La cyber security è una catena lunga e l’anello debole non è rappresentato soltanto dagli utenti ma anche da chi sviluppa software troppo spesso vulnerabile. Ciò riguarda tutta la filiera dello sviluppo, incluso il processo di audit.
Questo, in sintesi il parere di Jean Easterly, numero uno della Cybersecurity and Infrastructure Security Agency degli Stati Uniti il quale, così come ripreso da The Register ha ribadito: “Nonostante un’industria della cybersecurity da miliardi di dollari, abbiamo ancora un problema di qualità del software da bilioni di dollari che porta a un problema di criminalità informatica globale da bilioni di dollari”.
Il pensiero di Easterly può essere o meno condivisibile ma ha il pregio di spostare il riflettore un po’ più lontano dagli utenti e avvicinarlo ai sistemi. La teoria secondo la quale chi siede dietro le scrivanie è fautore di ogni male cyber di un’organizzazione dovrebbe tramontare, come peraltro abbiamo già sostenuto in altre occasioni: un sistema di difesa solido e resiliente è quello che sa attutire la portata degli errori dell’operatore umano e, non di meno, giacché è l’operatore umano a usare software e sistemi, è per forza di cose l’anello debole.
Un cane che si morde la coda e che può smettere di farlo solo con l’opportuna formazione, dotandolo allo stesso tempo di software e sistemi di livello.
Argomento questo di cui parliamo con l’ingegner Pierluigi Paganini, Ceo Cybhorus e Membro ENISA Ad-Hoc Working Group on Cyber Threat Landscapes.
Indice degli argomenti
Il messaggio di Easterly
Il numero uno della Cybersecurity and Infrastructure Security Agency ha inviato due messaggi specifici che sono importanti per ridisegnare la realtà attuale della cyber security. Il primo è un invito a chi produce software di volere seguire i principi del secure coding. Rilasciare codice con difetti aiuta il cyber crimine e non aiuta le imprese che adottano tale codice.
In seguito, alzando un po’ l’asticella dell’astrazione, Easterly suggerisce di cambiare il nome delle vulnerabilità in “difetti del prodotto”. Parlando di difetti, il peso della responsabilità cade sulle spalle di chi produce software fallato e ciò va a beneficio dell’intero comparto della cyber security.
Il fattore umano e la cyber security
Sostenere che l’uomo sia l’anello debole è argomento assai flebile. Pierluigi Paganini spiega infatti che: “Si tratta di una tautologia, il fattore umano rappresenterà sempre l’anello debole della catena di sicurezza, nonostante l’adozione di tecnologie di nuova generazione e l’adozione di misure di mitigazione come campagne di formazione. L’errore umano rimane un fattore primario negli attacchi informatici riusciti, evidenziando la necessità di iniziative continue di formazione e sensibilizzazione, dei cittadini così come dei dipendenti di un’organizzazione.
Sebbene la tecnologia svolga un ruolo cruciale nella protezione contro le minacce informatiche, è altrettanto importante coltivare una cultura della consapevolezza della sicurezza, diffondere informazioni utili a individuare tempestivamente le tattiche, tecniche e procedure associate ai vari attori malevoli e per mitigare efficacemente i rischi associati alle vulnerabilità causate dal fattore umano”.
Limitarsi ad additare l’uomo non sposta di un centimetro il divario tra cyber crimine e difesa, proprio perché l’elemento umano non può essere lasciato da solo e va supportato anche infondendogli un’appropriata consapevolezza del rischio.
“Jean Easterly correttamente attribuisce alla mancata applicazione dei principi di secure coding una buona parte delle falle che sono sfruttate quotidianamente negli attacchi. Tuttavia, è importante considerare anche altri attori nella sicurezza informatica, il comportamento errato potrebbero dar luogo a gravi incidenti informatici. Pensiamo agli Amministratori di Sistema, errori di configurazione e mancata applicazione di patch di sicurezza possono esporre un sistema rischi severi. Vorrei infine spendere una parola sulle responsabilità degli executive delle aziende.
L’implementazione di una politica di sicurezza è funzione del loro commitment, in assenza del quale un’organizzazione è inevitabilmente esposta a gravi rischi. La cyber sicurezza oggi necessita di un approccio olistico che coinvolga figure in molti settori, compresi quello legale e comunicazione. Lo sforzo collettivo e collaborativo è essenziale per migliorare la sicurezza informatica complessiva”, conclude Paganini.
In definitiva, cercare un colpevole è soltanto un alibi. Quando un’organizzazione viene colpita da una cyber offensiva che va a segno, a rompersi sono diversi anelli della catena
