Per molteplici ragioni, le persone generalmente non prendono la sicurezza informatica tanto sul serio quanto la sicurezza fisica
L’autoconservazione è un istinto umano fondamentale. Siamo sempre concentrati sull’evitare danni fisici e questo istinto viene esercitato e affinato fin dalla tenera età. È quasi primordiale, viene tramandato di generazione in generazione. Pensa a tutti gli avvertimenti che hai ricevuto da bambino sul non parlare con estranei, toccare i fornelli caldi e giocare per la strada.
Ma nell’era moderna, è la sicurezza virtuale che pone alcuni dei maggiori rischi. Sebbene ciò influisca principalmente su cose come i conti finanziari, come abbiamo visto nel caso di recenti attacchi contro ospedali e importanti infrastrutture, la sicurezza informatica può anche avere un impatto sulla sicurezza fisica e personale.
Come possiamo cambiare il paradigma e iniziare a trasferire alcune delle stesse sensibilità che tutti noi abbiamo sulla sicurezza fisica alla sicurezza informatica? È una sfida enorme ma che deve essere affrontata. Ovviamente ransomware ed attacchi informatici non stanno scomparendo; andranno solo a peggiorare.
Un falso senso di sicurezza (online)
La discrepanza tra i comportamenti della vita reale e quelli online è spesso significativa. Con quale frequenza vediamo persone fare cose come pubblicare una foto della loro patente di guida su un sito di social media per celebrare il conseguimento di questa tappa o condividere una foto avvisando tutti di essere in vacanza, con il loro indirizzo di casa tra le informazioni dell’account? È così comune che la maggior parte delle persone non batte nemmeno ciglio.
Ora, immagina qualcuno che si alzi in piedi in un ristorante e mostri a tutti la propria patente o il proprio documento oppure che qualcuno vada per strada a gridare dei suoi piani per le vacanze indicando anche il proprio indirizzo di residenza. Lo scenario sembra assurdo.
Eppure, questo è essenzialmente ciò che accade online: le persone pubblicano le loro informazioni private e personali senza pensarci due volte così che il mondo le veda. E gli hacker questo lo hanno notato. Le informazioni sui documenti (compresa la patente di guida) contengono dettagli che possono essere utilizzati per rubare l’identità dell’individuo, hackerare il suo conto bancario o eseguire attacchi di social engineering.
Gli attacchi di social engineering vengono eseguiti tramite azioni come il “phishing” tramite e-mail e messaggi di testo, in cui gli utenti vengono indotti a fornire le proprie credenziali, facendo clic su collegamenti o allegati o visitando siti Web corrotti.
Sicurezza e convenienza: non si escludono a vicenda
Alcuni aspetti della sicurezza informatica sembrerebbero a prima vista indiscutibilmente meno convenienti. L’autenticazione a più fattori (MFA) e la necessità di ricordare password diverse per ogni sito, app e device diversi possono essere molto fastidio, facendo “perdere tempo” ogni volta che si desidera accedere.
Ma a lungo termine, quello che potrebbe essere percepito come una piccola scomodità può salvare da un sacco di inconvenienti in futuro. Ad esempio è molto più semplice utilizzare un gestore di password e modificarne una sola piuttosto che dover cambiare tutte le password di tutti gli account nel caso in cui una di queste sia stata compromessa.
A proposito di social media
L’uso dei social media comporta una quantità intrinseca di rischio. Anche se la cosa più sicura da fare sarebbe non usare affatto i social media, anche questa non è soluzione per una serie di motivi. Molte persone lo usano per lavoro e per altre persone, specialmente per gli adolescenti, è una componente essenziale delle loro interazioni sociali e di comunicazione.
Ma ci sono modi per usarlo in modo molto più sicuro. Questi includono assicurarti di utilizzare tutte le protezioni e le impostazioni della privacy offerte da ogni strumento o piattaforma di social media e pensare attentamente a quali informazioni stai pubblicando. Tutto ciò che include dettagli personali come indirizzi di casa, compleanni e informazioni finanziarie dovrebbe essere evitato: non c’è da meravigliarsi se di recente abbiamo visto un’ondata di avvertimenti che dicevano alle persone di non pubblicare il QRCode della vaccinazione contro il COVID-19.
