Appena il 7 Dicembre scorso, il Fondo Monetario Internazionale, sebbene in via ufficiosa. è tornato sul tema della cybersecurity, con un breve ma interessante post dal titolo "Cyber Risk is the New Threat to Financial Stability.
Tra i vari punti trattati, mi sembra che un passo da sottolineare possa essere questo: "Hacking tools are now cheaper, simpler and more powerful, allowing lower-skilled hackers to do more damage at a fraction of the previous cost. The expansion of mobile-based services (the only technological platform available for many people), increases the opportunities for hackers. Attackers target large and small institutions, rich and poor countries, and operate without borders. Fighting cybercrime and reducing risk must therefore be a shared undertaking across and inside countries".
Un quadro non estremamente confortante, acuito dall'affermarsi di modelli quali il CaaS (Crime as a Service), che per il crimine presentano vantaggi in un certo senso analoghi a forme similari di sfruttamento della rete a fini legali (e no, questo CaaS proprio non è il più noto Containers-as-a-Service!).
Costi più bassi, barriere all'entrata ridotte, necessità di "formazione" molto contenuta per chi vuole usare certi strumenti, etc...
Insomma, una "democratizzazione" ed una tendenziale massificazione del crimine.
E del resto, se una volta bisognava studiare un po' di cose per capire il funzionamento di certi apparati, ecco oggi disponibili gratuitamente avanzatissimi sistemi di pentesting che potenzialmente tutti potrebbero utilizzare, solo che vi si applichino un po'. Anzi, forse nemmeno quello, visto che circolano in rete (quella "ordinaria") script anche gratuiti che semplificano ulteriormente le cose (ad esempio, ne gira uno dal nome assolutamente "iconico": "the lazy script"; quanto poi all'affidabilità di tali script, questo è un altro paio di maniche).
Ma, è quasi banale, i rischi non sono tutti lì. La tecnologia è una delle componenti del rischio, ma non certo l'unica.
Un altro, fondamentale, è sicuramente la componente umana. In Italia è deflagrato il caso Leonardo, che è una questione di sicurezza nazionale senza se e senza ma. E alcuni dettagli filtrati purtroppo lasciano l'amaro in bocca.
Faccio riferimento, ad esempio, all'articolo di Gianluca Di Feo, "Cyber security, le scelte da fare", pubblicato su "Repubblica" del 7 Dicembre. Quando nel caso risulta implicato proprio personale cui era stata affidata la vigilanza, le cose si fan complesse. Tanto che la persona avrebbe addirittura partecipato ai primi accertamenti della polizia. E questo nonostante, secondo l'articolo, avesse precedenti specifici.
Ancora, inutile affannarsi a metter su difese informatiche, se poi si lasciano, come sembra sia avvenuto nel caso, copie forensi di archivi critici custodite sì in armadi chiusi a chiave, ma la cui chiave si trova in un cassetto aperto all'interno di un open space.
Ecco, la sicurezza deve essere prima di tutto una cultura. E se alcune recenti iniziative degli organi preposti possono senz'altro essere utili, occorrono una coscienza ed una collaborazione "di sistema" affinché tutto si tenga.
Nessun commento:
Posta un commento