PRIVACY E CAMPEGGI E CENTRI ESTIVI
29 Giugno 2021Facebook e Instagram contro i bambini.
31 Ottobre 2023Ciao a tutti.
Guarda il video:
Vedi il video: https://www.youtube.com/watch?v=1BvjVcl16sQ
Oggi parliamo ancora di cybersecurity.
Ho avuto modo anche quest’anno di leggere il rapporto annuale del CLUSIT, sulla sicurezza informatica in Italia.
Il CLUSIT è un’associazione con sede presso l’università statale di Milano che riunisce il GOTA della cybersecurity e della data protection italiana ed ogni anno stila un report su tutti gli attacchi informatici subiti dagli enti pubblici e dalle imprese italiane.
Il rapporto 2023 sull’anno 2022 è veramente allarmante.
La stessa prefazione del presidente Gabriele Faggioli è eloquente: “I dati che leggerete non sono positivi”. Così inizia…
In estrema sintesi vi riporterò solo alcuni dei dati raccolti nel corposissimo rapporto (quasi quattrocento pagine).
L’Italia, tra i 27 paesi dell’unione europea si è classificata al ventesimo posto per livello di digitalizzazione, è terzultima per popolazione con competenze digitali almeno “di base”, mentre è quartultima per competenze digitali avanzate.
Nel 2022, rispetto al 2021, gli attacchi sferrati con successo dai criminali informatici che hanno avuto effetti gravi o addirittura critici ha subito un aumento del 150% passando da 70 attacchi gravi portati a termine nel 2021 a 175 attacchi gravi o critici portati a termine con successo nel 2022.
Le due principali categorie di vittime di questi attacchi sono le pubbliche amministrazioni, che rappresentano un quinto degli attacchi e il settore manifatturiero che rappresenta un altro venti per cento..
Sì, avete capito bene: il settore produttivo e manifatturiero!
Questo è dipeso dalla fortissima spinta che la pandemia e il c.d. smartworking hanno impresso alle PMI che, evidentemente, si sono fatte trovare impreparate dinnanzi a questa rivoluzione.
Altro dato veramente allarmante, ma dirò di più, come dice il rapporto clusit, veramente sconsolante, è il fatto che il 64% degli incidenti ha come causa non tanto sofisticate tecniche di attacco hacker ma azioni maldestre o degli utenti o del personale ICT.
Il che è a dire che ancora non sappiamo gestire correttamente i nostri account, non sappiamo tenere aggiornati i nostri dispositivi e i nostri server e servizi, clicchiamo incautamente su cose sbagliate nelle email. Problemi che conosciamo dal millennio scorso e sui quali non abbiamo ancora raggiunto alcuna maturità.
Le aziende – ma non solo le aziende, perché gli attacchi e le truffe informatiche hanno colpito anche tantissimi cittadini – vivono con grandissima superficialità il problema.
Non vengono effettuati i corretti investimenti, né in tecnologia né in formazione delle persone, che continuano ad essere sempre l’anello debole della catena.
Ma perché nel 2023 ancora la nostra realtà italiana affronta le sfide del futuro in questo modo?
Ho avuto modo di leggere sulla rivista online Agenda Digitale, un interessantissimo articolo del 2021, scritto da Daria Grimaldi, docente di psicologia sociale delle comunicazioni di massa, Università di Napoli Federico II, che mi ha davvero illuminato.
Lo trovate qui: https://www.agendadigitale.eu/sicurezza/privacy/cybersecurity-alla-sfida-cognitivista-ecco-i-bias-che-ci-rendono-insicuri-digitali/
L’autrice ci spiega che di fronte al problema della sicurezza informatica, o meglio della nostra insicurezza informatica, i decision maker delle imprese italiane si pongono con un approccio che non ha nulla di razionale.
Non che gli imprenditori italiani o i dirigenti delle piccole e medie aziende italiane siano dei pazzi, ma l’autrice ci spiega che anche in questa materia, come in altre materie, entrano in gioco per tutti noi, compresi i decision maker, alcuni pesanti bias cognitivi che, però, in questo settore, producono effetti devastanti
Ve li sintetizzo.
In generale si attiva il c.d. bias del presente, quello che Daniel Kahneman ha definito come la propensione delle persone a correre il rischio di una grossa perdita nel futuro, piuttosto che accettare oggi una perdita reale molto più piccola.
Ad esempio: preferisco accettare il rischio di beccarmi tra due o tre anni un criptolocker che mi “pianta” l’azienda per tre settimane, con perdite da centinaia di migliaia di euro, anziché spendere qualche migliaio di euro oggi per ridurre quel rischio.
