E-mail fasulle, phishing, ransomware. Ma se poi la minaccia alla sicurezza delle reti informatiche fosse di natura psicologica? Non solo ma anche. È il false sense of cyber security.
L'evoluzione tecnologica e la crescita dei servizi digitali nell'ultimo periodo, dovuta in particolare alla pandemia, hanno portato le persone a interfacciarsi sempre più frequentemente con il mondo digitale. Sistemi per smart working, videoconferenze, shopping online. Tutti sono diventati più esperti di sicurezza informatica. Così, complice la visione del “sono cose che a me non capiteranno mai” unita al “figurati se non mi accorgo che è una e-mail finta” il livello di vulnerabilità cresce di pari passo con la maggior dimestichezza con i sistemi informatici. E quel falso senso di sicurezza.
Psicologicamente è noto il meccanismo secondo il quale all'aumentare del livello di fiducia si abbassa il livello di guardia. Succede in tutti gli ambiti della nostra vita. Pensiamo anche alla guida: all'inizio siamo tesi e attenti a tutto, con il tempo e l'esperienza siamo sempre più distratti. Questo accade anche nel campo dell'informatica. L'uso di nuovi strumenti all'inizio crea un senso elevato di attenzione, ma quando si inizia a prendere confidenza con i mezzi e le tecnologie, si genera gradualmente la consapevolezza di saperne di più e l'attenzione comincia a calare. È a questo punto che si è maggiormente vulnerabili.
Secondo il Data Threat Report 2020, nel 2019 le aziende che si consideravano vulnerabili agli attacchi informatici erano scese al 68%, rispetto all'86% del 2018. Ma lo scorso anno ben il 47% delle organizzazioni ha riportato un aumento degli attacchi informatici mentre 58 % erano vittime di un incidente di sicurezza informatica.
Da dove viene il falso senso di sicurezza?
A generare questo falso senso di sicurezza contribuisce anche una maggiore conoscenza dei rischi. Infatti, la formazione che è stata erogata in questo periodo, anche internamente alle aziende, con l'obiettivo di mitigare i rischi derivanti dalla debolezza umana, facilita quel sentimento di fiducia, che deriva dal sapere di più, ma che porta con sé un abbassamento dell'attenzione prestata per le operazioni quotidiane. Il rischio è di trovarsi impreparati a un evento dannoso, con una capacità di risposta inferiore.
Ovviamente la formazione non è mai sbagliata, anzi, resta fondamentale per migliorare la consapevolezza del rischio. Tuttavia, è bene tenere a mente, in scenari così complessi, tutte le variabili che entrano in gioco. Un altro aspetto che contribuisce a questo falso senso di sicurezza è il rispetto di norme e regolamenti. Ma essere in regola con la legge non significa automaticamente una maggiore sicurezza reale. Piuttosto, dovrebbe essere il contrario: un buon livello di sicurezza dovrebbe tradursi in conformità normativa.
Nel panorama attuale, tutti sono potenzialmente vittime. Nessuno può considerarsi immune da attacchi informatici o poco appetibile per i criminali informatici. Le ragioni di un attacco possono essere diverse, dalle informazioni possedute al pagamento di un riscatto per recuperare i file crittografati. Inoltre, qualunque siano le misure di sicurezza adottate per proteggere la rete aziendale, non bisogna mai dimenticare che nessun sistema è inviolabile.
