Compie vent’anni il Safer Internet Day, l’edizione 2023 della Giornata mondiale per la sicurezza in Rete, istituita dalla Commissione Europea per promuovere l’utilizzo positivo e consapevole del web. Si celebra il 7 febbraio, in contemporanea in oltre 100 Paesi.
Il claim dell’evento di quest’anno è “Together for a better internet”, un invito a cooperare insieme per migliorare l’ecosistema Internet, sui temi dei rischi e della cyber sicurezza, dell’economia della rete, della violenza e benessere online (contro il cyberbullismo), algoritmi, intelligenza artificiale (AI) e democrazia.
“La nostra società ha in Internet una sua componente essenziale”, afferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “noi stessi siamo in maniera più o meno consapevole nodi di una rete globale. Purtroppo la rete è oggi più che mai fucina di minacce, vettore di attacchi in grado di colpire stati, organizzazioni, e cittadini“.
La cyber security è sempre più strategica in ogni ambito, come dimostra il caso di domenica di attacco a livello globale di tipo ransomware ai server che non avevano applicato una patch disponibile da ben due anni.
“Innanzitutto è corretto ed encomiabile sottolineare”, commenta Alessio Pennasilico, Information & Cyber Security Advisor presso P4I – Partners4Innovation, “che in Italia esistono strutture che, quando succedono questi eventi, comunicano: l’ACN parla, e per fortuna c’è“.
Attacco hacker globale, cosa sappiamo degli impatti in Italia
Indice degli argomenti
Safer Internet Day: come proteggersi in ambito business
Il Safer Internet Day è una giornata mondiale destinata a creare consapevolezza in tutti gli utenti della rete, sia consumer che business.
“Ieri la vicenda dell’attacco hacker ci ha impartito una lezione importante”, continua Pennasilico: “La ‘fortuna’ è che questo attacco di tipo ransomware si sia incrociato con il down di TIM: due eventi fra loro completamente scollegati, ma che, avvenuti in contemporanea, hanno fatto ‘montare’ il caso dell’attacco hacker. Ma queste vicende ci insegnano che ci sono organizzazioni che se ne sono fatte carico e l’hanno gestita accuratamente; ed organizzazioni che non erano per nulla preparate e sono andate in panico totale. Bisogna prepararsi al fatto che ci possono essere crisi da gestire: indispensabile”.
Altra lezione da cui trarre insegnamento: “Le best practice internazionali”, sottolinea Pennasilico, “sconsigliano di pubblicare su Internet le risorse utilizzate. Inoltre, sono solo una ventina i possibili target in Italia: sono problematici perché non aggiornano da due anni, ma sono pochi”.
“Gli attacchi ransomware avvengono in due fasi”, mette in guardia Pennasilico: “La prima fase consiste nell’ottenere l’accesso alla rete di chi è colpito; la seconda fase è quando l’attaccante scatena delle azioni in virtù dell’accesso ottenuto. Ma grazie all’accesso alla rete, le vittime si moltiplicano: dalla Pmi alla multinazionale quotata in Borsa, è un prodotto che usano tutti (PA, sanità eccetera). Preoccuparsi è giusto, ma la lezione è che le patch segnalate si scaricano e si installano”.
Serve dunque maggiore consapevolezza per i danni inferti dal crimine informatico, anche perché, quanto accaduto ieri, dimostra che bisogna insistere sull’importanza di aggiornare e mantenere aggiornati i sistemi operativi, software e app, oltre ai backup e soprattutto alla protezione del dato grazie all’uso della crittografia.
Un esperto di cyber security in ogni azienda
“Nel caso di corner case rarissimi in cui gli aggiornamenti sono problematici”, è sufficiente seguire i bollettini di sicurezza, individuare i servizi enterprise affetti dalle falle critiche “e, grazie ai file EULA a bordo, non concedere connessione a quei servizi vulnerabili o concederla solo ad alcuni selezionati computer”.
Queste considerazioni dimostrano che in azienda servono competenze. “Gran parte delle imprese dovrebbe assumere un CISO o almeno dotarsi di un esperto di cyber security che faccia da referente per tutte queste tematiche e permetta di gestire le crisi”.
Buona notizia: la riunione a Palazzo Chigi
Dal recente studio Global Risk Report 2023 del World Economic Forum (Wef) emerge che il cyber crime è in grado di provocare danni, compresi i costi di ripristino e riparazione, passati dai 3 trilioni di dollari nel 2015 a 6 trilioni di dollari nel 2021, ma potrebbero attestarsi a quota 10,5 trilioni di dollari annuali entro il 2025. Infatti, l’uso di malware e ransomware come vettori di attacco hanno registrato, rispettivamente, un incremento di oltre il 350% e il 430% nel 2020.
In questo scenario molto complesso, “dobbiamo evidenziare una bella notizia: la riunione di emergenza a Palazzo Chigi, in cui si è discusso anche di come innalzare il livello di sicurezza del sistema Paese andando a creare maggiore collaborazione fra ACN e le Regioni“, conclude Pennasilico.
Generazioni connesse: serve più consapevolezza
Secondo la ricerca condotta da “Generazioni Connesse”, in generale, serve più consapevolezza. Anche sugli algoritmi. Infatti, due studenti su 3 impiegano l’intelligenza artificiale (AI) per generare contenuti, ma ripongono eccessiva fiducia nell’algoritmo. L’awareness è invece la migliora arma di difesa, anche in questo campo.
La giornata del Safer Internet Day si focalizza, inoltre, sulla protezione dei dispositivi (“smartphone e smart tv compresi”, ricorda Pennasilico) e degli account.
