Ma non solo, gli stessi bisogni di sicurezza (sicurezza fisica, di occupazione, di salute, di proprietà) possono ben essere compromessi da attacchi a selezionate infrastrutture informatiche; si provi solo ad immaginare le conseguenze di un malware che possa compromettere le banche dati utilizzate nei controlli in frontiera o si ricordi il triste caso di una paziente deceduta in Germania a ragione delle conseguenze di un attacco ransomware all’ospedale universitario di Düsseldorf.
Da ultimo, non c’è davvero bisogno di sottolineare come i bisogni di appartenenza (amicizia, affetto familiare, intimità sessuale) e stima (autostima, autocontrollo, realizzazione, rispetto reciproco) siano il ventre molle della nostra sfera emotiva di fronte alla totale mancanza di cultura per la protezione dei dati personali.
Ci si potrà rimproverare una certa polarizzazione o deformazione professionale nel volgere lo sguardo alle estreme conseguenze degli attacchi cyber, ma non si può negare che questi ultimi già rappresentino una criticità a livello nazionale (e le iniziative governative in tal senso confermano tale assunto) così come sarebbe puerile chiudere gli occhi di fronte ad un problema culturale che è prioritario affrontare onde permettere agli sforzi di stampo governativo di poter avere un impatto significativo.
Pare a dir poco difficile pensare ad un sistema condiviso di cyber resilienza che sia indipendente dal fattore umano.
Del resto, dalla minaccia cyber, nessuno può salvarsi – prevenire, rispondere, recuperare – da solo, né tantomeno un sistema condiviso di cyber resilienza potrà mai salvarne alcuno che non abbia intenzione di essere salvato.
Partiamo dall’anello debole
Pare pertanto condivisibile un rinnovato (se non del tutto nuovo) slancio che induca la collettività ad imparare a pensare di cyber security; a capire verso quali nuovi aspetti indirizzare la propria attenzione.
Come suggeriva Wallace, imparare a pensare implica, nella sua essenza più intima, lo scegliere con coscienza e giudizio “a cosa pensare”, su cosa concentrarci, cosa non possiamo permetterci di affrontare con leggerezza, considerata la posta in gioco.
Ma se è chiaro l’obiettivo da raggiungere, meno immediato è individuare il punto di partenza per questo percorso di crescita.
Sul pronao del santuario del tempio di Apollo a Delfi campeggiava la celeberrima massima di sapienza, poi ripresa da innumerevoli pensatori di ogni tempo e latitudine, che esortava a conoscere se stessi[5].
L’essenza della saggezza di tale stimolo trova riscontro nella sua attualità e nella sua validità in diversi contesti. Se non deve sorprendere che già nel IV secolo a.C. una società fosse giunta a comprendere le implicazioni di tale esortazione al punto da presentarla quale espressione divina, dacché parliamo di una società che ben altra eredità ci ha lasciato a testimonianza della propria grandezza e profondità di pensiero, deve invece destare stupore il fatto che, a quasi 2500 anni di distanza, non si sia ancora in grado di declinarla in concreto nelle sedi opportune.
Costringere il “conosci te stesso” al solo percorso di crescita personale, in una certa misura, ne sminuisce la potenza di fuoco, viceversa ben consolidata in altri campi del sapere e della vita comune.
Giusto a titolo di esempio, pare evidente come una maggiore consapevolezza della popolazione intorno al funzionamento dei processi fisiologici e della struttura stessa del corpo umano abbiano concorso in maniera fondamentale al progressivo allungarsi della vita media nell’ultimo secolo.
Conoscere il nostro corpo, i suoi limiti, le sue fragilità, le sue risposte a determinati stimoli, per quanto approssimativa e didascalica possa essere detta conoscenza, ci ha aiutato a mantenerci in un migliore stato di salute e a riconoscere in anticipo possibili sintomi di malattie.
Non che la medicina non abbia fatto passi da gigante, sia chiaro, ma è indubbio che una migliore e più attenta conoscenza dell’organismo da parte di tutta la popolazione abbia avuto il suo ruolo nel portare la vita media a durate impensabili solo 120 anni fa ed è forte il dubbio se i medesimi risultati si sarebbero potuti ottenere solo ed esclusivamente attraverso le cure mediche sottraendo dall’equazione lo sforzo di auto-salvaguardia che quotidianamente ed ormai inconsciamente dedichiamo alla nostra salute e che possiamo dedicare proprio perché ci è stato insegnato come funziona il nostro organismo.
In gergo più tecnico, l’approccio proattivo alla cura del nostro stato di salute integra in maniera fondamentale le reazioni che, correttamente, solo la scienza medica sa mettere in campo.
Analogamente, la rivoluzione iniziata con l’era dei personal computer, proseguita con l’avvento di Internet e sfociata nel mondo dell’IoT (Internet of Things) ci espone a rischi che non possiamo pensare di affrontare esclusivamente in modo reattivo contando solo sulla gestione degli incidenti cyber senza preoccuparci di fare la nostra parte per proteggerci in modo proattivo.
L’importanza del concetto di imparare a pensare
Ma, come visto, una postura di prevenzione richiede conoscenza dei processi alla base.
Imparare a pensare richiede pertanto il conoscere se stessi per poter capire con consapevolezza a cosa dedicare la nostra attenzione.
E conoscere sé stessi per imparare a pensare implica il superare una varietà di erronee interpretazioni e malintesi sulle materie della cyber security e della protezione dei dati personali attraverso un percorso formativo e culturale che investa tutta la popolazione, dagli studenti del liceo agli universitari, dai comuni impiegati, ai quadri e all’alta dirigenza.
