Sicurezza informatica: prima visione sistemica (1/2)

La sicurezza informatica attraverso il grandangolo del pensiero sistemico: cause, effetti, scenari.

M i è stato chiesto cosa si potrebbe dire da un punto di vista sistemico sulla situazione della sicurezza informatica in questo momento.
Ho domandato se il quesito fosse di tipo tecnico o socio-culturale: beh, tutt’e due, mi hanno risposto, scegli tu.
E io ho scelto: libero da vincoli inizio quindi a tracciare un quadro complessivo e un abbozzo di previsione su come potrebbero evolversi le cose in futuro, senza alcuna velleità di completezza o verità rivelata, beninteso. Un “work in progress”, insomma.
Chissà se ci azzeccherò.

M i calo nel mio tempo e mi viene di partire dai “nativi digitali”, dai tardi Millennial e Generazione Z vari, sbocciati, specie gli ultimi, nel brodo di internet, cresciuti a tecnologia spicciola e disincanto social; per gli Z Facebook è roba da vecchi, salvo poi cedere a qualche nuova lusinga obbligatoriamente di moda. Qualcuno inizia timidamente a domandarsi cosa comporti essere in rete “tutto il giorno” e condividere senza filtri la propria esistenza: insomma, un qualche barlume di senso critico, un primo accenno di disintossicazione da bit-perditempo. Costoro sono, in ogni caso, ancora poco incisivi nel trascinare gli altri utenti verso una fruizione più consapevole essendo questi generalmente meno critici, più arruffoni, più disattenti e onnivori, .

Di fatto abbiamo un bacino molto corposo di “portatori malati” di quella che io chiamo “alfabetizzazione digitale spontanea”, una sorta di scuola tecnologica grossolana e frettolosa frequentata direttamente sul campo, priva di “corsi” di consapevolezza e identità, insomma quella che ti fa comprare un tablet o uno smartphone o ti fa iscrivere a un social, perché… ci sei rimasto solo tu a non averli.
L’accesso e l’uso della rete coinvolge naturalmente anche il mondo del lavoro, delle aziende e delle istituzioni, una necessità operativa e organizzativa inevitabile se vuoi restare al passo.

Internet, bene o male (in Italia, purtroppo, spesso male) arriva quasi dappertutto e basta che ci sia un “untore in casa” perché la malattia si diffonda e gli utenti digitali aumentino di numero.
Ecco allora una prima idea, un primo diagramma che mi viene in mente (tranquillo, qui non traccerò diagrammi complessi, per adesso ti basti ricordare che i segni + e – stanno a indicare che la grandezza alla fine della freccia cresce in maniera diretta o inversa rispetto a quella che si trova all’origine):

Forse renderebbe di più l’idea se invece di “spontanea” scrivessi “selvaggia”, ma comunque ci siamo capiti, no?

Le persone rappresentano spesso l’anello più debole nella catena della sicurezza e sono cronicamente responsabili del fallimento dei sistemi di sicurezza
Bruce Schneier

T ra gli “alfabetizzati digitali” ci sono anche quelli che, già adulti, internet lo hanno visto nascere e crescere velocemente, molto più di quanto siano stati capaci di prendervi le misure: sono quelli che oggi usano (neanche tanto bene) le email, bevono smodatamente social a tutte le ore, usano qualche servizio di pagamento o ricarica, magari un servizio cloud
…ma sono anche quelli che si iscrivono a un mare di newsletter, cliccano su ogni link nella loro mailbox e, se più arditi, scaricano musica e film, insomma una buona ricetta per disastrare computer e dispositivi vari.

Quei due circoli di rinforzo, R1 e R2, mi appaiono come una sorta di generatore continuo di utenze, uno stock illimitato di “rumore” digitale, di traffico e richiesta di servizi di ogni tipo la cui produzione non sembra rallentare, almeno nel breve periodo.
Ne discendono un paio di conseguenze.

