La cybersecurity non è (solo) una questione di tecnologia

scritto da il 22 Maggio 2019

Gli autori di questo post sono Giuliano Tomiazzo, CEO e co-fondatore di Intuity, azienda focalizzata sulla cybersecurity, e Nicolo’ Andreula, consulente strategico e visiting professor alla Chinese University of Hong Kong

Due mesi fa, l’amministratore delegato di un’importante azienda italiana del settore manifatturiero scrisse un post sul suo profilo social per descrivere il disagio che un volo in ritardo gli aveva procurato durante un viaggio di lavoro e lamentarsi della scarsa qualità dell’assistenza ricevuta dal personale di terra.

Qualche giorno dopo, fu contattato dalla compagnia aerea che si scusava per la brutta esperienza e gli offriva, a parziale compensazione del danno, un voucher di cento euro da spendere nei suoi prossimi viaggi di lavoro o di piacere.

Seguendo le istruzioni ricevute nella mail, l’amministratore delegato cliccò sul link ed inserì il suo numero frequent flyer e la sua password, consegnando nelle mani di alcuni pirati informatici alcuni tra i suoi dati personali più sensibili, compreso l’accesso al suo computer.

L’email era stata inviata da un dominio internet molto simile a quello della compagnia, ed anche il sito del servizio clienti dove l’aveva portato il link era stato creato clonando quello originale. Per fortuna del CEO, in questo caso, gli hacker erano dei professionisti ingaggiati dalla sua stessa azienda per testare la propria “cybesecurity culture”.

Si tende a pensare alla sicurezza informatica come ad una questione di tecnologia, antivirus e firewalls. Ma siamo proprio sicuri che sia questo il futuro di un’industria che negli ultimi anni è cresciuta a doppia cifra, e che – secondo le previsioni di Global Market Insights – entro il 2024 passerà dagli attuali 120 miliardi di dollari ad oltre 300 miliardi di dollari di fatturato?

È una domanda chiave sia per investitori privati e istituzionali, che iniziano a guardare con sempre maggiore interesse alle aziende del settore, sia per il top management di qualsiasi compagnia che raccoglie dati sensibili di utenti, clienti, dipendenti o processi interni.

“Data is the New Oil”, ha scritto recentemente l’Economist, paragonando la crescita del valore di questo asset a quella del petrolio nel secolo scorso; e anche il presidente del Parlamento Europeo, Antonio Tajani, ha dichiarato che “i dati sono i nuovi lingotti d’oro”.

Ma come si fa a proteggerli?

Spesso quando c’è un problema così critico e le minacce sono sempre più concrete, la risposta immediata è “throw money at it”. Spendiamo soldi, senza pensare troppo a quanto o come. Si aggiornano software, si assumono esperti, si comprano computer sempre più veloci, avanzati e sicuri. Purtroppo però si fa solo questo. “Abbiamo un Dipartimento IT – si tende a pensare – abbiamo comprato quello che ci hanno chiesto, adesso è un problema loro”. Oppure: “Se la cybersecurity è l’industria del futuro dobbiamo puntare tutto su chi produce i sistemi più avanzati”. Sarebbe bello, sarebbe semplice, ma non è abbastanza.

Quello che tanti (amministratori delegati, manager, imprenditori ed investitori) non hanno ancora capito è che più si va avanti nel tempo, più entriamo nel secolo della Rivoluzione Digitale e più, paradossalmente ma inesorabilmente, bisogna sviluppare software senza dimenticarsi delle persone a tutti i livelli dell’organizzazione, anche in questo campo. La sicurezza informatica è sempre meno una questione di tecnologia e precisissimi sistemi operativi, e sempre più una questione di cultura e costosissimi errori di distrazione.

Per capire un po’ meglio ciò che sta succedendo e dove stiamo andando, occorre riflettere su chi e come si sta combattendo questa nuova guerra dei dati, con un breve viaggio nel tempo tra varie discipline (dalla strategia militare al marketing digitale), nazioni (dall’Iraq all’India, passando da Seattle e Langley, Virginia), miti ed incubi (Davide e Golia, Saddam Hussein e Bill Gates), e approfondire tre concetti fondamentali: Democratizzazione della Tecnologia, Guerra Asimmetrica e Protopia.

schermata-2019-05-21-alle-23-50-28

Windows 95 e la Democratizzazione della Tecnologia

Bill Gates aveva un grande sogno: sviluppare sistemi operativi così economici e facili che ogni casalinga americana avrebbe potuto utilizzarli. Windows 95 fu progettato esattamente con questo scopo: sprigionare il potere dell’informatica dagli abissi oscuri di MS DOS e portare fogli di calcolo e programmi di scrittura sulle scrivanie, sui desktop, della gente comune. Quel pulsante di avvio (“START”) nell’angolo in basso a sinistra dei monitor di molti di noi ci ricorda che i computer non sono più strumenti per smanettoni, ma compagni di giochi e di lavoro per ognuno di noi.