Senza pretesa di esaustività cerchiamo di individuare i più palesi di questi fraintendimenti onde poterne poi trarre le basi per un iter di crescita culturale.
L’evoluzione sociale contemporanea, in buona approssimazione, segue il ritmo dettato da un raffinato ed interdipendente intrecciarsi di tecnologia e mercato. La ricerca tecnologica apre a possibilità di viziatura dei clienti che il mercato saprà aggredire e la pulsione consumistica del mercato, nel permettere alla tecnologia fondi costantemente freschi per il suo sviluppo, ne pretende aggiornamenti sempre nuovi ed una capacità di penetrazione nella popolazione via via più affilata. Il risultato di questa frenetica danza di tecnologia e mercato ha prodotto nel tempo oggetti ogni volta più performanti, semplicissimi da utilizzare ma dalla incredibile complessità interna.
Questo disaccoppiamento tra fenomeno e noumeno, complessità che prende la sembianza del semplice, ha portato a sottostimare un principio fondamentale di ogni fatto umano, viceversa ben chiaro e compreso in altri contesti: più complessa è una realtà, maggiore è la probabilità che la stessa contenga errori, inefficienze o vulnerabilità.
È sbagliato ignorare la complessità degli strumenti digitali
Usiamo quotidianamente strumenti complessissimi ma abbiamo rimosso dalla nostra sfera di attenzione l’esistenza stessa di questa complessità e dei rischi che potrebbe comportare. Se gli smartphone e altri strumenti sono ormai la nostra interfaccia verso l’ambiente circostante, conoscere noi stessi non può prescindere dal conoscerne, anche in prima approssimazione, le logiche di funzionamento.
Ma ignorare la complessità degli strumenti a disposizione, è solo il primo dei problemi di rimozione inconsapevole. Non comprendere il funzionamento interno degli strumenti che usiamo continuativamente nella giornata fa sì che questi possano, senza che ce ne accorgiamo, effettuare operazioni di diverso genere e natura quali, ad esempio, carpire informazioni che ci riguardano. In una parola: spiarci, oltretutto quando abbiamo la guardia più abbassata.
Non esiste ancora piena coscienza di quanto questa cessione di informazioni che ci riguardano possa nuocerci. La materia del diritto alla protezione dei dati personali è essa stessa oggetto di trascuratezza, ignoranza ed errata comprensione. Si fa confusione con il diritto alla privacy, si ritiene sia un qualcosa che possa interessare solo specifiche classi di persone (“non ho nulla da nascondere ergo non ho nulla da temere…”) e si porge pertanto il collo a chi abbia intenzione di azzannarlo. Sembra inutile ribadirlo, ma al giorno d’oggi non è più possibile considerare separatamente la sicurezza cyber dalla protezione dei dati personali: la seconda non può dirsi compiuta senza la prima, e la prima non è tale se non tiene in opportuna considerazione le implicazioni della seconda.
Se la scarsa comprensione della tecnologia può in qualche misura spiegarsi con quell’atavico terrore culturale che accompagna le materie tecnico scientifiche e le ammanta, per chi non ne è avvezzo, di un che di esoterico che ne preclude alla radice la possibilità stessa di un coscienzioso approfondimento, più grave è una seconda forma di ignoranza: quella relativa agli attori dietro alle minacce cyber.
È difatti ancora invalsa una narrazione molto scollata dalla realtà degli attaccanti e delle motivazioni dietro le loro azioni: il paradigma intent, capability and opportunity[6],[7] non solo è trascurato ma le tre parti di questa descrizione trilobita sono a loro volta e ricorsivamente male interpretate.
Fortunatamente, ancora una volta ci confermiamo nani sulle spalle di giganti, poiché già prima che nella civiltà ellenica, nel V secolo a.c. il generale e filosofo cinese Sun Tzu ammoniva nel suo celebre manuale L’Arte della Guerra che “Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia.” Abbiamo, pertanto, più di un insegnamento da seguire.
Conseguenze non solo tecnologiche dei cyber attacchi
Infine, la forte caratterizzazione tecnologica della materia, oscura, nella percezione della maggior parte della popolazione, il fatto che le conseguenze di un attacco cyber non sono solo tecnologiche. Come precedentemente discusso, un incidente cyber, che comporti o meno una violazione di dati personali, con estrema probabilità rischia di incidere in maniera devastante sulla nostra vita di tutti giorni: che sia precludendoci l’accesso a servizi essenziali, che sia manomettendo sistemi automatizzati di sicurezza, che sia incidendo sulla nostra immagine pubblica.
Come già ampiamente discusso, la rimozione del fattore umano dai temi di sicurezza cyber e di protezione dei dati personali, rappresenta una delle cause prime della scarsa attenzione dedicata a queste materie.
Il trittico bizantino di rimozione, ignoranza e leggerezza intorno alle possibili conseguenze sopra descritto provoca, come primo e fondamentale corollario, che la stragrande maggioranza della popolazione consideri la cyber security come un problema da addetti ai lavori. Un errore equiparabile al ritenere che solo i piloti di Formula 1 debbano preoccuparsi di avere una vettura con i freni funzionanti o che solo i ristoratori siano chiamati a non cucinare cibo scaduto, marcio o ammuffito.
A quanto nei punti precedenti si aggiunge poi una perniciosa visione autocentrata del problema (da cui il parallelo con l’incipit di questo articolo). Anche a ragione del rapporto quasi morbosamente personale che abbiamo con smartphone, laptop e similia – ormai di fatto un prolungamento della nostra interazione con il mondo – viviamo il problema della sicurezza cyber come se riguardasse solo noi stessi.