L ’alfabetizzazione approssimativa, scarsamente consapevole dei rischi e di come funzioni la rete, aumenta la richiesta e quindi l’uso di servizi light, facili da usare, quelli da consumismo digitale bulimico, per intenderci.

Una frazione dei nativi digitali, per contro, ha un approccio più tecnico alla questione (specie la generazione Z) e anche molto più spregiudicato: hai notato l’esplosione di offerta formativa sull’ethical hacking? 
Ethical: mi viene un po’ da ridere.
Una “frazione di quella frazione”, quella più agguerrita, diventa poi un operatore esperto (piccoli hacker crescono, sempre se non decidono di passare al lato buono della Forza) ma i restanti vanno a comporre schiere e gilde di piccoli imberbi cavalieri del caos che brandiscono armi facili come il DDos che, certo, non distrugge i castelli altrui ma li rende inutilizzabili.

La figura dell’hacker (e del cracker) ammantata di mistero, chiuso in un seminterrato o nascosto in qualche area industriale dismessa è piuttosto anacronistica: adesso un qualunque ragazzino sveglio può creare danni per il solo gusto di farlo e questo senza che dietro ci sia necessariamente un disegno criminoso…
Fattene un’idea qui: http://www.digitalattackmap.com/

Sia come sia, i nativi digitali sono un gran serbatoio di rumore di fondo, considerazione che mi spinge al passo successivo.
Che creino o meno danni concreti o irreversibili, gli attacchi light contribuiscono a creare sensibilità verso il problema della sicurezza, seppur con lentezza.
Perché con lentezza? Beh, innanzitutto perché tutti i sistemi offrono resistenza, e poi perché un conto è perdere dati o integrità, un altro è vedersi negato l’accesso ai servizi per qualche ora ma senza un danno irreversibile.

Il discorso cambia per quelle attività di business dove essere offline un paio d’ore significa perdere centinaia di migliaia di dollari…pensa ad Amazon, per esempio (e infatti queste organizzazioni sono molto più veloci e reattive nei confronti del problema e per questo sono anche i clienti d’elezione per le società di sicurezza).

Quindi cosa succede? 
Succede che sia a causa di un aumento della consapevolezza del rischio, sia per un semplice effetto della legge domanda/offerta il costo della sicurezza informatica cresce; ma più qualcosa costa, meno ce ne dotiamo.
Dunque la grandezza “Domanda/uso di servizi non sicuri” è alimentata da almeno due elementi: il costo della sicurezza e la mancanza di una sana cultura digitale.
E per dirla meglio:

Chiaro no? Tanto più le cose vanno male, tanto più sembrano peggiorare.
In realtà possiamo rappresentare meglio l’aumento dei costi dei sistemi di sicurezza se inseriamo un altro circolo di rinforzo, R9

Che dici, li uniamo?

Non sembra confortante, almeno per il momento. Ma andiamo avanti.

 

L o sviluppo dei sistemi di sicurezza ha una naturale conseguenza: lo sviluppo delle corrispettive tecniche di hacking (e viceversa).
Nota: il simbolo ‘ = ‘ indica un ritardo tra la causa e il suo effetto.

Questo ennesimo circolo di rinforzo è davvero distruttivo, una continua rincorsa degli uni sugli altri, un braccio di ferro apparentemente destinato a continuare in eterno, almeno fino a quando ci sarà un terreno che ospiti lo scontro.
Per amor di completezza aggiungo un altro pezzo del puzzle.

Non vorremo mica dimenticare obblighi come il GDPR, per esempio, vero?
Che poi, come spesso accade, le direttive di legge arrivino tardi e troppo “violentemente” è un altro discorso, il quale tuttavia contribuisce, e non poco, all’aumento dei costi.

Bene, adesso prenditi un po’ di tempo per osservare a che punto siamo arrivati, perché qui finisce la prima parte…

Clicca sull’immagine per ingrandirla

CONTINUA…

Share This