Il continuo e inesorabile abbassamento dei costi di produzione, l’invenzione dello smartphone e l’esternalizzazione di sviluppo software e servizi di supporto hanno fatto il resto, spostando quel sogno di Seattle un po’ più in là. In questo momento, sul nostro pianeta, circa una persona su due ha accesso ad un computer o ad un telefonino intelligente, e i numeri crescono in maniera esponenziale. Nell’epoca della Democratizzazione della Tecnologia, tutti vivono e lavorano producendo, scambiando e conservando informazioni sensibili e dati informatizzati: la password dell’intranet aziendale è dominio sia dell’IT manager, sia di chi è alla reception o si occupa di vendite e magazzino. È come una banca in cui tutti gli impiegati hanno accesso alle cassette di sicurezza: a che serve avere le serrature più impenetrabili se non sappiamo dove sono le chiavi e quante copie ci sono in giro?

Questo problema ci riguarda sempre più direttamente. Per anni abbiamo sentito parlare di hacker, attacchi cyber, furto di dati, phishing, ma il problema appariva lontano. Aziende come Sony, Yahoo, Target, Adobe, Marriott, infatti sono per dimensione, posizione geografica, tipologia di mercato, diverse dallo stereotipo/modello dell’azienda italiana. Ultimamente invece, grazie anche ai media, il fenomeno sembra apparentemente cambiato, ed è sempre più comune sentir parlare di attacchi informatici a nostri conoscenti, concorrenti, collaboratori. La settimana scorsa, le caselle di posta elettronica certificata di decine di migliaia di avvocati italiani sono state paralizzate da un presunto atto di pirateria informatica.

Se prima un hacker prendeva di mira quasi esclusivamente le aziende di una certa dimensione, ora anche il singolo individuo sembra fargli gola, perché è sempre più conveniente e facile da attaccare. È un concetto tanto semplice quanto preoccupante: quando c’è un qualsiasi elemento informatico (PC, smartphone, computer, cloud) allora c’è anche la possibilità che un soggetto esterno possa inserirsi nella rete. Ma da dove arrivano, esattamente, questi pirati e come ci attaccano? E soprattutto: cosa vogliono da noi?

schermata-2019-05-21-alle-23-53-22

Desert Storm e la Guerra Asimmetrica

È dai tempi di Davide e Golia che i più piccoli riescono a sconfiggere i più grandi puntando sull’effetto sorpresa. Ma il concetto moderno di Guerra Asimmetrica ha iniziato ad essere teorizzato durante l’operazione Desert Storm, che diede il via alla Guerra del Golfo: nell’agosto del 1990, i soldati americani paracadutati per liberare il Kuwait dalle forze armate irachene rimasero disorientati dal fatto che non stavano fronteggiando un esercito tradizionale, ma persone che spesso non avevano uniformi, nazionalità ed identità ben definite. Non si capivano neanche dove iniziava e finiva il conflitto, e le cose diventarono ancora più complicate qualche anno dopo, quando il teatro delle operazioni si allargò dall’Iraq all’Afghanistan, fino alla Siria ed al terrorismo globale.

Nemici di vario genere senza un obiettivo comune (c’era chi lottava per salvare Saddam Hussein, chi perché assoldato da Bin Laden, chi cercava l’indipendenza del proprio gruppo etnico e chi voleva affermare la superiorità della propria religione) con un arsenale vasto e imprevedibile: dai razzi sovietici ai semplici sassi, dai fucili inglesi ai bastoni in legno. Una donna che attraversa la strada può avere degli esplosivi nella busta della spesa, e un passante su un ponte di Londra può ferire turisti e pendolari da un momento all’altro.

Questa è l’idea alla base del concetto di Guerra Asimmetrica o Guerra senza limiti (come descritta nell’omonimo libro di Qiao Liang e Wang Xiangsui), dove non sono noti i tre principi che definiscono la Guerra Convenzionale: obiettivo, contendenti ed armi, e campo di battaglia. Se non si sa dove mirare o a chi sparare, un cannone è meno pericoloso di un coltello nelle mani di un nemico che sa esattamente chi sei e dove ti trovi.

Nel contesto informatico e aziendale non ci sono guerre propriamente militari, ma si combattono ogni giorno battaglie commerciali, finanziarie, ecologiche e reputazionali. Conflitti che, senza versare una goccia di sangue, possono avere comunque conseguenze disastrose per investimenti, processi di produzione e posti di lavoro.

