Sulla cybersecurity piovono lacrime di coccodrillo

Sulla cybersecurity piovono lacrime di coccodrillo

Tutta colpa di quella consapevolezza così debole circa l’imprevedibilità degli “eventi di coda” e l’assenza di una cultura orientata all’analisi e gestione dei rischi.

Zygmunt Bauman, uno dei più lungimiranti sociologi della nostra epoca, venuto a mancare di recente, asseriva: non siamo ciò che vogliamo apparire, siamo ciò che facciamo. E’ un monito che dovremmo tenere maggiormente in considerazione, anche quando si parla di cyber security. In quest’ambito, professionisti, aziende, associazioni, università e Stato lavorano (più o meno) in sinergia per arginare gli ingenti danni economici, ed in alcuni casi psicologici e sociali, derivanti dalla perdita di disponibilità, integrità, autenticità e riservatezza delle informazioni.

Per contrastare il fenomeno in crescita, vengono incessantemente promosse le migliori pratiche per garantire un adeguato livello di sicurezza. Ne è la riprova l’indiscusso incremento delle competenze tecniche e manageriali al riguardo, anche per i non addetti ai lavori, per le famiglie (a supporto dei giovani Millenials) e per i cittadini digitali. Eppure le cose invece di migliorare peggiorano.

Non sarà forse colpa dell’incapacità di valutare adeguatamente la possibilità che qualcosa vada storto e le conseguenze che ne possono derivare? Ovvero, è noto quali operazioni compiere, quali accortezze adottare, cosa non fare, per essere al sicuro ma spesso si sceglie di risparmiare tempo o soldi (in investimenti di carattere prioritario): si valuta che un evento nefasto sia praticamente impossibile che accada oppure si ritiene che le conseguenze che ne possono derivare non siano poi così catastrofiche. Quando però il peggio accade – e solitamente lo fa nella sua forma più violenta – il rimpianto diventa in alcuni casi quasi insostenibile; secondo una credenza popolare, proprio come il coccodrillo piange dopo aver ucciso le sue prede.

Il risk management, ovvero il processo di analisi e gestione del rischio, definisce le attività da compiere per valutare accuratamente danni e probabilità di accadimento di quello che, in gergo tecnico, viene definito un incidente. Non a caso, è divenuto nell’ultimo decennio l’elemento cardine di alcune normative di adozione obbligatoria ed esimente, nonché delle principali normative internazionali di adozione facoltativa, pubblicate dall’Organizzazione Internazionale per la Standardizzazione (ISO). In ultima analisi, rappresenta un valido supporto decisionale, in ambito aziendale ma anche nella vita privata, per compiere (o non compiere) scelte ed azioni consapevoli.

Sussistono però due fattori che solitamente deviano il ragionamento verso conclusioni poco precise oppure, a volte, del tutto errate. Il primo riguarda le probabilità (o frequenza di accadimento): quante possibilità ci sono che accada questo, in base a quante volte è avvenuta la stessa cosa nel passato? Nassim Nicholas Taleb, ne il Cigno nero argomenta al riguardo tre importanti postulati:

  1. […] è un evento isolato, che non rientra nel campo delle normali aspettative, poiché niente nel passato può indicare in modo plausibile la sua possibilità.
  2. In secondo luogo ha un impatto enorme.
  3. […] la natura umana ci spinge a elaborare a posteriori giustificazione della sua comparsa, per renderlo spiegabile e prevedibile.

Per spiegarlo in termini più pratici, basti riflettere alla tragedia dell’11 settembre. Quanto era prevedibile che, a distanza di pochi minuti, due aerei colpissero e abbattessero le torri gemelle? Ragione per la quale, le possibilità che un evento accada dovrebbero essere trascurate rispetto alla valutazione delle possibili conseguenze.

Il secondo fattore riguarda la scarsa consapevolezza o pigrizia mentale nel ragionare su due ulteriori elementi. Il primo: l’interazione e sequenzialità di danni di differente natura, potenzialmente tutti provocati da uno stesso evento. Ad esempio, in caso di calunnia verso un professionista, seguono costi legali, possibili perdite economiche legate alla disdetta di contratti in essere, correlate alla diminuzione dei ricavi derivanti dalla stipula di nuovi contratti, oppure relazionate alla capacità di produzione per la perdita di fiducia da parte dei collaboratori. Il secondo: quanto si amplificano nel corso del tempo, al sussistere delle condizioni che li hanno provocati. Cosa succede se un’azienda, vittima di un attacco DDOS (indisponibilità dei servizi informativi) resta ferma per un’ora, due ore, quattro ore, un giorno, una settimana? Di quanto si amplifica il danno economico? Che impatto ha sull’immagine aziendale?

Si ascoltano e leggono le storie più disparate sulla cyber security. Spaziano da scenari di geopolitica mondiale, passando per le vicende di aziende grandi e piccole, fino ad approdare alle questioni più intime della vita privata di bambini, giovani e adulti. Ci sono hacker, criminali e poco di buono (ben addestrati) che influenzano elezioni politiche, supportano attività terroristiche, tentano di compromettere infrastrutture critiche (anche nucleari), irrompono nei sistemi della Pubblica Amministrazione e del privato, spiano, sequestrano files, rubano soldi, puliscono fondi illeciti, a distanza rompono autovetture e, all’occorrenza, anche pacemaker. Uccidono, diffamano, infangano vite, imprese e stati. E ci sono giovani ragazzi (anche poco più che bambini) che imitano, che forzano la mano, osano e poi piangono distrutti dal peso di un marchio indelebile.

Non è semplice sconfiggere o anche solo frenare quest’inarrestabile valanga. E’ silenziosa, imprevedibile e immateriale. Ma le conseguenze che provoca sono reali. Con un po’ d’attenzione consapevole si può fare meglio di così, meglio che piangere lacrime di coccodrillo.