Questa giornata dedicata alla cybersecurity invita a promuovere un utilizzo responsabile della tecnologia. La priorità è rendere più sicuro l’uso del digitale per tutti i membri della rete, a partire da giovani e bambini.
“Un pensiero doveroso va ai più giovani”, conferma Paganini, “sono loro maggiormente esposti ai pericoli della rete ed è nostro compito attraverso le numerose iniziative che si susseguiranno oggi, proteggerli e garantire che Internet sia per loro un volano di crescita ed uno strumento per ampliare i propri orizzonti cognitivi“.
Poche regole per navigare in sicurezza
Occorre insistere sull’insegnamento ai minori delle buone pratiche di sicurezza, a partire dall’importanza di una password sicura e robusta da cambiare con regolarità. La scelta deve evitare sequenze banali, preferendo almeno otto caratteri includendo anche simboli e numeri. Non bisogna condividere le password per più servizi, ma usarne una differente per accedere ad ogni servizio. Inoltre conviene evitare di connettersi a reti WiFi pubbliche, senza VPN: malintenzionati potrebbero creare anche un hotspot ad hoc, chiamato “Wi-Fi pubblico gratuito” che può essere utilizzato per carpire tutto il traffico in movimento tra il dispositivo e un sito web.
Bambini e adolescenti devono imparare a riconoscere ed evitare il phishing, una tecnica fraudolenta per rubare dati personali e navigare con attenzione, e anche il social engineering. Nessuno deve effettuare clic su link sospetti o aprire allegati inaspettati. Inoltre devono imparare a segnalare minacce e atti di cyber bullismo.
Navigazione sicura significa evitare di fornire dati personali, evitare tracciamenti uscendo dagli account, cancellando cookie e cronologia del browser e, in caso di necessità, utilizzando una VPN per cifrare la navigazione.
Bisogna promuovere l’uso dell’autenticazione multifattoriale (MFA) che, grazie a un secondo fattore di verifica, permette di accedere in maniera sicura a siti web e applicazioni. Di solito, un elemento biometrico o un codice in tempo reale offre protezione dell’identità e dei dati, anche se alcuni dati dell’utente finissero nelle mani sbagliate.
Invece i genitori devono imparare a conoscere cosa fanno i propri figli online attraverso il parental control, per sapere quali giochi, app e siti per lo streaming usano. Mantenere dispositivi, app e software aggiornati. Le famiglie possono impostare orari e giorni in cui è possibile navigare, decidendo il tempo totale di connessione. Oppure prevedere che certe attività richiedano la supervisione e l’approvazione da parte di un adulto.
Linee Guida dell’Agcom agli ISP
Lo scorso 25 gennaio l’Autorità per le garanzie nelle comunicazioni ha approvato la delibera “Adozione delle linee guida finalizzate all’attuazione dell’articolo 7-bis del decreto-legge 30 aprile 2020, n. 28 in materia di “sistemi di protezione dei minori dai rischi del cyberspazio”. La delibera risponde alla preoccupazione sulle pratiche digitali dei minori. In particolare, offre linee guida per tutelare i minori dai rischi online.
Le linee guida prevedono che gli Internet Service Provider adottino per gli utenti consumer sistemi di parental control (SCP). Il filtro di contenuti inappropriati per i minori, bloccherà anche contenuti riservati ad un pubblico maggiorenne. Il parental control non filtrerà solo contenuti per adulti:
- gioco d’azzardo/scommesse;
- armi;
- violenza;
- odio e discriminazione;
- promozione di pratiche che danneggino la salute alla luce di verificate conoscenze scientifiche;
- anonymizer;
- sette.
La funzionalità minima dei parental control deve comprendere almeno il blocco dei domini e siti web ospitanti contenuti oggetto di filtro. Le proposte dedicate ai minori includeranno e attiveranno i sistemi di controllo.
Gli operatori dovranno comunicare all’Autorità le categorie impiegate. I titolari del contratto dovranno rendere gli SCP disponibili ed attivabili. Mediante PIN, OTP, SPID, i maggiorenni potranno disattivare e riattivare i sistemi.
Guide chiare ed esaustive per l’uso dei parental control offriranno assistenza gratuita per attivare, disattivare e configurare SCP.
Il vademecum di Telefono Azzurro per il Safer Internet Day
Il 6 febbraio l’Università Cattolica del Sacro Cuore, in collaborazione con lo Human Technology Lab del polo, ha ospitato a Milano una tavola rotonda. Si è trattato dell’occasione di presentare il rapporto del Telefono Azzurro, condotto da Doxa Kids. Il Telefono Azzurro ha pubblicato due vademecum per i genitori e per i minori per offrire “una bussola in grado di orientarli nell’universo digitale”.
Oggi, in occasione del ventennale del Safer Internet Day, si tiene un confronto pubblico tra Telefono Azzurro e il nuovo governo. Telefono Azzurro svela l’Agenda digitale per l’infanzia e l’adolescenza. Al centro è un pacchetto di misure per assicurare a bambini e giovani maggiore consapevolezza nella dimensione digitale.
L’incontro istituzionale prevede di attuare legislazioni in materia di protezione e tutela di bambini e adolescenti proprio nell’ecosistema digitale. “Serve una condivisione seria e profonda di competenze, idee, investimenti, che veda protagoniste le Istituzioni, le agenzie educative (in primis la scuola), le famiglie, il mondo del non profit e il network di soggetti che a livello internazionale si occupano di tutela dell’infanzia. È ormai urgente mettere in campo e rafforzare forme di collaborazione, progetti comuni, occasioni di confronto, traducendo in maniera tempestiva nella realtà strumenti concreti di tutela e di educazione per bambini e adolescenti”, afferma il presidente di Telefono Azzurro Ernesto Caffo.
