Nessuno è più al sicuro sul web. I cracker, hacker che utilizzano le proprie competenze informatiche per arrecare danno ai propri bersagli e trarne profitto, possono intrufolarsi potenzialmente ovunque.
Eppure, i responsabili delle aziende sono più che pronti a togliere la sicurezza, se questo dovesse portare a più profitti. In altre parole, ci salva solo il fatto che investire in sicurezza informatica è un eccellente modo per prevenire perdite finanziarie anche ingenti. Se così non fosse, saremmo in una situazione grave.
Nel corso degli anni, l’incremento del numero di servizi offerti dal web è andato di pari passo con una crescita esponenziale delle minacce. Ogni nuova frontiera aperta in rete e dalla rete è stata ed è tuttora un fertile terreno di coltura per crimini informatici di vario genere.
Secondo il Rapporto Clusit del 2021, solo nel 2020 gli attacchi informatici gravi sono stati ben 1871, un dato che segna complessivamente un incremento del 66% rispetto alle stime dell’anno precedente (via webforma).
Ad essere oggetto di questi attacchi sono tanto le persone che le aziende, ma ciò a cui i cracker mirano non è più il denaro, quanto piuttosto le informazioni, la nuova valuta del nostro decennio. Dimenticatevi le spettacolari rapine in banca che avete visto su grande schermo dunque.
La realtà di oggi supera di gran lunga la finzione di ieri: al posto dei lingotti o degli iconici sacchi in tessuto con sopra stampato il simbolo del dollaro, i caveau del ventunesimo secolo contengono informazioni, dati e trend.
Niente più scassi alla mordi e fuggi, con gli inseguimenti rocamboleschi della polizia e i travestimenti più improbabili. Le grandi rapine di oggi avvengono a distanza e seduti in poltrona, da postazioni non troppo diverse da quelle che abbiamo in casa e in ufficio.
Il 10 giugno del 2020 ad esempio, un gruppo di cracker è entrato nei server dell’Electronic Arts Inc. (meglio nota ai giocatori come EA) e ha rubato il codice sorgente di FIFA 21 e il Frostbite Engine. Risultato? 780 GB di dati trafugati e poi rimessi in vendita ai migliori offerenti.
Nello stesso mese, l’Università della California si è vista recapitare un ransomware da ben $3 milioni, con i negoziati che si sono chiusi alla cifra di $1.14.
Facebook ha dichiarato di aver subito un attacco informatico che ha spolpato l’azienda dei dati di oltre 530 milioni di utenti, con informazioni sensibili quali nomi, date di nascita e situazioni sentimentali che sono state poi pubblicate online nell’aprile 2021. La lista di attacchi si potrebbe allungare praticamente all'infinito.
La sicurezza costa tanto, quindi non la metto
Ma fino a che punto queste minacce sono concretamente evitabili? Esistono dei margini di prevenzione che possano se non altro limitare il rischio di simili eventi? Detto altrimenti: in che misura queste brecce nella sicurezza sono prevedibili, e fino a che punto i database delle grandi aziende sono disposti a proteggere i nostri dati? La risposta non vi piacerà.
Secondo un recente sondaggio F5 condotto su un campione di 1500 responsabili dei servizi IT, la stragrande maggioranza di quest’ultimi (76%) sarebbe disposta a disattivare le misure di sicurezza informatica, se ciò significasse un incremento di prestazioni e dunque di profitti per la propria azienda.
L’esposizione alle minacce non è dunque un fatto accidentale, qualcosa di imprevisto che cade semplicemente dal cielo, ma un rischio che molte aziende sono disposte a correre in nome dell’imperativo al profitto.
Secondo il vecchio paradigma della sicurezza informatica, le risorse all’interno del perimetro di una rete aziendale dovevano essere ritenute affidabili a priori. I server si impegnavano a garantire la tutela dei dati del proprio bacino di utenza. Investendo sulla prevenzione del rischio, ciascuna azienda si riteneva responsabile di eventuali incidenti hacker.
Oggi invece, il paradigma è cambiato e il concetto di sicurezza ne è uscito completamente stravolto. La fiducia degli utenti nei confronti delle aziende a cui forniscono i loro dati è vista come un fattore di vulnerabilità esente da qualsiasi garanzia di controllo.
Certo, viviamo in un mondo sempre più digitalizzato, in cui la natura della forza lavoro è ogni giorno più dispersa e remota e in cui le aziende intrattengono tra loro rapporti di crescente collaborazione.
Tuttavia, non dobbiamo lasciarci abbindolare troppo dal mito della digitalizzazione. Non è che la sicurezza sia diventata oggi qualcosa di intrinsecamente irrealistico. Piuttosto, nella maggior parte dei casi, sono le aziende stesse a fare a esimersi dal tentativo di rendere la propria rete affidabile.
Semplicemente, la sicurezza è diventata un investimento prorogabile, se non persino opzionale. Perché prevenire i rischi quando si possono risparmiare risorse tentando semplicemente di gestirli?
Non è un caso che il nuovo paradigma della sicurezza sia stato definito Zero-trust e che il suo mantra sia “non fidarsi mai”. La sicurezza Zero-trust si baserebbe sull’assunto che non esista un perimetro di rete affidabile e completamente protetto. Anziché basarsi su un protocollo di sicurezza univoco, l’approccio Zero-trust inviterebbe a fare affidamento su più metodologie variabili e parziali.
Zero-trust significa "zero fiducia" ma non significa che bisogna vedere un criminale in ogni altra persona. Semplicemente, fidarsi significa esporsi anche agli errori in buona fede, alle distrazioni, oltre che ovviamente alla malafede.
Si tratta d cambiare l'equilibrio tra buone intenzioni e capacità che regola le relazioni umane: se sono per strada, ho fiducia che il guidatore nell'altra corsia non mi verrà addosso, e so benissimo che ne è capace. In autostrada questa capacità è rimossa dallo spartitraffico, ed ecco il modello zero-trust.
Di conseguenza, la porzione di superficie effettivamente protetta risulta estremamente ristretta, in quanto tende a tutelare solo le risorse ritenute critiche.
Venendo dritti al punto, non esistono più dispositivi sicuri. Ma questa generale vulnerabilità della rete non è da attribuire a qualche genere di oscuro imprevisto. È una scelta cinica e razionale, ponderata in termini di costi-benefici.
Quasi tutti gli intervistati della ricerca (96%) hanno dichiarato di aver adottato approcci Zero-trust, ma circa la metà di loro (44%) ha ammesso di ricorrere a politiche di sicurezza oggettivamente incoerenti.
Anche con l’implemento di nuove e più potenti Intelligenze Artificiali, molte aziende non disporrebbero comunque del personale e delle conoscenze adeguate a identificare i dati rilevanti in maniera corretta e farne buon uso.
Poche risorse e pochi investimenti sono una maniera molto efficace di avere un migliore bilancio a fine anno. Che è esattamente quanto accaduto con il Ponte Morandi, crollato il 14 agosto 2018 proprio perché - come confermato recentemente dai giudici - si è trascurata consapevolmente la manutenzione per ottenere maggiori profitti finanziari.