Questo aspetto porta a non considerare il fatto che un attacco perpetrato alla nostra postazione di lavoro possa causare impatti non già solo su noi stessi ma anche – e soprattutto – sulla collettività. In ultima analisi, qui si giunge ad una sintesi di tutto quanto nei punti precedenti: leggerezza, inconsapevolezza, ignoranza tanto degli aspetti di cyber security quanto di quelli di protezione dei dati personali, rappresentano un rischio che, pur manifestandosi singolarmente per ogni membro della collettività, possono colpirla nel suo complesso o comunque con ampia estensione.
Per tornare al parallelo di cui sopra, balliamo sul precipizio e siamo uniti in cordata cosicché la caduta di uno potrebbe trascinare giù financo tutti i compagni di cordata. Proprio come occorre guardare oltre il proprio ombelico per superare l’alienazione del vivere contemporaneo, occorre considerare la vita e le fragilità degli altri possibilmente toccati e lesi da data breach da noi causati.
Prossimo passo: colmare il divario
Per quanto le precedenti criticità rappresentino una primissima e appena abbozzata approssimazione, permettono di inquadrare possibili linee di intervento, le modalità per implementare le quali saranno poi discusse di seguito.
- Riportare al centro della discussione i rischi personali e per la collettività che possono nascere da attacchi cyber. Rischi non solo economici e non distanti dalla vita di tutti i giorni come purtroppo si ritiene. Non possiamo più permetterci di trascurare l’impatto sulla nostra sfera personale di queste problematiche così come è fondamentale che permei le coscienze collettive la consapevolezza che i rischi cyber riguardano tutti, che l’errore di uno può ripercuotersi su tutti; e che le conseguenze sono gravi. A conti fatti, ciò implica promuovere ad ogni livello la formazione sulla data protection superando una volta per tutte l’odiosa e ormai insopportabile narrazione che la vede un inutile freno alla crescita e all’efficienza del sistema paese. Che la consapevolezza – awareness, per gli amanti degli standard internazionali non tradotti – sia frutto della sensibilità politico-culturale la quale, a sua volta, sia figlia del progresso tecnico-scientifico (più o meno repentino, a seconda del fenomeno che cattura l’interesse in quel momento storico) pare logico. Più improbabile, oltre che inefficiente e iterativo, sarebbe il percorso contrario: dall’awareness collettiva al progresso tecnico-scientifico. Quanto mai inopportuno, invece, sarebbe un percorso che abbia la pretesa di poter saltare una o più tappe che conducano all’awareness collettiva e condivisa.
- Riprendere coscienza sull’importanza di descrivere e narrare in maniera attenta e senza cadere in inutili e facili macchiette la figura degli attori di minaccia. In un panorama nel quale la totalità della cittadinanza è possibile bersaglio di attacchi, non è più sostenibile che la maggioranza delle persone pensino alla minaccia cyber attraverso stereotipi che già nei primi anni 2000 erano desueti e non attuali. Il threat actor non è solo un attivista versato in informatica o un narcisista in cerca di adulazione da parte della comunità, così come il phishing non si limita solo a mail che favoleggiano di prìncipi nigeriani pronti, senza cogente motivo, a condividere eredità milionarie a fronte di improbabili richieste di pagamenti anticipati scritte in un italiano, andremo a dire, confusamente sgrammaticato. Il triangolo obiettivo-opportunità-capacità (cfr. nota a piè di pagina n. 9) va spiegato e fatto comprendere soprattutto per quanto attiene agli aspetti legati agli obiettivi – che rappresentano il nostro fronte di esposizione al rischio – e alle opportunità – che rappresentano il punto sul quale possiamo agire onde mitigare il rischio stesso. Ancora, qualche pillola di difesa da attacchi di ingegneria sociale sembra altresì imprescindibile, attesa la permeabilità che soggetti di ogni età e ceto sociale hanno dimostrato al riguardo nel recente passato.
- Dismettere l’idea per la quale approfondire, almeno a livello essenziale, il funzionamento degli strumenti tecnologici di uso comune sia cosa da nerd o comunque non in linea con una sorta di machista autoindulgenza all’ignoranza. Non ci meravigliamo che per prendere la patente sia necessario anche studiare il funzionamento di una autovettura e non ci meravigliamo perché una autovettura è uno strumento potenzialmente pericoloso – per sé e per la collettività – e ci sembra pertanto sensato che ci sia richiesto di conoscerne il funzionamento. Se riconosciamo che smartphone e strumenti connessi alla rete siano strumenti pericolosi, per noi stessi e per la collettività, non si vede perché dovremmo scandalizzarci di fronte alla richiesta di un approfondimento sul loro funzionamento. Inoltre, una blanda infarinatura di tecnologia comporta il comprendere che il cyberspace è un mondo ben più complesso e stratificato di quello che comunemente utilizziamo. Per quanto la nostra vita sociale trascorra sempre di più nel mondo digitale, ne esploriamo a dir poco un 20%; il restante 80% è sconosciuto e inutilizzato dalla maggioranza delle persone. Il problema è che, au contraire, gli attori di minaccia vivono, conoscono e sfruttano molto bene l’intero 100% del cyberspace, e questo comporta uno sbilanciamento che ci espone in maniera ancora più vulnerabile agli attacchi.
