Giusi Fasano per il Corriere della Sera
Nella maggior parte dei casi potremmo vincere la guerra, quantomeno avvistare il nemico in lontananza. Invece no, ci scopriamo quasi sempre vulnerabili e sotto attacco quand’è ormai troppo tardi. Perché? Cioè: perché la multinazionale come il medico condotto, il grande ospedale come l’amministrazione pubblica, gli enti governativi o le piccole imprese, ignorano le regole base della cyber sicurezza?
HACKER
Eppure spesso basterebbe scaricare un banale software per proteggersi dagli attacchi informatici. Niente. A volte si rimanda, altre si sottovaluta il rischio, altre ancora si configura il sistema operativo impedendogli gli aggiornamenti automatici o stabilendo che li possa eseguire solto periodicamente quindi lasciando ampie finestre (temporali) aperte alle intrusioni. E poi va detto che ci mettono del loro anche i server, a volte troppo vecchi e non adeguati per poter ospitare sofisticate versioni aggiornate di antivirus.
LE NOSTRE RESISTENZE
PASSWORD
Nel mondo sempre più digitale le vulnerabilità dei sistemi informatici sono ovunque. Ogni virus ha un suo dna, chiamiamolo così: si può identificarlo e bloccarlo ma è anche vero, per dirla con Domenico Cavaliere, che «i cattivi fanno in fretta a crearne uno nuovo perché lavorano insieme. Mentre noi facciamo l’errore di difenderci singolarmente». Amministratore delegato di Emaze, azienda italiana pioniera della cyber security, Cavaliere è convinto, come i suoi colleghi esperti del settore, che tutto ciò a cui stiamo assistendo in questi giorni sia dovuto al fatto che «non si seguono le regole minime di buon senso. Per esempio non si fanno gli aggiornamenti di sistema e non si proteggono le password».
PASSWORD
Motivo? «Diversi» risponde. «Primo fra tutti la tendenza a considerare la sicurezza solo come un costo e non come un investimento. È una questione di fondo, culturale. C’è una resistenza, una specie di fastidio diffuso nelle persone quando si tratta di scaricare anche minimi aggiornamenti sui telefonini. E le aziende hanno nel 90% dei casi una protezione non adeguata. Se lei ne prende una a caso e fa un’analisi di vulnerabilità vedrà che risulteranno 150-200 punti vulnerabili...». La sostanza è che le buone prassi dicono che si dovrebbe fare in un certo modo ma nei fatti poi si fa in un altro. «Anche i controlli sugli aerei sono molti e rigidissimi ma se si ignorassero ne cadrebbe uno al giorno. E allora perché non impegnarsi tutti per provare a far fronte agli attacchi degli hacker?».
IL CODICE EUROPEO
PASSWORD
Un aiuto potrebbe arrivare dal codice europeo per la protezione dei dati che da fine maggio renderà obbligatorio per aziende di grandi dimensioni (pena multe salatissime) condividere i dati di un eventuale attacco. Perché dalla condivisione si impara a conoscere i virus e a creare gli antivirus. Ma in quel caso si tratta di attacchi già avvenuti e il nostro problema invece è come prevenirli.
Claudio Ferretti, professore di sicurezza informatica all’Università Bicocca di Milano, dice senza mezzi termini che «la sicurezza assoluta non esiste. Ma certo quello degli aggiornamenti è uno dei passaggi chiave per la cybersecurity, come lo sono i backup. A volte si trascurano gli aggiornamenti perché c’è un aspetto dell’operatività della macchina: mentre la aggiorno creo un intoppo all’attività e quindi rischio, rimando. In alcuni casi, come per esempio nei grandi ospedali, posso anche accettare questo ragionamento, ma solo se è fatto con saggezza, con cautela».
IL PROGRAMMA IGNORATO
FURTO DI PASSWORD
Il software per bloccare il virus di questi giorni, secondo il New York Times, è stato messo a disposizione sui server da Microsoft a marzo: è stato allora che la Nsa, l’Agenzia per la sicurezza nazionale americana (che sapeva del difetto da tempo), ha segnalato il pericolo a Microsoft perché gli hacker hanno violato i suoi sistemi. «Da marzo ad oggi c’è stato il tempo di aggiornare, giusto?», chiede il professor Ferretti. Giusto. «E allora perché chi adesso è vittima degli attacchi non si è mosso prima? Perché c’è una resistenza di fondo, una tendenza a sottovalutare».
«La verità», dice Paolo Lezzi, ad di InTheCyber, azienda per la sicurezza informatica, «è che se tutti fossero attenti anche il phishing più avanzato non funzionerebbe». La sua impresa simula attacchi per studiarli. «Simuliamo social engineering, cioè costruiamo email che inducano l’utente a cliccare. Sa quanti sono gli utenti che alla fine cliccano e quindi lo farebbero anche se noi fossimo reali hacker e volessimo carpire i loro dati?». Ce lo dica. «99 su 100».