L’obiettivo finale della sicurezza informatica è proteggere le organizzazioni e gli individui, attraverso la protezione dei loro sistemi e reti.
Il fattore umano è l’elemento chiave della catena delle garanzie di sicurezza e, allo stesso tempo, il bene finale da tutelare. Tuttavia, se le informazioni personali di ciascun individuo sono esposte, saranno vulnerabili agli attacchi di ingegneria sociale mirati specificatamente alle loro debolezze. In questo modo, sarà raggiunto il cuore dell’organizzazione e dei singoli, aggirando le protezioni tecnologiche.
Dobbiamo quindi ricordarci che la sicurezza informatica non è fine a se stessa, ma è un mezzo per proteggere organizzazioni ed individui.
Le misure di sicurezza possono essere di diverso tipo: organizzative, legali e tecniche e dietro di loro ci sono persone, che progettano, installano, selezionano, configurano, attivano/disattivano, utilizzano, rispettano e controllano. Pertanto le informazioni personali (dati, metadati, ambiente sociale e famigliare, impronte digitali, chiavi crittografiche, ecc.) degli individui, dietro le misure di sicurezza, diventano una delle loro principali vulnerabilità.
Solo nel corso del 2020, l’85% delle violazioni tecnologiche ha coinvolto il fattore umano.
La realtà mostra quindi che il modo più semplice per compromettere un’organizzazione, è convincerla ad “aprire” le porte agli intrusi dall’interno, o meglio ancora, a eseguire direttamente le azioni desiderate da chi vuol comprometterla. Per raggiungere questo obiettivo sono state sviluppate tecniche di ingegneria sociale.
L’ingegneria sociale è l’azione di ingannare o ricattare una persona, facendogli rilevare informazioni o intraprendendo un’azione che può essere utilizzata per compromettere o influenzare negativamente un sistema o, in definitiva, un’organizzazione o uno Stato.
Esistono molte tecniche di ingegneria sociale: dall’estorsione palese al pretesto, al phishing, al quid pro quo, all’esca, allo smishing, al vishing, all’agricoltura, alla caccia, alla caccia alle balene, allo sfruttamento dei social network e così via. Tecniche di bassa complessità tecnologica ma con raffinatezza psicologia e sociologica crescente.
Gli attacchi possono essere semplici, cioè utilizzare solo i pregiudizi cognitivi di base inerenti alla natura umana. In questi casi il successo viene spesso raggiunto attraverso consegne di massa, nella speranza che una piccola percentuale di vittime cada nella trappola. Sebbene molti di questi siano mirati alla frode e il loro impatto sia limitato all’ambiente del singolo individuo, alcuni possono avere gravi ripercussioni sull’organizzazione o sulla società.
Gli attacchi più pericolosi saranno quelli adattati alle peculiarità di ciascun individuo.
Per fare ciò è necessario raccogliere informazioni specifiche su ciascun individuo, al di là di quello che può essere nome, indirizzo, numero di conto e carta, telefono, email, ecc. e concentrarsi sui suoi punti deboli, valutati in base al loro acquisto profilo, geolocalizzazione, credenze valori, paure e desideri e, in breve, la loro impronta digitale e il loro profilo.
Prima delle digitalizzazione di massa, questa raccolta di informazioni doveva essere focalizzata su individui chiave in un organizzazione target, ma oggigiorno può essere effettuata in modo massiccio sull’intera popolazione.
Questo concetto non è una novità, lo è il livello potenziale di vulnerabilità che sta raggiungendo l’ampia raccolta di dati, su tutti gli ambiti del comportamento personale e collettivo, con granularità, interoperabilità e fruibile da soggetti, sia privati che pubbliche amministrazioni.
Ovviamente qualsiasi organizzazione cercherà di proteggere i dati che potrebbero rendere vulnerabile il suo direttore generale, COO, CEO, CIO, CISO o qualsiasi risorsa umana chiave per la sicurezza dell’entità (in breve quasi tutto il suo personale). Tuttavia tutti questi ruoli sono occupati da persone che, non importa quanto siano importanti per l’organizzazione, sono semplicemente clienti o utenti di social network, società finanziarie, assicurative o di marketing, assistenza sanitaria, enti locali, fornitori, piattaforme di contenuti ecc.
La protezione dei dati trascende quindi i confini dell’organizzazione e ha un impatto sull’individuo e sulla società.
In tali entità di cui siamo clienti, si verificherà l’accumulo e l’accesso a dati provenienti da diversi ambiti della vita privata, la fuga di tali informazioni, violazioni dei dati personali, l’uso non etico o direttamente illecito di set di dati che, insieme alle risorse di elaborazione e l’analisi massiva dei dati, consentono la profilazione automatica, la generazione di informazioni chiavi sulle vulnerabilità di ciascun soggetto e, quindi, dell’organizzazione o delle organizzazioni di cui fa parte.
Nella misura in cui i principi di limitazione delle finalità, conservazione dei dati e limitazione della comunicazione, minimizzazione e responsabilità proattiva non vengono applicati al trattamento dei dati personali, o la protezione dei dati non è implementata per impostazione predefinita e per progettazione, la perdita della privacy renderà le persone vulnerabili obiettivi. In questo modo, l’entità o organizzazione in cui si trovano, sarà trascinata nell’insicurezza.
In questi casi non sarà più necessario compromettere i sistemi per raggiungere lo scopo dell’attaccante. Quando la privacy, l’intimità o il libero arbitrio degli individui sono compromessi o semplicemente condizionati, può concretizzarsi un attacco al cuore dell’organizzazione o anche dello Stato e delle sue Istituzioni, che nessuna misura di sicurezza informatica può mitigare.
Pertanto senza privacy gli obiettivi finali della sicurezza informatica saranno compromessi dalle sue fondamenta. La sicurezza informatica senza privacy può funzionare in regimi in cui mancano lo stato di diritto e le garanzie democratiche, ma in questi casi la sicurezza informatica avrà qualsiasi altro oggetto oltre alla protezione delle persone, ma solo un altro strumento per controllare e limitare i diritti e le libertà dei cittadini.
Comments are closed for this article!