E come in un combattimento durante una tempesta nel deserto, nella guerra informatica è difficilissimo capire chi attacca. I ladri di dati non sono solo hacker incappucciati che creano virus invisibili battendo codici su una tastiera: possono essere persone comuni che rovistano tra le cartacce nei sacchi della spazzatura, tengono accesa la fotocamera dello smartphone mentre camminano per luoghi sensibili come aeroporti o catene di montaggio, o sbirciano i nostri schermi mentre mandiamo l’ultima email di lavoro sull’autobus che ci riporta a casa. Spesso è anche difficile capire cos’hanno in testa: alcuni vogliono ricattarci, altri copiarci, altri ancora capire se siamo single o semplicemente scherzare.

schermata-2019-05-22-alle-00-00-29

Protopia e People-Centric Security

La trasformazione digitale che attraversa la nostra economia e la nostra società sta progressivamente riducendo il digital divide sia tra le aziende che tra gli individui. Allo stesso tempo, sta dando vita ad un fenomeno evolutivo che Kevin Kelly (fondatore ed executive editor di Wired) ha definito Protopia: il miglioramento continuo degli oggetti che ci circondano, un inesorabile progresso. Questo concetto però è, etimologicamente e sostanzialmente, a metà tra Utopia e Distopia: così come la Protopia genera benefici, allo stesso modo genera problemi, anche se non ce ne accorgiamo.

Infatti, mentre percepiamo quotidianamente gli effetti positivi del progresso tecnologico (per esempio ogni volta che troviamo un vecchio amico su un social media o una strada grazie alle mappe digitali), gli effetti negativi della digitalizzazione non si manifestano con la stessa frequenza e trasparenza, e dunque tendiamo a sottovalutarne i rischi.

Tendiamo a dimenticarci che i problemi di oggi sono causati dai successi tecnologici di ieri, così come il fatto che le soluzioni tecnologiche di oggi saranno la causa di problemi futuri. L’invenzione del martello, per esempio, ha permesso di costruire case e strutture di legno, ma successivamente è diventato anche un’arma per ferire i nostri simili.

Questo è un elemento fondamentale della teoria della Protopia: prima di una nuova scoperta o invenzione, l’uomo non è consapevole della scelta tra il bene o del male che questa comporterà. Non ci poniamo il problema “utensile o arma?” davanti a nuovi strumenti, perché non li conosciamo oppure perché, appena iniziamo ad usarli, tendiamo a concentrarci sui loro effetti positivi.

Questa teoria offre una chiave di lettura molto interessante per interpretare alcuni aspetti fondamentali della rivoluzione digitale, e per approcciare al meglio la cybersecurity: la tecnologia ci rende più efficienti e produttivi (Industria 4.0 e dintorni), ma contemporaneamente e spesso inconsapevolmente più vulnerabili: la guerra è sempre più asimmetrica.

Ogni singola azienda, ogni singolo lavoratore, ognuno di noi sta combattendo una sorta di battaglia in un terreno sconosciuto e quindi potenzialmente pericoloso. Se deleghiamo la protezione dei nostri dati esclusivamente agli antivirus, ai firewalls ed ai soli chief information officers saremo sempre in condizione di inferiorità non per mancanza di tecnologia a disposizione, ma perché la scarsa consapevolezza dei rischi che corriamo e la mancata conoscenza dei potenziali nemici ci faranno sempre commettere dei passi falsi, delle leggerezze potenzialmente fatali per la sicurezza delle nostre reti.

Lance Hayden, uno dei massimi esperti del settore, sostiene che la cybersecurity è “una sfida di persone, una sfida sociale e organizzativa: una sfida culturale”. Del resto, se fosse esclusivamente una sfida tecnologica, avremmo risolto il problema molto tempo fa. La visione Technology-Centric è destinata a fallire, bisogna passare a quello che Hayden chiama “People-Centric Approach”. Questa è la chiave di volta per capire il futuro di questo settore, per indirizzare la ricerca e gli investimenti privati e pubblici, gli sforzi legislativi come il GDPR, la loro applicazione nelle nostre aziende e nelle nostre comunità.

In questa battaglia gli esseri umani sono in prima fila, ed è su di loro che bisogna puntare, su noi stessi. Ciascuno di noi può mettere in pericolo il sistema, ma anche salvarlo, alzando il livello di attenzione anche oltre i normali protocolli di sicurezza, chiamando un collega perché ha ricevuto una mail che non lo convince, facendo notare al Dipartimento IT un’anomalia nella connessione, cambiando la password una volta in più perché forse qualcuno l’ha visto mentre la digitava sul telefonino.

Non è (solo) una questione di tecnologia, ma di attenzione della singola persona e della consapevolezza del suo ruolo nella collettività: ci sono troppe connessioni, di vario genere, che ci legano gli uni agli altri e aumentano la responsabilità e la criticità di ciascun soggetto per la protezione dei dati e dei luoghi in cui lavoriamo, viaggiamo, viviamo.

Il singolo è parte di un gruppo, il problema della cybersecurity è un problema sociale. I rischi della diffusione della tecnologia vanno mitigati attraverso percorsi di formazione e trasformazione culturale nelle scuole e nelle aziende: le persone, gli umani, possono e devono diventare gli anelli più forti della catena di protezione della società digitale.