- Corollario e conseguenza del punto precedente è una abitudine, ancora dura a morire, che vede nel reparto sicurezza IT (o oggi più correttamente di cyber security) di ogni organizzazione aziendale un qualcosa a metà tra la perdita di tempo e risorse ed una immane seccatura portata avanti da un gruppo selezionato di onanisti mentali che parlano in un gergo per lo più oscuro e che pretendono attenzioni e cure delle quali non se ne vede né la necessità né l’utilità. Fuori dall’ironia, è storia comune che il management aziendale faccia fatica a comprendere la rilevanza degli investimenti in sicurezza[8] e il ROI di una attenta gestione di questi aspetti. Il problema, sicuramente non mitigato dal fatto che davvero molti ingegneri IT parlano in maniera oscura e difettano in assertività e capacità relazionali, è ovviamente e di nuovo culturale. Se anni fa poteva aver senso vedere i requisiti di sicurezza IT come qualcosa di secondario o cmq distinto dai requisiti di business aziendale, è ormai dolorosamente urgente riconoscere che i requisiti di sicurezza cyber sono essi stessi requisiti di business e che gli investimenti fatti per la cyber security aziendale sono investimenti per il business aziendale. Ogni altro approccio al riguardo non potrà che avere nefaste conseguenze. Per fare un parallelo meccanico, si pensi all’impianto frenante di un autoveicolo sportivo: maggiori sono le velocità che il mezzo dovrà essere in grado di sostenere, anche in curva, tanto più performante e costoso dovrà essere il suo impianto di frenata con buona pace, ben compresa, di chi gestisce il budget del progetto automobilistico. Allora la vera questione quando si affronta il tema degli investimenti nella cyber security è: quanto vogliamo permetterci di poter andar veloci rispetto ai nostri concorrenti? Ci accontentiamo di arrivare, prima o poi, al traguardo o ambiamo a vincere qualche grand prix?
Questi quattro aspetti chiamano ad un progetto formativo e divulgativo che sia in grado finalmente di far permeare questi concetti nella cittadinanza.
Già dalle scuole medie inferiori, i rischi correlati all’utilizzo delle tecnologie e alla involontaria o incosciente cessione di dati personali andrebbero spiegati, chiariti e fatti metabolizzare dagli studenti. La crescita di relazioni sociali ed esperienziali di un/una adolescente della generazione Z si svolge in massima parte nel cyber spazio,[9] un ambiente che i genitori, per quanto possano essere esperti di tecnologia ed interazioni via social, non hanno vissuto durante la loro adolescenza, ossia durante un momento evolutivo della corteccia cerebrale e delle capacità cognitive complesse quali l’elaborazione delle esperienze, la consapevolezza, l’attenzione.
Questo scollamento generazionale rompe il paradigma educazionale familiare verosimilmente sperimentato dalla totalità dei lettori di questo articolo secondo il quale i genitori, per quanto le differenze generazionali siano sempre state presenti, essendo cresciuti in un ambiente con rischi della medesima natura di quelli fronteggiati dai figli, potevano fornirgli gli strumenti minimi necessari a costruire una prima difesa contro quei rischi stessi.
L’educazione civica 2.0 nel cyber spazio
Oggi non è più così, e ciò dovrebbe imporre allo Stato di riempire questo iato esperienziale. Una sorta di “educazione civica 2.0” o di “scuola di vita nel cyberspazio”, che sappia far permeare nella coscienza in divenire dei ragazzi una nuova attenzione ai rischi del loro ambiente sociale, così diversi per estensione e natura da quelli dei genitori.
È uno sforzo complesso, ma assolutamente realizzabile, ove l’intera società decida di dedicarvisi, e gli esempi del passato inducono all’ottimismo.
Quando chi scrive era adolescente, l’intera società civile si prodigò in una campagna educativa senza precedenti volta alla prevenzione del contagio da HIV estremamente affilata che attraverso mirati interventi scolastici di proto-educazione sessuale, pubblicità progresso con inquietantemente evocativi aloni al neon fucsia e financo con il coinvolgimento di mezzi di comunicazione adatti all’età (celeberrimo fu l’opuscolo di Lupo Alberto “Come ti frego il virus”) riuscì a creare una vera e propria nuova consapevolezza, gli effetti della quale sono stati sensibili, e vi riuscì nonostante i tabù che, all’inizio degli anni ’90 investivano il parlare di sesso a scuola, nella tv generalista o, peggio ancora, nei fumetti per ragazzi.
Il seme di consapevolezza intorno alla protezione dei dati personali, un seme che deve essere saputo impiantare attraverso la definizione di un programma didattico ad hoc e ben adattato alle diverse età dei discenti, un seme che debba far comprendere la preziosità di un valore sociale e non già tediare e spaventare, una volta che abbia gemmato una nuova attenzione nelle coscienze dei/lle ragazzi/e, andrà poi curato e alimentato lungo il percorso scolastico, adattandosi altresì alle evoluzioni tecnologiche del momento, cosicché non si cada nel perdurante errore di fornire lezioni obsolete e pertanto inutili.
Se esiste un modo per ridurre il numero di ragazzi/e che letteralmente “si perdono” nella rete (condividendo improvvidamente fotografie o video intimi o cadendo nelle trappole tese da predatori di vario genere o natura) o, ad esempio, per formare una futura società che non sia vittima di polarizzazioni indotte da un sapiente utilizzo delle loro informazioni personali quale quello svolto nelle elezioni statunitensi del 2016 o nel referendum sulla permanenza del Regno Unito nell’Unione Europea e chissà in quali altri casi non emersi all’opinione pubblica, è rendere parte integrante del bagaglio culturale dei/delle nostri/e figli/e la consapevolezza di quanto è in gioco attraverso la condivisione dei propri dati personali.
