Se fossimo in guerra dovremmo portare le nostre difese a DEFCON 1 perché gli attacchi informatici sono drasticamente aumentati e dobbiamo difenderci: da molti anni gli sforzi per aumentare le difese delle nostre reti informatiche sono stati concentrati su apparati e software che avevano l’unico scopo di difendere le infrastrutture da attaccanti esterni all’azienda e dagli stessi utenti.

Abbiamo sempre considerato l’utente come il primo attaccante dell’azienda, la persona da cui difendersi, controllandolo, monitorandolo e limitandolo. I numeri ci hanno sempre sostenuto, c’erano e ci sono tutt’ora statistiche che confermano che la maggior parte degli attacchi informatici provengono da errori e click selvaggi dei nostri utenti. Quindi era fisiologico che ci si dovesse proteggere dagli utenti anche perché i sistemi di difesa perimetrale e d’infrastruttura erano arrivati a dei livelli molto elevati e garantivano una buona sicurezza, anche se c’era sempre il fattore umano da considerare. Pensiamo solamente che basta una configurazione non ottimale per aprire delle falle di sicurezza anche in assenza di vulnerabilità effettive di software o degli apparati.

Quindi torniamo all’Errore Umano.

Servono procedure che aiutino a limitare o ad eliminare il rischio di un errore umano, serve più consapevolezza ed oggi abbiamo queste procedure: DevSecOps, Awarness, ecc. Il tessuto italiano è ancora un po’ acerbo per questi argomenti, soprattutto la PMI, ma pian piano si stanno facendo spazio. La cosa più importante è dare un cambio di paradigma:

Far diventare l’utente il primo difensore dell’azienda e non il primo attaccante

Diamogli il Know How per poter discriminare un comportamento sicuro da uno poco sicuro: questo aumenterà il livello di sicurezza esponenzialmente.

Far acquisire una maggiore consapevolezza sui rischi informatici è un plus per l’azienda, ma deve diventare sempre di più uno stile di vita anche dentro le quattro mura domestiche. La tecnologia non è più legata al mondo dell’ufficio ma sempre di più sta entrando dentro le nostre case e dentro la nostra vita, minando non solo la nostra privacy ma anche la nostra sicurezza e la sicurezza dei nostri cari. Del resto i numeri parlano chiaro, l’aumento dei dispositivi Smart Home è indiscutibile e sempre di più stiamo connettendo la nostra vita privata al mondo e quindi agli attaccanti. La superficie di attacco per il cybercrime negli ultimi anni è aumentata vertiginosamente e, se mentre in ufficio abbiamo le protezioni tecnologiche, spesso in casa non le abbiamo. La quarantena del Covid con il remote working o lo smart working ha evidenziato questo GAP e i danni sono stati netti ed indelebili per molte aziende che si sono viste attaccate da un’ondata di malware e ransomware provenienti dai PC “BYOD” dei propri dipendenti.

Privacy e Social Engineering

Abbiamo quindi l’obbligo morale ed etico di diventare più consapevoli dei rischi, per la nostra privacy, per la nostra famiglia e per il nostro lavoro: solo così possiamo affrontare la 3° guerra mondiale che si sta combattendo da alcuni anni. Siamo tutti chiamati alle armi e non è più giustificata l’ignoranza e la non conoscenza dei rischi. Ci sono 3 generazioni che oggi usano sempre di più la tecnologia; sui social network troviamo i nonni, i genitori e i ragazzi ed ognuna di queste generazioni ha conoscenze e metodi di apprendimento diversi. Per questo, noi addetti ai lavori abbiamo il dovere di aiutare il popolo tecnologico ad avere una maggiore consapevolezza e conoscenza. Gli attaccanti fanno sempre più leva su quei meccanismi psicologici per indurre l’utente a cadere nelle loro trappole, installare malware o RAT, rubare credenziali o prendere possesso delle informazioni personali o dei dati. Il nemico è in agguato, invisibile, bravo e ben foraggiato economicamente e ha risorse e tempo.

Le best practices non mancano ed ormai le conosciamo tutti:

• Verificare la sicurezza dei dispositivi
• Verificare le connessioni che utilizziamo
• Usare password complesse e diverse o MFA
• Non comunicare le password a nessuno
• Stare attenti alle email e agli allegati che apriamo
• Non raccogliere penne USB apparentemente perse

Le regole di base si conoscono benissimo ma spesso non vengono adottate per pigrizia o per negligenza. Ogni tanto penso alle raccomandazioni dei miei genitori quando ero adolescente:

• Non dare confidenza agli estranei
• Non accettare cibo o caramelle da chi non conosci
• Stai attento a dove metti i piedi, a dove vai e a quello che fai

Devo dire che le raccomandazioni di una volta se usate anche oggi darebbero comunque ottimi risultati anche in ambito informatico. Il problema è che anche se le conosciamo non sempre le mettiamo in pratica. L’espressione inglese “curiosity killed the cat” corrisponde a quella italiana “tanto va la gatta al lardo che ci lascia lo zampino” ma il senso è lo stesso e mai come ora è di attualità. Il Cyber Crime sfrutta da anni questa massima utilizzando: le email da un mittente autorevole, la notizia del momento, il documento allegato, la penna USB per terra, ecc. ecc. Tutte queste tecniche fanno leva sulla nostra curiosità e sulla nostra impulsività, scommettendo sulla nostra prontezza di riflessi incondizionati che spesso ci hanno indotto in errore.

In conclusione:

Cerchiamo di riprenderci la nostra privacy di condividere sempre di meno perché ogni cosa può essere usata contro di noi: un hobby può diventare la nostra password, il PHISHING e il SOCIAL ENGINEERING è diventato un vettore, se non il vettore, più usato dagli attaccanti (+81,9% rapporto Clusit 2020). Queste tecniche sfruttano le debolezze umane come la curiosità e la nostra impulsività; gli attacchi sono diventati sempre più psicologici (vedi Covid-19) quindi dobbiamo rendere le nostre menti e la nostra consapevolezza più sicura e l’unico modo è “THINK BEFORE CLICK”.

Articolo di Sandro Sana