TEDx Ortygia: Il fattore umano nella sicurezza informatica (script)

Gianluca Varisco
May 20 · 8 min read

Preparare la presentazione per TEDx Ortygia non è stato affatto semplice. Pubblico di seguito lo script che, anche grazie al contributo di tanti amici, ho messo insieme, con la speranza che possiate trovarlo utile per le vostre presentazioni o che semplicemente possa aiutarvi meglio a comprendere quello che ho provato a raccontare. Il video arriverà nelle prossime settimane.

Presentazione TEDx Ortygia — Speakerdeck

Oggi voglio condividere con voi due delle cose che più mi stanno a cuore e che — purtroppo — solitamente non sono presenti nella stessa frase: empatia e sicurezza informatica. All’apparenza sembrano due concetti completamente distanti, eppure, come vedremo, hanno molto in comune.

Quando pensiamo alle persone che lavorano nella sicurezza informatica, spesso definite hacker, senza distinzioni, ce le immaginiamo così (slide).

Persone poco socievoli, che passano le giornate digitando sulla tastiera righe di testo di colore verde su uno schermo nero (slide), commettendo attività criminali. E mentre lo fanno indossano anche una maschera di Guy Fawkes (slide), che fu semplicemente (tono ironico) il membro più noto della congiura delle polveri, che tentò di far esplodere la Camera dei Lord a Londra il 5 novembre 1605.

Questi ritratti sono spesso maschili e focalizzati nel mettere in risalto l’eccentricità e il disagio sociale e psicologico. Pensate a Elliott nella serie Mr Robot (slide).

Le loro capacità sembrano provenire da questa separazione netta rispetto a quella che viene definita “normalità”, come se fossero estranei al mondo che li circonda. Si lascia credere alle persone che sia necessario astenersi dal mondo in cui viviamo e rintanarsi in uno scantinato per stabilire un contatto con questa realtà.

Ma tanto per iniziare, che cosa si intende per sicurezza informatica?

Negli ultimi anni, sentiamo spesso parlare di account rubati, password rivelate, carte di credito a rischio. Ma partiamo da un assunto: non esiste software che si possa considerare “sicuro”.

La sicurezza non riguarda dicotomie, non si misura in bianco e nero, ma si rivaluta sempre in ogni istante: un software che si considera sicuro oggi, potrebbe rivelarsi improvvisamente inadeguato, nel caso in cui qualcuno vi trovasse una vulnerabilità. Per questo esistono solo livelli di sicurezza, e quello di un software dipende da molteplici fattori come la tipologia di soggetto che compie l’attacco o il budget a sua disposizione.

Proviamo a pensare al software come una casa da proteggere. Un sistema di sicurezza potrebbe essere quello di utilizzare una porta blindata per difenderla e, certo, magari risulterebbe sicura contro un ladro armato di grimaldello. Ma che cosa potrebbe succedere contro un ladro munito di strumenti sofisticati o che possa addirittura entrare in casa vostra dalla finestra?

Identificare e risolvere problemi di sicurezza in qualunque software è dunque una pratica ordinaria e comune. In maniera più o meno consapevole, quando installate gli aggiornamenti del vostro browser o del vostro smartphone state risolvendo uno o più problemi di sicurezza. Questi aggiornamenti sono essenziali per rendere i nostri software resilienti ad attacchi informatici, senza i quali un “hacker con la maschera di Guy Fawkes” potrebbe accedere ad importanti dati personali come password, email, SMS.

È per questo che le aziende stesse, sempre più spesso, rendono pubblici i dettagli relativi ai problemi di sicurezza che vengono risolti in ogni successivo aggiornamento. Queste aziende non solo non nascondono tali problematiche, ma ne incentivano una “disclosure” responsabile da parte delle comunità dei cosiddetti “ethical hacker”.

Sì, ho detto “ethical”. Perché gli hacker non sono tutti dei criminali. Esistono hacker “buoni”, che vengono chiamati in gergo da smanettoni “white hat hacker”. Quando uno di questi hacker buoni trova una vulnerabilità in un software, le aziende che hanno attivato un programma di “bug bounty” lo retribuiscono. E con questo metodo, si incentivano gli ethical hacker a inviare in modo privato le loro segnalazioni sulle vulnerabilità di sicurezza.

È come se la vostra banca offrisse un premio a chiunque riesca a intrufolarsi nel caveau, ma senza rubare nulla e raccontando poi come ci è riuscito. (slide)

La sicurezza è intrinsecamente un problema dell’essere umano. Trattarla unicamente come un problema di carattere tecnologico si è rivelata essere la ricetta perfetta per fallire.