Anche in questo caso si tratta di imparare a pensare, di imparare a cosa pensare. La posta in gioco è altissima: Stefano Rodotà ricordava come “Solo se non saremo implacabilmente seguiti dalla registrazione di ogni traccia che lasciamo, la costruzione dell’identità di ciascuno potrà essere libera e potrà nascere la libertà di donne e uomini”.
La possibilità di introdurre una formazione di questa natura nei programmi scolastici, oltre a permettere ai ragazzi di fronteggiare i nuovi rischi propri della loro età, risponderebbe inoltre ad un’altra esigenza che riteniamo fondamentale. La creazione di una consapevolezza condivisa sul valore della protezione dei dati personali dovrebbe difatti essere obbligatoria come obbligatoria è l’educazione scolastica.
Si tratta di un diritto fondamentale dell’uomo[10] e non dovrebbe destare scandalo il fatto che le sue conseguenze siano oggetto di educazione obbligatoria.
Requisiti per imparare a pensare a data protection e cyber security
Ovviamente imparare a pensare alla data protection e alle conseguenze di un attacco cyber, come visto, non è di per sé sufficiente.
Un eventuale programma formativo, anche a livello scolastico, non potrà non prevedere rudimenti di tecnologia, non già orientati all’utilizzo, quanto alla descrizione delle macrocomponenti dei sistemi onde integrare gli aspetti di protezione dei dati personali in modo da far comprendere quanti e quali dati quotidianamente e inconsapevolmente cediamo. In ultima analisi si tratterebbe di rimettere mano al percorso formativo delle tre “i”[11], adattando l’informatica al corso dei tempi e mostrando come non solo sia servente ad automatizzare l’impresa, ma quanto ormai ne rappresenti tanto un presupposto quanto la più appetibile vulnerabilità, così come li rappresenta per l’intero sistema paese.
Se la scuola sembra il luogo dello spirito idoneo per costruire questa forma di consapevolezza, sarà poi necessario che ogni percorso formativo post-scolastico integri al suo interno, ovviamente a diversi livelli di approfondimento a seconda dei casi di specie, argomenti legati alla descrizione del cyberspace e degli attori di minaccia che lo popolano. Il paradigma obiettivo-opportunità-capacità può fornire in questo senso un punto di partenza per progettare iniziative di formazione.
Requisiti fondamentali dovrebbero essere i seguenti:
- Obbligatorietà[12] della formazione per selezionati settori di impiego privati e per tutti gli uffici della PA, ad erogazione coordinata dallo Stato, se non proprio dallo stesso fornita. Il primo requisito risponde alla possibile profondità di impatti sul sistema paese, mentre il secondo assicura da un lato l’armonizzazione dei contenuti forniti e dall’altro il controllo, il coordinamento e la qualità della formazione stessa.
- Modularità della formazione in dipendenza del settore di impiego. Maggiore la criticità del settore in termini di impatto sul sistema paese, maggiore dovrebbe essere la frequenza e il dettaglio della formazione.
- Caratterizzazione dei programmi formativi a seconda delle attività lavorative svolte. L’obiettivo è di non fornire informazioni complesse e superflue al personale che non ne necessita con il rischio di diluire in un mare magnum i concetti viceversa necessari. Una classificazione delle attività sulla base dei possibili rischi di intrusione (ad esempio attraverso una mappatura dei processi con la cyber kill chain o con altri modelli di attacco) può permettere di fornire ad ogni lavoratore gli strumenti minimali e idonei per innalzare la resilienza dell’organizzazione. Ad esempio, chi ha rapporti con il pubblico verosimilmente avrà maggior bisogno di nozioni intorno alla dinamica degli attacchi di ingegneria sociale mentre non necessiterà, evidentemente, di dettagli sulle modalità di individuazione di specifiche regular expression nei file di log.
- Introduzione, quale esito di selezionati percorsi formativi, di una forma di nulla osta di sicurezza cyber quale prerequisito per prestare servizio in particolari e selezionate infrastrutture particolarmente critiche quali, ad esempio, quelle già individuate nel perimetro di sicurezza cyber. Una Cyber Clearance che, esattamente come il nulla osta sicurezza potrebbe prevedere diversi livelli e che potrebbe essere esteso e richiesto anche alla supply chain delle realtà critiche individuate, dacché è esperienza comune che spesso i fornitori stessi rappresentano la porta di ingresso a data center viceversa ben protetti.
I benchmark per la valutazione dell’apprendimento
Un’utile analogia potrebbe essere quella della formazione antincendio, operata in virtù delle indiscusse competenze dal Corpo dei Vigili del Fuoco con profili di approfondimento legati a predeterminati livelli di rischio dipendenti dal settore lavorativo dei destinatari della formazione stessa. In maniera del tutto simmetrica, la formazione cyber dovrebbe essere coordinata o in parte erogata dalle articolazioni statali della materia, dalla neonata Agenzia Nazionale per la Cyber Sicurezza, alle Forze di Polizia di concerto, per quanto di pertinenza, con il Ministero dell’Istruzione, dell’Università e della Ricerca, soprattutto per quanto attiene alle iniziative per le scuole.
Al riguardo, un primo istruttivo benchmark, è l’attività svolta dall’Associazione Cyber 4.0 – Cyber Security Competence Center[13] che rivolge la propria attenzione alle Pubbliche Amministrazioni e alle imprese, agli imprenditori, ai manager e agli esperti cyber. Questo fermento sembra presagire effetti particolarmente positivi sul rafforzamento di una cultura condivisa in materia di cyber security e protezione dei dati e, al contempo, evidenzia ancora ampli margini di crescita e pervasione del tessuto socioeconomico e produttivo del paese.
