Offline e vulnerabili

Anche coloro che amano vivere completamente disconnessi – senza pc, senza cellulare, senza Internet, (personalmente non conosco neanche una singola persona sotto agli ottant’anni che viva così) – sono inesorabilmente esposti ai pericoli caratteristici del “cyber”. In un mondo basato sull’interdipendenza, e dove la pervasività dell’informatica è già smisurata e con forti tendenze alla crescita, i cyber-problemi degli altri diventano anche i nostri.

I nostri dati sono oggetto di trattamento da parte di centinaia di soggetti, che neanche conosciamo. I servizi di cui godiamo – inclusi quelli essenziali come acqua, corrente elettrica, gas, fornitura di cibo – sono gestiti e spesso erogati attraverso procedure e controlli informatici. Il nostro lavoro, le scuole e le università, i trasporti locali e quelli internazionali, i servizi degli ospedali possono fermarsi da un momento all’altro a causa di un malware, di un bug informatico o di un attacco hacker. Qualche anno fa, qualcuno mi avrebbe potuto dare dell’allarmista. Oggi, dopo il blackout di Kiev, gli ospedali britannici bloccati da WannaCryptor, l’aereo militare caduto in Spagna a causa di un bug nel software (4 morti) e gli innumerevoli esempi di aeroporti bloccati per problemi di networking – forse – si inizia a comprendere che i problemi informatici sono problemi “veri”.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il vero problema però non si risolve solo con la protezione dei propri sistemi. Quello è scontato e lo andiamo predicando da decenni. Tutte le persone che ne fanno uso dovrebbero adottare difese adeguate a proteggere ogni dispositivo informatico, pc e smartphone in primis, ma anche router e reti Wi-Fi, prestando poi particolare attenzione alle proprie attività quando si sfruttano reti Wi-Fi aperte. Analogamente, in ufficio: chiunque ha una posizione manageriale dovrebbe assicurarsi che la protezione dei device, degli apparati, di qualsiasi hardware dotato di un indirizzo IP locale, sia gestita come si deve. Patch delle vulnerabilità, aggiornamenti software e firmware, dismissione di apparati obsoleti, protezione degli endpoint e dei server devono essere – senza scuse – argomenti quotidiani.

Ma la sicurezza oggi deve andare oltre, deve essere un argomento necessario anche nei rapporti fra aziende partner e fra individui e aziende/organizzazioni. Data l’interconnessione, data la pervasività, dato il danno potenziale nel caso di un’azienda o una PA che ha gestito male i nostri dati o le infrastrutture informatiche sulle quali si basa il nostro lavoro e la nostra attività quotidiana – dovrebbe essere lecito chiedere e pretendere da questi attori maggiore “sicurezza informatica”. Quando un’organizzazione richiede i nostri dati non deve essere strano chiedere in cambio assicurazioni sulla gestione sicura degli stessi. Se un’azienda di telefonia, di fornitura elettrica o di altri servizi essenziali cerca insistentemente di ottenere la nostra firma su un contratto, dovrebbe pubblicare sulla homepage del suo sito web perlomeno un accenno a come siano avanzate e all’avanguardia le sue procedure informatiche e le tecnologie usate per la sicurezza della rete alla quale affideremo le nostre telefonate, o dalla quale acquisteremo acqua, gas o elettricità. È sbagliato pensare che i nostri dati siano intrinsecamente saccheggiabili. Da tempo ormai, vi sono mezzi e procedure per garantire che un’azienda di qualsiasi dimensione li possa proteggere adeguatamente. Ma finché noi considereremo i nostri dati un “bene minore” o la cybersecurity di un nostro fornitore come un problema che non ci appartiene, la catena della sicurezza continuerà a essere molto debole. E le volte che questa si spezza, danneggia anche chi si era preparato con mezzi e procedure adeguate, ma non aveva chiesto agli altri “nodi” della sua rete di business o di relazioni di fare altrettanto.

Leggi anche:  Promuovere la cultura della Cybersecurity è fondamentale per ogni MSP

Luca Sambucci operations manager di ESET Italia