Photo by Edu Lauton on Unsplash

Cybersecurity, perché il “fattore umano” è un rischio

di Pasquale Fedele e Antonio Manduca, ENEA – Cantiere Sicurezza digitale

La rapida evoluzione della tecnologia e delle reti di comunicazioni ha portato ad un aumento del rischio Cyber. Oggi attraverso il Web, i social network, le community, l’utente è connesso al mondo ed ha accesso a un gran numero di contenuti e servizi. Le innovazioni tecnologiche dell’IoT (Internet of Things) e delle connessioni 5G porteranno ad aumentare la quantità di dati e servizi a disposizione dell’utente e di conseguenza ad  accelerare il processo di trasformazione digitale della società.

Ognuno di questi dispositivi e/o infrastrutture IT rappresentano una “porta” di accesso potenziale per chiunque sia intenzionato a voler compromettere la nostra PA e/o qualsivoglia impresa.

La generazione dei Millennial (nati tra il 1981-1996) e dei Centennials (la post-millenial) sono nati e hanno confidenza con l’uso della tecnologia (sono circondati da PC, internet, Tablet, mobile), dei social media e sono “aperti” alle possibilità e novità provenienti dalla rete. Spesso queste generazioni sono le meno attente alla sicurezza Cyber e non si chiedono cosa vi sia dietro un click, cosa voglia dire accettare l’utilizzo di un’app o verificare come opera l’app all’interno del loro dispositivo. Spesso non riescono neanche a leggere con attenzione una email. Queste generazioni sono portate ad avere un rapporto trust su quanto si trovi ed arrivi dalla rete e con chi fornisce i servizi desiderati. Questo comportamento cambia il modo di vedere e fruire la realtà, aumentando così il fattore umano nel rischio Cyber.

Il fattore umano

In un mondo interconnesso anche un allegato email aperto per errore da un cellulare aziendale può potenzialmente mettere in crisi l’azienda stessa. Le tecniche di phishing, spear phishing, pretexting, portano le persone a poter essere il punto debole nella sicurezza Cyber. Il fattore umano è l’elemento sempre più importante, sia per la PA che per la propria persona, mettendo a repentaglio investimenti e piani di risk management.

Il mondo social e le varie app che vi ruotano intorno (facebook, whatsapp, snapchat, youtube, ecc.) portano gli utenti a condividere la propria quotidianità senza essere consapevoli del rischio Cyber. Le persone quotidianamente consumano molte ore connessi su queste piattaforme, i social network diventano piazze virtuali dove comunicare, scambiare opinioni e condividere tutto.

Ogni volta che viene inviato o condiviso qualcosa su un social network, se ne perde il controllo in modo definitivo. Spesso tutto resta nella rete, creando una grande mole di informazioni che rappresenta un’autentica occasione per chi in rete ne fa un uso improprio (truffatori, ladri di identità, hacker).  Nell’eccezionale legame tra vita fisica e vita digitale si nascondono dietro un display molti pericoli, fra i quali il cyberbullismo, la violazione della privacy, il furto d’identità, il ricatto e/o estorsione online.  Proteggere i nostri dati che condividiamo significa proteggere noi stessi e le nostre esistenze.

Il modello organizzativo della sicurezza ICT

La difesa dei sistemi informatici ha assunto un carattere di urgenza, rappresenta quindi un elemento non più prorogabile anzi necessario perché abilitante per lo sviluppo della nuova rivoluzione tecnologica.

Ma avere un grande sistema difensivo, delle “fortificazioni” intorno alla “cittadella” non ha senso se qualcuno in modo inconsapevole apre una porta d’accesso. Ormai non è rilevante capire se si subirà un attacco, ma quando ciò accadrà e quali saranno, probabilmente, le modalità attraverso le quali poter intervenire e contenerne gli impatti.

È necessario che la sicurezza ICT si integri nei processi dell’organizzazione della PA, proteggendone l’operatività e focalizzandosi sugli obiettivi e le criticità dell’organizzazione stessa. È indispensabile e non più rinviabile cambiare l’approccio al rischio Cyber, non più solo a livello di “protezione selettiva” bensì a livello di modello organizzativo in grado di concepire una strategia di sicurezza complessiva, che coinvolga non solo il sistema informativo, ma tutta la Pubblica Amministrazione e le imprese interessate.

Bisogna prestare particolare attenzione alla crescita della consapevolezza del rischio Cyber non solo agli specialisti del settore IT, ma a tutti i livelli del personale, in primis alla componente manageriale. Ogni datore di lavoro è auspicabile che investa con particolare attenzione nella protezione attraverso un “processo progressivo” della “conoscenza del rischio Cyber” per rendere ogni componente della PA più sensibile, sicuro e cosciente.

Questo modello organizzativo è un primo passo per arrivare a sensibilizzare tutti i Cittadini interconnessi, rendendoli più consapevoli delle loro azioni e del rischio Cyber. Creare una consapevolezza chiara, diffusa e condivisa del rischio Cyber diventa un fattore abilitante per la crescita della cultura digitale nel nostro Paese.

Il Cittadino Digitale Evoluto

Per la trasformazione digitale diventa importante fin da subito e nel medio-lungo periodo il ruolo delle Istituzioni ed in particolare della Scuola, dell’Università e della Ricerca che potranno dare il supporto formativo e tecnologico per accrescere sia la consapevolezza del rischio Cyber sia la cultura digitale nella PA, nelle aziende e nei Cittadini. Queste azioni sono necessarie e indispensabili per traguardare verso il Cittadino Digitale Evoluto, intendendo anche consapevole. Ridurre i rischi Cyber, agendo sulla consapevolezza colloca il Cittadino Digitale Evoluto al centro della PA.

La formazione digitale a tutti i livelli avrebbe maggiore successo con il supporto della PA e iniziando dalla scuola primaria renderebbe già la Generazione Alpha (le persone nate dopo il 2010) più consapevole del rischio Cyber.

Avere una PA che sia il motore della Crescita Digitale nella società deve essere il primo obiettivo per rendere il nostro Paese più competitivo, più digitale ma soprattutto:

  • creare una base di conoscenza tale da portare il Cittadino al centro della Crescita Digitale rendendolo consapevole del rischio Cyber;
  • accrescere la fiducia dei Cittadini nella Società Digitale rendendoli più sicuri.

Innovazione digitale, trasformazione digitale, nuovi principi tecnologici, GDPR, misure minime di sicurezza ICT, non possono prescindere da una cultura di consapevolezza del rischio Cyber.

La PA in questo momento storico ha un compito unico ed irripetibile per il nostro Paese: poter dare un impulso di cambiamento alla società, non solo rendendo il suo personale Digitale e consapevole del rischio Cyber ma creando strumenti di comunicazione digitale in grado di raggiungere facilmente i Cittadini, supportarli nelle loro necessità e indirizzarli sempre più ad avere familiarità con il mondo digitale e con la consapevolezza del rischio Cyber.

Tutto ciò contribuendo in modo significativo alla trasformazione di ogni Cittadino in un Cittadino Digitale Evoluto al passo con i tempi.

 

Foto di Edu Lauton