Chi vuole compiere crimini ai danni degli utenti della rete, per riuscire nell’intento deve necessariamente conoscere i loro comportamenti. Le più banali truffe online vertono sulle pulsioni più comuni dell’uomo, come il desiderio di fare soldi in pochi minuti o di poter vincere qualcosa di valore senza aver fatto niente di diverso dal visitare un sito internet.

Per questo motivo, anche chi cerca di prevenire deve cominciare a lavorare dal punto di vista delle persone e delle loro abitudini: mettere l’empatia al centro, quando si lavora nel mondo della sicurezza, permette di creare team più forti, costruire e lanciare prodotti migliori, e proteggere meglio le nostre comunità, aziende, e noi stessi da quelli che sono i rischi cyber.

Già nel 2016 Alex Stamos, l’ex capo della sicurezza di Facebook, aveva parlato di come gli esperti di sicurezza informatica dovessero fare di più per proteggere gli utenti di Internet dai cosiddetti attori malevoli. Di come tali esperti dovessero avere più empatia nei confronti di questi soggetti, sostenendo come spesso vi sia una reale inabilità di metterci nei panni delle persone che vogliamo provare a proteggere: pensate allo spam o alle molestie online (slide).

I problemi di sicurezza più importanti e complessi vedono coinvolte le persone, non la tecnologia.

In realtà, le persone che hanno una più diretta esposizione alle sfide che la sicurezza informatica ci impone, sono spesso quelle meno preparate nel gestirle o che non sanno come comportarsi davanti a questi problemi.

Pensate a quegli utenti che quotidianamente vengono bombardati da attacchi di phishing o spam o email contenenti allegati poco raccomandabili, aggiornamenti software e allo stesso tempo devono rispettare scadenze molto strette nel consegnare il proprio lavoro. Non solo. Pensiamo anche a quanto la mancata consapevolezza e conoscenza dei rischi della cybersecurity odierni da parte di dirigenti e amministratori possano impattare negativamente sull’integrità di una azienda o di una struttura governativa. (slide)

Approcci empatici alla tecnologia, alle persone, e ai processi organizzativi sono cruciali nel portare avanti una operatività nel quotidiano che sia sicura e allo stesso tempo sostenibile.

Quindi, come introdurre l’empatia nel nostro quotidiano, sia esso lavorativo che personale?

Il dizionario Treccani definisce l’empatia come “La capacità di porsi nella situazione di un’altra persona, o, più esattamente, di comprendere immediatamente i processi psichici dell’altro”.

La nostra sfida è sicuramente quella, allora, di iniziare a inquadrare i problemi tecnologici come problemi che riguardano le persone. Problemi che ci richiedono di considerare le emozioni, i processi decisionali e le motivazioni degli altri. Diventa importantissimo entrare in sintonia con le persone e conoscere i processi che tendono a preferire.

Questo è un tasto che risulta dolente per molti esperti di sicurezza informatica, che spesso tendono a guardare l’utente medio dall’alto in basso.

In questa visione delle cose, spesso il collega o il cliente sono visti presuntuosamente come non informati o irragionevoli.

Noi non ci stancheremo mai di ripetere l’importanza di avere password adeguate e univoche, ma, in ogni caso, la colpa di una violazione non può essere solamente attribuita a un utente inesperto.

Le conseguenze di non prestare troppa attenzione all’empatia all’interno delle organizzazioni sono spesso maggiori che avere cattivi atteggiamenti:

  • Creiamo prodotti che non vengono utilizzati, che non tengono in considerazione l’utente.
  • Non riusciamo a capire come i nostri avversari ragionino o lavorino
  • Clienti e impiegati aggirano i controlli. Gli utenti cercheranno tutti i modi possibili per continuare a fare quello che facevano prima senza ingerenze esterne. Se invece riusciamo a creare loro un percorso sicuro quanto intuitivo, riusciremo ad aumentare l’adozione delle migliori pratiche di sicurezza sia da parte degli utenti che degli sviluppatori.
  • Non mostrando empatia, non riusciremo a coinvolgere un numero di persone necessario per compiere la nostra missione, che non potrebbe essere portata a termine senza la condivisione

Ogni giorno veniamo bombardati da testi, immagini e siti web apparentemente innocui, messaggi che sembrano provenire da servizi che utilizziamo quotidianamente (slide).