Un ulteriore benchmark molto interessante è rappresentato dal National Cyber Security Centre (NCSC) del Regno Unito, organizzazione governativa che fornisce raccomandazioni e supporto al settore pubblico e privato al fine di tenere alla larga dalla propria costituency le minacce cyber o, almeno, saperle gestire all’occorrenza. Dalla semplice e agevole navigazione del portale istituzionale NCSC emerge immediatamente un approccio orientato all’educazione dei propri followers, in quanto il sito web è strutturato in più sezioni, delle quali viene resa qui di seguito una lista.
- Una sezione informativa rivolta a:
- Individui e famiglie
- Lavoratori autonomi
- PMI
- Grandi organizzazioni
- Settore pubblico
- Professionisti della cyber security
- Una sezione dedicata ai consigli pratici e alle guide di cyber security;
- Una sezione centrale che si occupa di educazione e competenze, suddividendo la tematica tra:
- Scuola
- Studi specialistici
- Competenze e addestramento professionale
- Innovazione
- Corpo delle conoscenze cyber (CyBOK)
- Ricerca accademica
- Una sezione rivolta alla supply chain della cyber security e, in generale, ai rapporti con i fornitori:
- Prodotti e servizi certificati che soddisfano i requisiti del Cyber Assessment Framework
- Un’area dedicata alla verifica delle credenziali dei fornitori di beni e servizi certificati
- Le certificazioni professionali e di prodotto rilasciate dal NCSC, segnatamente: Certified Assisted Products (CAPS), Cyber Security Consultancies, Certified Cyber Professionals (CCP), Certified Training, Certified Degrees, Penetration testing (CHECK), Commercial Product Assurance (CPA), Assured Services (CAS), Cyber Incident Response (CIR), Tailored Assurance (CTAS)
- Un’area dedicata ai laboratori di valutazione cyber, partner del NCSC
- Sezioni e sottosezioni dedicate allo scambio di informazioni e alla condivisione di buone pratiche.
Quello che abbiamo appena delineato non è soltanto un esempio di web crawling posticcio, ma un vero e proprio piano d’azione educativo, ancor prima che un luogo di accreditamento per operatori, professionisti, aziende e pubbliche amministrazioni.
Il NCSC opera dal 2016 nel Regno Unito e rientra in una strategia di cyber security nazionale che vede un budget assegnato, nell’ultimo quinquennio, pari a 1.9 miliardi di sterline[14].
Ovviamente uno stanziamento del genere copre non solo i costi di creazione del NCSC – che è andato a rilevare le funzioni precedentemente in capo ad altri organismi: Communications-Electronic Security Group (CESG), Centre for Cyber Assessment (CCA), Computer Emergency Response Team UK (CERT UK) e le responsabilità cyber del Centro per la Protezione delle Infrastrutture Nazionali (CPNI) – ma anche progettualità quali la creazione del Cyber Security Operations Centre del Ministero della Difesa[15] (per un investimento pari a 40 milioni di sterline) e altre importanti iniziative infrastrutturali.
Ciò che preme evidenziare qui è l’attenzione riversata dal governo del Regno Unito tanto sull’istituzione di nuove e razionali agenzie, funzioni e capacità cyber, quanto sull’attuazione di un piano di cyber education dell’intera platea di fruitori del cyber space, chiaramente differenziato in base ai rischi ed estremamente inclusivo.
I vantaggi economici di una formazione differenziata
Dopo averla sorvolata, lasciamo la Gran Bretagna e torniamo ai nostri ragionamenti. L’approccio sopra delineato agirebbe tanto nel breve periodo, riducendo le vulnerabilità dovute al fattore umano almeno per le realtà più critiche e quindi più esposte a tentativi di attacco, quanto nel lungo periodo, proiettando l’intero paese verso una condizione ove poter procedere ad una digitalizzazione sicura e consapevole.
Ogni sforzo di digitalizzazione che non tenga in conto le criticità esposte in questo contributo, pur abilitando snellimenti burocratici ed efficientamenti di sistema, porterà con sé rischi sempre più elevati di lesione di diritti fondamentali della collettività.
Meritevole di qualche riflessione aggiuntiva, senza i formalismi matematici e il rigore economico-finanziario che pure servirebbero, è il concetto del Return On Investment (ROI) della formazione.
Prima di procedere nel ragionamento, una premessa che sa di semplificazione per chi è abituato a pensare in termini di Management Systems ISO: con il termine formazione qui intendiamo tutto il complesso di progetti formativi, educativi, didattici, addestrativi ecc. che possono essere dispiegati sul tema della cyber security all’interno di una generica organizzazione.
Ora, sappiamo che il ROI è un indicatore numerico aziendalistico che rapporta in termini percentuali il vantaggio conseguito, secondo una certa varietà di formulazioni, all’investimento sostenuto, quantificati in termini monetari.
Stimare il denominatore, anche in modo preventivo, non è complesso poiché è facile assegnare un certo numero di ore di formazione ad una determinata platea di discenti e moltiplicarla per una tariffa oraria che copra i costi da sostenere.
Ad esempio, si può prendere a riferimento un costo orario pro-capite di 50 euro, da considerarsi come upperbound verosimile in quanto praticabile per un tipico corso professionale volto al conseguimento di una certificazione in ambito cyber security. Maggiori difficoltà si incontrano invece nel quantificare il numeratore, ossia i ritorni conseguibili.
