Minaccia cyber: una profezia che si autoavvera?

La minaccia cyber, nelle sue varie sfaccettature, sembra essere inarrestabile. E a dispetto, purtroppo, di tutte le soluzioni tecnologicamente avanzate che vengono immesse sul mercato. Nel recente aggiornamento del Rapporto Clusit (vedi l'articolo di Bancaforte) presentato al Security Summit di Verona del 2 ottobre, il quadro che ne emerge non è certo rassicurante, dal momento che a rischio di attacco sembrano essere tutti i servizi erogati in rete, dunque anche quelli che vengono utilizzati con una certa assiduità, come ad esempio i social network.

Stando ai dati che si riferiscono ai primi 6 mesi del 2015, si evince come il numero degli attacchi informatici sia decisamente in aumento, confermando la tendenza del 2014, e coinvolgendo in gran misura le realtà del settore sanitario. Gli altri ambiti particolarmente attrattivi sono quelli della Grande Distribuzione, Telecomunicazioni, Automotive e Informazione & Entertainment (quest'ultimo include, tra le altre, testate online, piattaforme di gaming e di blogging). Di notevole interesse per i cybercriminali sono le infrastrutture critiche, nei confronti delle quali il numero degli attacchi è decisamente aumentato: dai soli 2 attacchi individuati nella seconda metà del 2014 si è passati a 20 attacchi nel primo semestre del 2015. Da rilevare, inoltre, che per la prima volta si registra una crescita considerevole di incidenti (oltre il 50%) che hanno riguardato i servizi online e cloud.

Ma chi può dire cosa sia più o meno grave? Poiché tutti siamo potenziali vittime (dal singolo cittadino alle più grandi organizzazioni), v'è da chiedersi: c'è qualcosa che possiamo ancora fare? Indubbiamente si, ma per seguire una strada ragionevole occorre un cambiamento di approccio culturale. Da qualche anno a questa parte, gli esperti di sicurezza dipingono, giustamente, quadri sempre più preoccupanti. Certamente, alcuni eventi non sono facilmente prevedibili, e come dice il saggio Nassim Taleb, possono essere studiati solo dopo il loro accadimento.

Sarebbe però auspicabile far tesoro dell'esperienza di molti anni. Altrimenti, continuare a dire di essere "preoccupati" sarà come parlare di una profezia che si autoavvera, utilizzando un concetto introdotto dal sociologo Robert Merton, cioè "una supposizione o profezia che per il solo fatto di essere stata pronunciata, fa realizzare l'avvenimento presunto, aspettato o predetto, confermando in tal modo la propria veridicità".

Siamo pronti a rivedere concretamente le strategie di intervento? Bisogna guardare in faccia la realtà: nel corso del tempo la situazione non è certo migliorata. Lo dimostra il numero sempre maggiore di convegni e seminari che continuano a occuparsi di sicurezza informatica e di minacce. Siamo sempre più di fronte a un'asimmetria tra attaccanti e vittime che non riguarda solo le capacità organizzative e le risorse disponibili e a buon mercato su cui possono contare i cybercriminali. L'asimmetria è anche informativa: i criminali sanno dove andare a colpire, conoscono bene le vulnerabilità e ne approfittano in tutti i modi possibili. Ma soprattutto continua ad esserci un'asimmetria culturale: i cittadini e le organizzazioni, nella media, non hanno consapevolezza della capillarità dei rischi di sicurezza cyber.

Occorre fare una profonda riflessione su quanto si è fatto (e detto) finora e quanto ancora si può fare: è tempo di ascoltare e di ascoltarsi.

(il report può essere richiesto gratuitamente qui).

Oltre all'all'articolo di Bancaforte, ecco altri riferimenti per approfondire i dati Clusit

 (Isabella Corradini, Centro Ricerche Themis)