Quante volte alla settimana ricevete comunicazioni dalla vostra banca? Quanto spesso vi viene richiesto di aggiornare la vostra anagrafica? O quante fatture vi vengono inviate dal vostro operatore telefonico?

Vi sentite fortunati e avete sempre sognato di ricevere due biglietti gratis per un weekend lontano dallo stress, magari da passare al mare in compagnia della vostra dolce metà? Ma qualcuno, in questa sala, ha mai vinto un viaggio? O ereditato milioni di euro da un parente lontano in Africa, semplicemente rispondendo a una e-mail o compilando un modulo? Niente è come sembra, niente è come appare, perché niente di tutto ciò è reale, canterebbe Battiato.

Questi sono i casi ordinari di phishing, ovvero quella tipologia di truffa che si consuma all’interno della vostra vita digitale (WhatsApp, Messenger, Twitter, e-mail, etc.).

Una campagna di phishing si porta a compimento in pochi minuti (slide): ricevete una e-mail apparentemente innocua, se siete fortunati la stessa verrà bloccata e finirà in SPAM. Altrimenti, correte il rischio di consegnare nelle mani di totali sconosciuti informazioni riservate sul vostro conto: i codici di accesso alla banca, le informazioni complete sulla carta di credito, nome utente e password della casella di posta o dei vostri profili social.

Un altro metodo consiste nel ricevere un allegato infetto (malware). Una volta aperto, equivarrà ad aver consegnato le chiavi di casa a un perfetto sconosciuto, che da quel momento potrà visionare in tempo reale tutto quello che digitate. Apro una piccola parentesi: questo può succedere su tutti i vostri dispositivi: cellulari, tablet, PC tradizionali. Non esiste marchio che sia immune da questi attacchi. Gli unici accorgimenti possibili sono: tenere aggiornati i propri dispositivi, essere vigili quando si aprono gli allegati o vengono richieste informazioni, specie se provenienti da servizi che non abbiamo mai sottoscritto.

Vi sarà sicuramente capitato di spendere del tempo sui social network (Instagram, Facebook o Twitter). Alzi la mano chi non ha un account in nessuno di questi servizi. I profili finti non valgono. :-)

A volte non serve nemmeno condurre una campagna di phishing. Abbiamo tutti un amico ingenuo (o inconsapevole) che pubblica sui social tante informazioni sul proprio conto: l’hotel dove pernotta, la scuola della figlia, il periodo della prossima vacanza (e di conseguenza quando la casa sarà vuota). Informazioni che malintenzionati possono utilizzare nella vita reale.

Ma ci sono altrettanti “malintenzionati digitali” che vanno a nozze con una di queste situazioni (slide). Prendiamo ad esempio le fotografie delle carte di imbarco puntualmente pubblicate su Instagram: possono accedere alle informazioni del vostro volo, ristampare il biglietto o usare direttamente il codice sulla foto per accedere a zone sensibili dell’aeroporto, o persino rubarvi le miglia. :-)

O alle carte di credito pubblicate sui canali social. Sì, anche quelle. Non mi credete? (slide)

Fatemi un favore: non fatelo anche voi!

E se una di queste situazioni vi è familiare, abbiamo un problema: (spiegazione problematiche password in chiaro o scritte su post-it, password più comuni, password univoche / scelta di password deboli o combinazioni facili da digitare).

Cosa fare, quindi?

  • Ogni singolo servizio deve avere una password diversa (menzione e slide, Have I Been Pwned?)
  • Aggiungere un secondo livello di autenticazione (2FA/MFA): con la verifica in due passaggi puoi proteggere meglio il tuo account. Dopo averla configurata dovrai accedere al tuo account con due passaggi usando: 1/ Qualcosa che conosci (la tua password) 2/ Qualcosa che possiedi (ad esempio il telefono o un token di sicurezza)
  • Utilizzare una applicazione (password manager) che permette di salvare le proprie chiavi di accesso in maniera sicura e di generare password complesse (non quindi il nome del vostro cane) senza doverle memorizzare
  • Applicare tutti gli aggiornamenti disponibili (PC, cellulare, televisore o persino la vostra auto)
  • Avere una o — ancora meglio — più copie dei propri dati, meglio se su supporti diversi. Fare un backup non basta infatti per stare tranquilli. Bisogna anche verificare che questi siano andati a buon fine e che non contengano, appunto, errori di memorizzazione.

Grazie per l’ascolto!

Gianluca Varisco

Written by

CISO @arduino. Formerly @ITdigitalteam, @RocketBerlin, @RedHat, @lastminute_com.