Proviamo ad elencare i vantaggi economici, per la nostra generica organizzazione pubblica o privata, conseguibili grazie ad una formazione differenziata in base ai rischi ed estremamente inclusiva:
- Riduzione del premio sostenuto per la cyber assurance e/o del capitale accantonato per coprire costi e sanzioni scaturite da un potenziale data breach;
- Riduzione generale dei costi di gestione degli incidenti di sicurezza, in quanto il personale è più consapevole e in grado di contribuire, in prima approssimazione, ad una migliore valutazione degli eventi cyber sospetti rispetto al passato:
- Ridotto tasso di falsi positivi, grazie al minore allarmismo degli utenti;
- Ridotto tasso di veri positivi, grazie alla maggiore accortezza degli utenti;
- Ridotto tasso di falsi negativi, grazie alla maggiore attenzione degli utenti;
- Rafforzamento della reputazione e conseguente attrazione di clienti e investitori;
- Minore attrattività per gli attori di minaccia: l’obiettivo è rendere e mostrare l’organizzazione come l’obiettivo più difficile da colpire;
- Effetto valanga nei confronti di partner, fornitori e clienti dell’organizzazione che si sentiranno maggiormente implicati nella cyber security della supply chain;
- Miglioramento della comunicazione interna ed esterna in caso di crisi (aspetto approfondito nel paragrafo successivo) con ripercussioni evidenti sul piano reputazionale;
- Valorizzazione di tutte le altre forme di investimento in cyber security (processi e tecnologie) che l’organizzazione già sostiene e sosterrà. La formazione agisce come leva moltiplicativa dell’investimento materiale e concorre nel ridurre la probabilità di incappare nei c.d. sunk costs.
Resta inteso che ogni progetto di crescita culturale che si proponga di eliminare del tutto il rischio di incidenti non potrà che essere considerato velleitario e utopistico, così come è utopistico pensare di poter fare a meno della medicina solo perché abbiamo cura del nostro corpo. Anzi, la consapevolezza stessa della quasi ineluttabilità di subire un attacco cyber dovrà essere parte integrante della crescita culturale stessa; investire con l’obiettivo di annullare alla radice ogni fronte di esposizione alle minacce rappresenta – questo sì – uno spreco di risorse. Più corretto diversificare tra misure proattive ed un rafforzamento della struttura di gestione e recupero degli incidenti così da rafforzare la resilienza – concetto ormai inflazionato ma appropriato in questo contesto – dell’organizzazione.
Saper raccontare del cyber spazio
Le iniziative culturali, la storia stessa ce lo ha insegnato, non trovano luogo idoneo solo sui banchi di scuola. Anzi, è opportuno, affinché si raggiunga una vera interiorizzazione dei concetti, che anche i mezzi di comunicazione di massa concorrano allo sforzo di innalzamento di consapevolezza sulle criticità della cyber security e della protezione dei dati personali.
Riteniamo sia giunto il momento nel quale, soprattutto la TV pubblica, torni a fare da volano culturale per la collettività.
Questo non solo attraverso opportuni programmi divulgativi, che anche sono da sempre preziosi spunti di scoperta e approfondimento e che rimangono, quando ben progettati e realizzati, prodotti con elevati riscontri di audience, ma cercando essa stessa in primis di non dar corso ai malintesi e ai fraintendimenti che abbiamo proposto in questo contributo quali lacune tutt’ora da colmare.
Quale esempio di quest’ultimo auspicio, vale la pena citare quanto accaduto in un recente servizio andato in onda su una delle reti pubbliche, nel quale, in una carrellata di immagini di repertorio registrate in un ufficio sanitario, è stato mostrato un foglio appeso al muro recante username e password per l’accesso ad un sistema informatico, verosimilmente strumento per il trattamento di dati personali di natura sanitaria.
Come anche notato nell’articolo in nota a piè di pagina, ad una analisi attenta, quanto accaduto mostra una carenza di attenzione forse non più tollerabile, tanto più da parte dell’emittente pubblica[16].
Immaginiamo che un servizio di un telegiornale passi un processo che coinvolgerà, a dir poco, almeno un passaggio di revisione preliminare alla messa in onda onde assicurare la dovuta qualità dell’informazione e l’assenza di errori, imprecisioni, e via dicendo. Ebbene, nel caso di specie, in nessuna fase, dalle riprese al montaggio fino all’ultima revisione nessun operatore/giornalista/redattore si è accorto della cosa e ha ritenuto di eliminare i secondi incriminati dal montato o, quantomeno, di oscurare e sfocare il foglio con le credenziali.
Ed è chiaro che nessuno ha operato in tal modo perché nessuno ha visto il rischio insito nel trasmettere quelle immagini. I/le medesimi/e professionisti/e sarebbero tutti intervenuti se si fossero resi conto di essere in procinto di mandare in onda, erroneamente, il volto di un minore non opportunamente offuscato.
Se lo stesso campanello di allarme non è scattato al vedere delle credenziali di accesso oscenamente esposte (e peraltro pietosamente progettate) è perché quelle stesse professionalità, alcune delle quali verosimilmente con titoli di studio e posizioni apicali, non hanno minimamente intercettato i rischi collegati a quelle immagini.
Attenzione: non hanno sottostimato o mancato di vedere il problema; nella loro cultura professionale il problema non esisteva. Questo è la criticità percettiva alla quale accennavamo all’inizio di questo contributo. Questa è (anche) l’acqua nella quale nuotiamo e che dobbiamo sforzarci di percepire.
Conclusioni
Ovviamente la comunicazione può crescere tanto: formare i professionisti della comunicazione porterà non solo ad evitare horribilia quale quello sopra riportato, ma concorrerà ad una narrazione della sicurezza cyber e della protezione dei dati personali più coerente con il mondo attuale.
