Il report “Cost of a data breach” di IBM e Ponemon Institute indica che il fattore umano è direttamente responsabile di 7 tipologie di attacchi informatici su dieci.
I criminali hanno capito che è più semplice convincere una persona a cliccare un tasto, anziché sfruttare le vulnerabilità tecnologiche.
Quindi, la sicurezza è una partita che non si gioca solo tra antivirus e normative, ma soprattutto nella nostra mente.
Infatti, pur sapendo che il rischio è concreto e in aumento, i “bias” ci spingono a sottovalutarlo. Si tratta di approssimazioni e scorciatoie che il nostro cervello usa per prendere ogni secondo microdecisioni istintive, per esempio evitando di soffermarsi troppo su pensieri negativi come il rischio di cadere in una truffa.
Vediamo se i bias sono sempre negativi e soprattutto cerchiamo di capire cosa non sta funzionando.
Indice degli argomenti
Come è evoluto il cyber crimine
Termini quali “virus” e “hacker” sono un romantico retaggio dei film anni ’80. Oggigiorno, è più appropriato parlare di “organizzazioni criminali” modernamente strutturate, dotate di importanti risorse finanziarie, sponsorship governative e persino consulenti di psicologia che si rendono disponibili a confezionare truffe più credibili.
E le mafie non sono state certo a guardare. «Le mafie cinesi, russe e giapponesi si collegano tra loro nel traffico di scorie nucleari, organi ed esseri umani», spiega Claudio Martelli. Infatti, oggi la Ndrangheta può contattare i narcos sudamericani con pochi click e può tracciare online le rotte europee del narcotraffico.
Le cyber-mafie hanno un organigramma aziendale, reti commerciali, programmi di affiliazione, call center che agevolano le vittime nel pagamento del riscatto. Insomma, sono diventati provider in grado di fornire servizi in cloud e rivendere i propri strumenti di attacco tramite eCommerce anche a clienti privi di conoscenze tecniche.
Per contrastare questi fenomeni, assistiamo alla proliferazione di nuove tecnologie, normative e iniziative di sensibilizzazione, ma, con quali risultati, è tema da valutare.
Bias e fattore umano
Il cervello umano ha una capacità limitata rispetto ai computer. Anche se non è semplice fare una comparazione, alcuni studi calcolano che la capacità computazionale di un cervello medio potrebbe equivalere a 1 exaflop al secondo equipaggiato con uno storage di circa 2,5 PetaByte, cioè ben al di sotto degli odierni supercomputer.
Allora, com’è possibile che i supercomputer ancora non riescono a sostituire l’essere umano? Semplicemente perché il nostro cervello non necessita la precisione del computer, è intuitivo nella correlazione di informazioni non strutturate e – in ottica evoluzionistica – i bias ci hanno permesso di evitare l’estinzione.
Il cervello può anche decidere di non decidere e farci scappare di fronte al pericolo. Quindi, in alcune occasioni il fattore umano è la nostra salvezza, mentre altre volte ci mette nei guai.
Ma se in Italia mancano all’appello 100.000 professionisti della cyber sicurezza, secondo il professor Roberto Baldoni (ex capo Acn), ecco chi ci può formare e difenderci in modo più efficace.
Il ruolo del cybercognitivismo
Sfatiamo un mito. Non tutti i ruoli nella cyber security sono tecnici e non è sempre necessario conseguire un titolo di studio specifico.
Molti ruoli possono essere ricoperti da persone con background formativi diversi, purché possiedano curiosità, alcune conoscenze tecnologiche di base, capacità di analisi, attenzione ai dettagli, concentrazione prolungata, mentalità investigativa e capacità comunicative.
Inoltre, attraverso un approccio scientifico come il cybercognitivismo, è possibile selezionare la persona giusta per il lavoro giusto, sfruttando i bias a nostro vantaggio.
In pratica, se adottassimo il cybercognitivismo per controllare i nostri bias, la formazione creerebbe vera consapevolezza, userebbe lo “storytelling” invece del “fact-telling” e ci allenerebbe dal punto di vista emotivo.
Se i programmi di sicurezza collegassero la cyber security con la vita personale, potremmo aumentare l’alfabetizzazione digitale anche delle persone meno digitalizzate e incoraggeremmo il nostro cervello ad elaborare i problemi in modo più dettagliato.
E saremmo anche in grado di formare nuovi professionisti più velocemente.
Cybercognitivismo, soft skill e il fabbisogno di professionisti della sicurezza
In chiave cybercognitiva, i fragili cognitivi e sociali sono in grado di coprire il fabbisogno di professionisti della cyber sicurezza.
Fragili cognitivi come le persone che rientrano nello spettro autistico, dislessici, non udenti, persone con la Sindrome di Down, ADHD e molti altri, sono tutte persone che hanno un “superpotere” adatto ad uno scopo. Fragili sociali, quali ex detenuti e over-50 che hanno perso il lavoro, hanno già vissuto situazioni emotivamente critiche: è un’esperienza che possono mettere a disposizione in contesti in cui la tenuta emotiva è critica, come per esempio durante un cyber attacco.
In particolare, gli over50 hanno conoscenza pratica, capacità di problem solving, consapevolezza dei rischi, mentorship per i più giovani, visione strategica e resilienza.
Tuttavia, spesso le aziende si concentrano troppo sulle competenze tecniche recenti, sottovalutando la saggezza che questi professionisti possono offrire e dimenticandosi del fatto che la tecnologia di oggi potrebbe essere archeologia tra un anno.
E, a proposito di soft skills, forse è arrivato il momento di rendere materia di studio anche l’ingegneria sociale.
L’inclusione di persone fragili a livello cognitivo e sociale
L’Associazione Ri-Creazione sensibilizza la società civile all’inclusione lavorativa di persone fragili a livello cognitivo e sociale.
Ri-Creazione porta avanti progetti concreti nella convinzione che la diversità sia una risorsa preziosa, specialmente nel complesso mondo della cyber sicurezza. E se aumentano i difensori, ogni attacco informatico disinnescato o mitigato diventa un beneficio per tutti coloro che, magari inconsapevolmente dal proprio telefonino, oggi stanno attaccando un ospedale. E domani potrebbero essere chiamati a renderne conto di fronte alle autorità.
In linea con questa visione, Ri-Creazione sta sviluppando un nuovo modello di protezione digitale che integra competenze tecniche e sensibilità sociale, con tecnologie ergonomiche pensate per proprio abilitare ai lavori cyber chi si trova in situazioni di vulnerabilità, senza dover conseguire una laurea.
La visione è quella di uno “scudo digitale comunitario” che protegga infrastrutture e persone, con attenzione a chi ha meno risorse. Non si tratta solo di offrire servizi di sicurezza, ma di costruire una rete di protezione sociale attraverso una tecnologia al servizio dell’inclusione.
Per chi condivide questa visione e desidera contribuire ad un futuro digitale più sicuro e inclusivo, è possibile visitare il sito di Ri-Creazione per scoprire come sostenere concretamente questa iniziativa sociale.