Questo bias dipende a sua volta da un altro bias, il bias dell’ottimismo che si traduce nella tendenza degli esseri umani a sottostimare la possibilità che eventi negativi possano riguardarci in prima persona
Questo bias nasce per combattere e ridurre lo stress e la depressione, ma nella misura in cui mi fa abbassare anche le precauzioni può diventare pericolosissimo.
Se continuiamo a pensare che gli hacker non ci attaccheranno mai non attiveremo alcun monitoraggio del nostro sistema, non faremo controlli e ci faremo trovare vulnerabili nel caso di attacco.
Prodotti tipici di questo bias sono frasi come:
- Ma chi vuoi che sia interessato ai miei sistemi?
- Prima di me gli hacker colpiranno pure la FIAT o la TELECOM?
- In fondo io non ho dati importanti ed appetibili per gli hacker.
- Ecc.
Allo stesso tempo si attiva il
bias del pregiudizio egoistico
per cui il soggetto attribuisce la “colpa” di ciò che gli accade in prima persona a fattori ambientali o contestuali, come se si trattasse di un fulmine a ciel sereno che nessuno può prevedere.
In caso di attacco, quindi, l’imprenditore italiano medio è portato a sminuire le sue responsabilità attribuendo al virus, all’hacker o all’incompetenza del proprio consulente IT, una potenza superiore alle possibili attese.
Come un fulmine che non può prevenire, così l’attacco hacker che mette in ginocchio l’azienda è evento assolutamente superiore alle nostre possibilità.
Questo accade in maniera ancora più sistematica se abbiamo un’elevata sensazione di
controllo personale del rischio, che è un altro bellissimo bias, tipico dello spirito smargiasso italiota, il “GHE PENSI MI”, perché l’idea di avere capacità per gestire la situazione ci fa percepire meno grave il pericolo, soprattutto se ci siamo esposti volontariamente alla situazione rischiosa
Questo ultimo bias cognitivo, che mi permetto di ridefinire qui come
“bias di onnipotenza”, è a sua volta associato al
bias di conferma
che porta ciascuno ad essere d’accordo con le persone che gli danno ragione e ad evitare individui che la pensano diversamente e lo mettono a disagio perché mettono in crisi il suo modo di vedere e gestire una realtà che, invece, non comprende e non sa gestire.
Le persone tendono a concentrarsi e ricordare le informazioni che confermano o si allineano con le loro convinzioni, mentre scartano o dimenticano le informazioni che si oppongono al loro punto di vista.
Quindi anziché il consulente che evidenzia le nostre “magagne” e ci consiglia di investire per ridurre i rischi futuri, preferiamo quello che minimizza la situazione e ci rinforza nel nostro bias del presente – la tendenza a preferire il risparmio di oggi al fallimento di domani – e al bias del controllo, cioé l’illusione di riuscire a far fronte a situazioni di pericolo che in realtà non so assolutamente gestire.
Ma come uscirne?
Se i bias sono scorciatoie cognitive che il nostro cervello ha sviluppato nel corso dei millenni per far fronte a situazioni dove le decisioni dovevano essere prese in tempi rapidi, ma tendono ad essere spesso errate, nel campo della cybersecurity occorre abbandonare il pensiero intuitivo ed implicito che ci ha condotto dal mondo delle caverne fino ad oggi, per passare ad un approccio analitico ed esplicito.
Un metodo assolutamente eccezionale per affrontare in modo analitico la situazione di un’azienda sul piano della sicurezza informatica e dare a chi deve decidere delle informazioni che gli consentano realmente di discernere compiutamente, è il metodo FAIR (Factor Analysis Information Risk) per la granularità dell’analisi e per il risultato cui conduce, che si traduce in una stima del rischio espressa in termini finanziari e probabilistici, su base annuale, il che consente a chi deve assumere le decisioni di raffrontare quello cyber con altri fattori di rischio finanziario e decidere dove allocare risorse in maniera consapevole.
Se hai l’impressione di rientrare nella situazione che ti ho appena descritto in questo articolo e nel video e hai bisogno di qualcuno che ti aiuti a capire in modo obiettivo e scientifico dove ti trovi, cosa puoi perdere in termini economici da qui ai prossimi 5 o 10 anni, e cosa puoi fare per evitarlo, contattami.
Se sei un’azienda o un professionista e necessiti di consulenza, puoi contattarmi, anche solo per un preventivo, ai seguenti recapiti:
email: info@studiolegalecucci.net
Tel. 054156050
Cell. 3713305150