Cambiare il paradigma
Chiaramente, ciò che serve è un cambiamento di mentalità per trasformare le migliori pratiche di sicurezza informatica in abitudini standard, in modo molto simile come abbiamo imparato a guardare in entrambe le direzioni prima di attraversare una strada o chiudere a chiave la porta di casa.
E questa è la domanda da un milione di dollari: come lo facciamo effettivamente? Certamente non cambierà dall’oggi al domani, ma ciò non significa che sia impossibile.
Il primo passo è l’educazione. Tutti dovrebbero e possono imparare a praticare la sicurezza informatica di base. Una buona sicurezza non è solo responsabilità del personale IT o di chi si occupa della sicurezza in azienda. I passaggi da considerare includono:
- Creare password più sicure: non utilizzare nomi, dettagli personali (come il compleanno) o dettagli aziendali per creare password. Combinazioni casuali di lettere maiuscole e minuscole, numeri e simboli creano le password più efficaci. Inoltre, dovrebbero contenere almeno dieci caratteri.
- Segui un corso di base: molte aziende, tra cui Cyberteam, forniscono formazione sulla sicurezza informatica aziendale. Tramite servizi come l’Academy molti datori di lavoro forniscono questa formazione e le informazioni apprese durante le lezioni possono applicarsi sia nella vita lavorativa che in quella personale.
- Insegnare la sicurezza fin dalla giovane età: dato che gli studenti più giovani non devono preoccuparsi di molte delle complessità della sicurezza informatica, come quello delle scegliere delle password adeguate o di mettere al sicuro il proprio documento, ci sono dei fondamenti che possono essere insegnati anche ai più giovani come ad esempio l’evitare la condivisione delle proprie foto o altri dati personali (come indirizzo di casa o dati sulla famiglia) sui social network.
Come quando da piccoli ci insegnavano a non “parlare con gli sconosciuti“ dovremmo inculcare ai più piccoli il pericolo “parlare con i cyber sconosciuti“. Sono disponibili risorse come quelle presenti sul sito “Bullismo No Grazie” per fornire una guida sulla sicurezza informatica adeguata all’età che può aiutare a gettare le basi per gli anni a venire. - Conoscere i rischi: comprendere le implicazioni ed i potenziali rischi che possono derivare dai social media e dall’attività online è fondamentale per comprendere perché è necessario prendere sul serio la sicurezza informatica.
- La fiducia: il mondo online di oggi dovrebbe avere da parte nostra “zero fiducia”. Proprio come quando uno sconosciuta bussa alla porta di casa chiedendo di entrare.
- Internet come un luogo sconosciuto: dovremmo iniziare a considerare l’uso di internet come ad un viaggio. Ad esempio, quando si visita un posto nuovo, sconosciuto, generalmente si fa più attenzione di quando si sta a casa e si fa più caso ai potenziali pericoli. Una mentalità simile deve essere esercitata quando si “esce” virtualmente di casa (per il mondo digitale).
Nativi digitali e nativi di sicurezza
Per molteplici ragioni, le persone generalmente non prendono la sicurezza informatica tanto sul serio quanto la sicurezza fisica. Dobbiamo ancora evolverci al punto tale da rendere la sicurezza informatica uno dei nostri istinti primordiali. Tuttavia, la realtà è che come leggiamo dalle cronache giornaliere la sicurezza informatica e la sicurezza fisica possono essere intrinsecamente collegate.
Si sente spesso il termine “nativo digitale”; è il momento di creare “nativi di sicurezza“. Le vecchie abitudini sono dure a morire, ma muoiono, ed in questo caso devono farlo. Ecco perché è così importante creare forti abitudini di sicurezza informatica e iniziare il processo di istruzione anche ai più giovani.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!