Cesseremo forse di sentire giornalisti che si rivolgono a politici o ad alte cariche della cosa pubblica chiedendo se la privacy non sia un ostacolo ad una efficace azione amministrativa, capiremo tutti meglio che le attenzioni e le nozioni che solo 20 anni fa erano richieste solo a pochissimi addetti ai lavori superspecializzati ora sono richieste a tutti e che questo non deve sorprendere, infastidire o far sollevare sopracciglia accondiscendenti non di più di quanto non lo abbia fatto il comprendere che la cintura di sicurezza e il casco integrale debbano essere utilizzati anche a bordo di un’utilitaria e non solo quando si guida un bolide in pista, capiremo meglio il complesso mondo che si cela dietro ad una non meglio definita figura di “hacker” e metteremo a fuoco il fatto che siamo tutti possibili vittime di attacchi e che non si tratta di “problemi che riguardano gli altri”, vedremo rappresentato un mondo che abbia cura di proteggersi da una minaccia nuova e la cosa ci indurrà pian piano ad interiorizzare la presenza della minaccia e a muoverci conseguentemente.
Di certo, l’evoluzione culturale dell’informazione richiede ben altro che una maggiore attenzione alla cyber security e alla protezione dei dati personali, dovendosi ancora adattare alla concorrenza dei social network e al ritmo sfrenato che questi ultimi impongono alle redazioni online, con l’ovvia conseguenza di difettare in controllo delle fonti e pertanto in attendibilità.
Il proliferare dei fenomeni di polarizzazione delle opinioni tramite fake news si è innestato sull’intrinseca fragilità del processo di validazione delle fonti, vilipeso dalla necessità di velocità e di bulimia di click che rappresentano la sussistenza di moltissime testate. Nondimeno, auspichiamo che il percorso di crescita editoriale, che purtroppo tarda ad intravedersi, tenga opportunamente conto di quanto qui espresso; non solo perché un’informazione che difetta in qualità e cultura indebolisce l’intero sistema paese quanto perché oltre a potersi porre quale magnifico veicolo di formazione e consapevolezza, l’informazione stessa nel suo complesso è infrastruttura critica potenzialmente oggetto di attacchi dalle più incisive conseguenze.
In conclusione, se la collettività, a sua stessa tutela, ha bisogno di imparare a pensare di cyber security, di capire che è importante pensare di cyber security, questo ideale sviluppo sociale impone che gli stessi mezzi di comunicazione imparino – finalmente – a “parlare di cyber security”. Imparare a parlare è meno banale di quello che possa sembrare; è un prodotto dell’evoluzione culturale e, di rimando, ad essa concorre quale formidabile catalizzatore. Implica aver compreso un concetto nella sua più intima natura e saper trovare il modo di rappresentarlo chiaramente. Parafrasando Wittgenstein: “Su ciò di cui non si può parlare si deve tacere”[17] e ormai crediamo sia evidente che di queste tematiche è davvero impossibile tacere.
NOTE
Particolare usanza anglosassone, resa celeberrima a livello globale dall’intervento nel quale Steve Jobs esortava ad essere “hungry and foolish”. ↑
David Foster Wallace, “Questa è l’acqua.” Ed. Einaudi, 2009. ↑
ibidem ↑
Abraham H. Maslow, “Motivazione e personalità.” Ed. Armando, 2010 ↑
γνῶθι σεαυτόν. ↑
Cfr. ad ex Bodeau et all., “How Do You Assess Your Organization’s Cyber Threat Level?”, MITRE Technical Paper, Aug. 2010 o Kowalsky et all., “Explainability in threat assessment with evidential networks and sensitivity spaces”, 2020 IEEE 23rd International Conference on Information Fusion (FUSION). ↑
Obiettivo, opportunità e capacità rappresentano gli elementi caratterizzanti di un attore di minaccia; questi metterà in gioco proprie capacità tecnico relazionali onde sfruttare eventuali opportunità che gli si presentino per perseguire un proprio obiettivo. ↑
Gli anglosassoni ironizzano sull’IT Security Department battezzandola “business prevention unit”. ↑
Cfr. lo standard ISO/IEC 27032:2012: “the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form”. ↑
Cfr. Art. 8 della Carta dei diritti fondamentali dell’Unione Europea. ↑
Impresa, Inglese ed Informatica. ↑
Vale la pena notare che, già oggi, il GDPR stesso prevede l’obbligo di formazione del personale sulla protezione dei dati personali. Quanto qui proposto dovrebbe di fatto integrare e ricomprendere quanto richiesto dal Regolamento Generale. ↑
CYBER 4.0 è uno degli 8 centri di competenza ad alta specializzazione finanziati dal Ministero dello Sviluppo Economico, nell’ambito del D.D. 29.01.2018. Il Centro è espressione di un partenariato pubblico-privato composito, interdisciplinare e multi-attoriale, che copre un ampio spettro di competenze e favorisce lo sviluppo di una rete di collaborazioni qualificate. ↑
“Cyber security in the UK” House of Commons. Committee of Public Accounts. 15 May 2019. Retrieved 1 August 2020. ↑
“Defence Secretary announces £40m Cyber Security Operations Centre”. Ministry of Defence. 1 April 2016. Retrieved 2 April 2016. ↑
Tra le altre cose, la gravità del fatto che il personale inquadrato utilizzasse un foglio A4 appeso al muro con scritte a caratteri cubitali la username (ovviamente unica per tutto l’ufficio) e la password (ovviamente non esattamente a prova del più raffinato attacco di password cracking), gravità che non può evidentemente ascriversi alla TV pubblica, basterebbe da sola a giustificare il progetto di formazione culturale qui descritto. ↑
Tractatus Logico-Philosophicus ↑