Da quando ENIAC , il primo calcolatore elettronico “general purpose“ , è stato presentato nel 1946 ad oggi la digitalizzazione ha subito diverse trasformazioni ed ha essa stessa veicolo di trasformazione della economia, usi e costumi, tecnologia e società.

I calcolatori, infatti, da essere a supporto di processi ripetitivi ed in qualche modo reversibili ( “se non funziona il calcolatore, l’attività può essere fatta manualmente”) sono passati ad essere loro stessi il cuore pulsante delle aziende che hanno ad essi affidato processi non reversibili tanto da far pensare che la digitalizzazione è indispensabile alla vita su questo pianeta.

L’incubo black-out digitale

Impossibile immaginare infatti cosa succederebbe in assenza di interconnessione e di capacità elaborativa disponibile.

In realtà non dobbiamo neanche immaginarlo in quanto non di rado assistiamo a disservizi causati dalla mancanza di disponibilità di qualche elemento del sistema digitale.

Allora può succedere che, se un calcolatore non funziona, non è possibile ricoverare una persona in ospedale.

Indubbi sono i vantaggi che la digitalizzazione ha portato nella sanità, ma questo ha reso la sanità dipendente da processi e tecnologie utilizzate in sanità.

In molti considerano pertanto la digitalizzazione (tecnologia, interconnessione) come un bene dal valore intrinseco, un bene così come la terra, l’acqua, l’ossigeno, così importante che è impossibile calcolarne un ritorno di investimento, un bene senza il quale non sarebbe possibile la vita su questo pianeta.

Inevitabile che questo bene prezioso diventi oggetto da salvaguardare (e da qui le varie normative e direttive) da difendere e appetibile a malintenzionati.

Chi è consapevole si difende meglio

D’altra parte, chi può creare danno ha dei vantaggi enormi rispetto a chi deve difendersi, è preparato, può scegliere il tempo, non deve rispettare regolamentazioni ed infine conosce benissimo il terreno di battaglia, rappresentato da internet.

Inevitabile, pertanto, investire in consapevolezza per ridurre la distanza tra chi attacca e chi difende. Formazione e consapevolezza sono infatti considerate contromisure di sicurezza importanti al pari di antivirus, firewall, SIEM e altri/e processi/tecnologie di sicurezza da tutti i framework sulla sicurezza, direttive e normative sulla sicurezza.

Una riflessione è però necessaria.

La minaccia cyber è la più grande minaccia che dobbiamo affrontare? In realtà viviamo in palazzi molto alti, saliamo su aerei, passeggiamo in montagna, attraversiamo ponti da cui cadere avrebbe conseguenze fatali.

Malgrado la costante adiacenza a pericoli di questo tipo, d’altra parte non è così usuale rilevare incidenti relativi alla mancanza di consapevolezza dei pericoli legati al “vuoto”. Pertanto, vuol dire che l’essere umano conosce queste minacce.

La minaccia del vuoto aiuta a capire

Eppure, non mi risulta si facciano corsi che dicano “non devi lanciarti da una altezza superiore a…”, “se stai su un ponte non affacciarti troppo…”. Non esistono neanche lezioni che raccontino costantemente di quando una persona sia caduta dalla montagna, o da un ponte o si sia lanciata da un aereo senza paracadute: sappiamo già che le conseguenze di queste azioni sono fatali.

Come facciamo a saperlo? Ci sono diverse teorie.

Ad esempio, è probabile che col tempo, la selezione naturale ha favorito individui con una predisposizione alla prudenza verso il vuoto. Infatti, i nostri antenati che evitavano cadute da altezze elevate avevano più probabilità di sopravvivere e riprodursi.

Interessanti sono esperimenti psicologici come il “visual cliff experiment” di Gibson & Walk, che mostrano che anche neonati e piccoli animali esitano ad attraversare superfici trasparenti che danno l’illusione del vuoto, pur senza aver mai fatto esperienza di cadute gravi.

Alle teorie sulla evoluzione potremo aggiungere anche elementi biologici, il nostro orecchio interno, infatti, quando percepisce perdita di equilibrio, scatena una reazione di allarme immediata.

Oltre alla predisposizione innata e biologica, ciascuno di noi nella vita sperimenta piccole cadute (inciampi, scivolate) e tende ad estrapolarle rafforzando l’associazione del vuoto con il pericolo.

Infine, l’esperienza culturale gioca un ruolo: i genitori avvertono i bambini/e con racconti di incidenti degli altri, i bambini/e li racconteranno ai compagni/e e quando cresciuti/e li racconteranno ai loro figli/e, fungendo da rinforzo sociale.

L’essere umano ha pertanto sviluppato in milioni di anni di evoluzione una naturale predisposizione a difendersi dalle minacce derivanti dal vuoto.

Conoscere il contesto è decisivo

Difficile pensare che si riesca a recuperare milioni di anni di evoluzione solo con corsi che spiegano cosa non fare (non bisogna cliccare su link non conosciuti, attenzione ad utilizzare QR code se non trusted, attenzione ad utilizzare dispositivi IoT come telecamere di videosorveglianza) anche perché nel frattempo le tecniche di attacco evolvono velocemente.

La formazione deve indirizzare anche e soprattutto la conoscenza del contesto per poter identificare le anomalie a prescindere dal fatto che io conosca la minaccia specifica.

Faccio un esempio.

Se un calcolatore funziona oggi meglio di ieri è una anomalia che ci deve far riflettere in quanto chi attacca potrebbe avere reso inutilizzabile l’antivirus, sistemi di monitoraggio, o semplicemente modificato la configurazione DNS.

Per cui la percezione sarebbe inizialmente positiva (meno processi attivi sul calcolatore) ma nel frattempo l’attaccante potrebbe avere il controllo del calcolatore/dispositivo, rubando dati, utilizzando il dispositivo a suo piacimento per attacchi di tipo DDoS o semplicemente decidere quando e se ricattare la vittima che nel frattempo vive serena con un dispositivo apparentemente più efficiente ma in realtà compromesso.

In meno di 100 anni l’umanità ha creato un ecosistema digitale da cui siamo dipendenti, che ha consentito una enorme accelerazione nel progresso con vantaggi indubbi senza darci però il tempo di comprendere a fondo le minacce ad esso collegate.

Non possiamo pertanto prescindere da formazione e consapevolezza che informi su cosa non fare, ma che sia anche focalizzata sul condividere informazioni sul contesto che è il territorio su cui attaccanti e difensori si scontrano.