Mentre il tema della sicurezza dei cittadini in Italia sembra confermarsi tra i più cruciali a livello di sensibilità pubblica e di agenda politica, la protezione dei dati personali non pare essere oggetto della medesima attenzione.
Eppure dovrebbe, se consideriamo l’entità del fenomeno: in Italia negli ultimi otto anni furti di dati e attacchi informatici hanno registrato un incremento del 240% (rapporto Clusit 2018).
Se periodicamente assistiamo al tentativo di regolamentare in modo sistematico ed efficace la gestione e tutela dei dati, come nel caso del nuovo regolamento europeo GDPR, sicuramente alla base del problema c’è una forte resistenza culturale nel considerare la portata e le ricadute della rivoluzione informatica sulle nostre vite e sui processi economici.
Una mentalità che stenta a cambiare
Le resistenze riguardano tanto il singolo individuo, quanto le istituzioni e le imprese:
- si fatica ad abbandonare vecchie abitudini non sicure – un esempio tra tutti è il ricorso a password facili da ricordare, riutilizzate in più situazioni;
- si sottovaluta il rischio di subire un attacco – ci si pensa protetti dall’ipotetica facilità di “nascondersi” all’interno di una rete di connessioni e dati sempre più sterminata;
- si stenta a fare quel salto di paradigma che considera la protezione della propria infrastruttura informatica e dei dati che vi risiedono alla stregua della difesa dei propri beni materiali – regolamenti, procedure, ricorso a professionisti vengono spesso vissuti come meri impedimenti, cavilli burocratici, costi inutili e infruttuosi.
La mancata percezione del pericolo
Si pensa di non avere nulla d’importante da proteggere, si attua il minimo indispensabile richiesto dalla legge, si ricorre a metodi, strumenti, prassi poco efficaci o improvvisate.
Nessuno è escluso, e a tutti i livelli, prima o poi, ci si ritrova a chiudere la stalla dopo che i buoi sono scappati, e solo allora si scopre il valore di ciò che non si è voluto proteggere al meglio e l’entità del danno subito.
Ogni anno si rincorrono esempi di scoperte vulnerabilità in contesti impensabili, anche di “eccellenza”, come sappiamo che ogni anno si consumano attacchi informatici con furti di informazioni riservate e dati di utenti, non resi pubblici da aziende che temono un impatto negativo sulla propria immagine.
Basterebbe citare un esempio fortunatamente solo dimostrativo, quando durante un convegno, Gianni Cuozzo, amministratore di una società specializzata in cyber-risk, ha dimostrato l’estrema debolezza dei sistemi di protezione prendendo il controllo di una petroliera in navigazione nell’Adriatico. Gli è bastato individuare una porta del sistema non protetta da firewall usata per il tracking satellitare della nave e scoprire al primo tentativo la password di protezione: 1234.
E’ facile intuire quali danni potrebbe comportare il controllo di navigazione di una petroliera nelle mani sbagliate.
Ma ci sono esempi ben peggiori e inquietanti per la portata del danno potenziale, come è avvenuto al Pentagono, il Dipartimento della Difesa USA, quando durante un controllo da parte del Government Accountability Office (GAO), molte password di amministrazione dei software di controllo dei sistemi di armamento sono risultate password predefinite, in grado cioè di essere trovate da qualsiasi utente attraverso una ricerca su Google.
Google stessa non è stata risparmiata, quando per responsabilità di un suo dipendente, che non aveva protetto una pagina di amministrazione, ha consentito a uno studente indiano di accedere a un satellite televisivo, studente che oltretutto non poteva certo essere accusato di hackeraggio, essendo il sistema stesso non protetto da password.
Occorre quindi non sottovalutare a nessun livello l’importanza di software anti-intrusione, di personale specializzato in grado di attuare al meglio le procedure e le prassi relative alla sicurezza, di affidarsi a professionisti costantemente aggiornati e capaci di sviluppare soluzioni integrate di protezione dei proprio patrimonio informatico.
Approfondimenti: