I perchè della nostra rubrica ?

Siamo al nono articolo della nostra rubrica le #Diecidomande di ProtezioneCyber.

Oggi vogliamo spiegare perché abbiamo creato questa rubrica. L’obiettivo che ci prefiggevamo era quello di fornire alcuni suggerimenti pratici sulla vita informatica quotidiana delle persone, sia per quanto riguarda l’ambito personale sia quello lavorativo.

Noi non siamo informatici e come avrà notato un puntiglioso esperto della materia, i nostri articoli non erano pezzi di approfondimento ma articoli divulgativi con un obiettivo di praticità. Non solo, il vero scopo della nostra rubrica era soprattutto l’aumento dell’attenzione e della consapevolezza.

È un automatismo difficilmente contrastabile: ci adagiamo sui cambiamenti. Attorno a noi avvengono mutamenti radicali, sostanziali modifiche alle nostre abitudini che impattano con forza sulle nostre vite. Ma noi, indaffarati come siamo nelle faccende quotidiane, assorbiamo ogni novità senza prestarci grande attenzione. Questo è quanto avvenuto negli ultimi anni in merito alla digitalizzazione delle informazioni e delle nostre vite. Una buona parte di quanto per noi ha valore è diventato virtuale, e noi abbiamo osservato questo cambiamento in maniera passiva, con un’attenzione minima e neanche tanta meraviglia.

A fronte dunque di uno spostamento verso l’immateriale di quanto ha valore (sia per la sfera personale che professionale), l’attenzione alla preservazione di questo valore non è stata innalzata in maniera sufficiente. Sia i privati cittadini che aziende riversano nel digitale una quantità di informazioni impressionante ma sovente non si tutelano.

I motivi che ci portano a sottovalutare le eventuali conseguenze di una problematica informatica sono diverse: un certo fatalismo che ci porta ad affidarci alla sorte piuttosto che a tutelarci seriamente e soprattutto la sensazione che le nostre informazioni non siano di interesse per alcuno.

Per proposito del primo debiasing1 affidarsi alla sorte non può mai essere una scelta saggia (specialmente quando ne va della propria vita professionale o dei propri affetti). In merito allo scetticismo sull’appetibilità delle nostre informazioni è una credenza dura a morire ma che oggi non ci è più concessa.

Per quanto riguarda le informazioni della singola persona, di molto appetibile ci sono i numeri di carta di credito e altri dati di accesso a conti bancari, etc. Ma non solo: tutto ciò che caratterizza la nostra identità digitale è materiale ricercato in quanto, il furto dell’identità digitale, permetterà al malintenzionato di turno di operare con il nostro nome commettendo le sue malefatte. Il nostro io digitale può essere lo strumento che garantisce il cammuffamento del criminale a nostre spese.

Se trattiamo invece l’ambito delle informazioni professionali, dal singolo professionista alla multinazionale, è chiaro che la riservatezza delle informazioni è di vitale importanza. E anche in questo caso sentiamo spesso gli imprenditori sostenere che la propria azienda non potrebbe essere soggetta ad un attacco in quanto non in possesso di informazioni tali da giustificare l’essere presi di mira. Errore gravissimo!

Gli attacchi hacker oggi sono nella maggior parte dei casi attacchi massivi, similmente alla pesca con la dinamite, in cui sia spara nel gruppo sperando di fare il numero di vittime più alto possibile. In una logica di questo tipo non sarà presa di mira la grande azienda, ma un numero il più possibile alto di piccoli soggetti. E una volta subito l’attacco informatico anche la piccola azienda poco legata al digitale potrebbe trovarsi in seria difficoltà. Anche se il core business è di tutt’altro tipo (facciamo l’esempio di una falegnameria con un ufficio vendita composto da qualche impiegato e alcuni computer) il blocco dei dati porterà sicuramente costi e potenziali problemi all’azienda. Non si tratterà probabilmente del blocco produttivo che patirebbe un’azienda 4.0 in caso di attacco hacker, l’attività di taglio della legna potrà procedere lo stesso. Ma la perdita dei dati dei clienti, degli excel utilizzati per la contabilità e altro, sarà certo un danno in tempo e denaro non indifferente.

Ridurre il rischio informatico è questione anche da poco in quanto a costi (per lo meno per le piccole aziende), ma non è semplice in quanto a mentalità e procedure. La comodità di avere una password per tutti gli account è forse irresistibile, ma, sia per il privato che per l’imprenditore, è un rischio che non si può pensare di correre. Una volta hackerato un singolo account il criminale informatico avrà in questo modo accesso all’intera vita personale o professionale della persona; uno scenario da incubo!

Allo stesso modo i back-up sono oggi per le aziende uno strumento assolutamente indispensabile, non a caso reso obbligatorio dalla nuova normativa privacy GDPR 2016/679 (e prima dalla 196/2003).

La differenza nel livello di tutela che andrà implementata per quanto riguarda la vita professionale rispetto a quella personale è forte, ma a noi preme sottolineare che l’intero modus operandi dovrebbe cambiare. Certamente l’azienda dovrà dotarsi di un firewall, segmentare la rete, avere antivirus di alto livello, automatizzare il ricambio di password, etc. Ma, anche se con un livello di profondità molto diverso, lo stesso approccio deve essere messo in atto dal singolo cittadino.

Questa maggior attenzione alla tutela virtuale è d’altronde l’obiettivo ultimo della normativa GDPR. Le maggiori tutele che il soggetto giuridico deve mettere in atto rispetto alle informazioni dei cittadini che ha in mano, sono state studiate per aumentare la fiducia dei singoli nel mercato digitale. Un cittadino più fiducioso del fatto che i suoi dati siano trattati con le dovute cautele, usufruirà con più serenità e con maggior frequenza dell’economia digitale.

Abbiamo dunque voluto in queste 10 settimane dare anche noi il nostro contributo all’aumento della consapevolezza di un rischio che è tanto intangibile quanto reale.

Il prossimo articolo sarà l’ultimo. Nell’ultimo capitolo di questa nostra piccola rubrica tratteremo quello che è il core business di ProtezioneCyber: la cyber insurance. Dunque la risposta del mondo assicurativo al rischio informatico.


1 Deviazione da comportamento ottimale