Autore: Stefano Ricci – 15/05/2020
Pochi mesi fa, la nota società di consulenza internazionale Ernst & Young ha pubblicato un report intitolato Global Information Security Survey (GISS); al suo interno, Ernst & Young ha sottolineato come le grandi aziende dei principali paesi produttori al mondo, sebbene abbiano già da tempo interiorizzato le diverse problematiche correlate alla dimensione cyber, continuino a considerare proprio la cyber-security come l’ultimo tassello da perimetrare nella gestione del business d’impresa.
Realizzato coinvolgendo più di 1.000 esperti dei settori della tecnologia e dell’informatica, il rapporto redatto da Ernst & Young ha messo in evidenza come le stesse aziende, ogni anno, investano in cyber-security non più del 5% del budget interno; non solo, appena un terzo degli intervistati ha avuto modo di raccontare come l’azienda in cui si trovano a operare abbia dato vita a un vero e proprio “ufficio” dedicato alla sicurezza informatica.
Dati, questi, di certo non anomali per gli addetti al settore, ma che mal si combinano con un’altra percentuale evidenziata da Ernst & Young proprio nel GISS: oltre il 60% delle aziende contattate per la stesura del report ha affermato di aver subito attacchi informatici nell’anno solare antecedente la raccolta informativa.
Un evidente quanto originale caso di dissonanza cognitiva, certo: ma qual è l’origine dei principali attacchi cyber condotti contro le infrastrutture informatiche di un’azienda?
Responsabili e irresponsabili
Luoghi comuni e cattiva informazione suggeriscono spesso come a indossare la casacca dei responsabili delle principali violazioni a mezzo informatico debbano essere prodigiosi hacker o misteriose figure al soldo di crudeli potenze nazionali: in realtà, Ernst & Young sostiene come solo il 21% dei cyber-attacchi sia stato perpetrato da hacktivisti e collettivi organizzati, mentre il 23% dei reati informatici è figlio di un’attività malevola condotta da complesse organizzazioni dedite al cyber-crime.
Ne deriva che il restante 56% degli attacchi contro le strutture informatiche delle principali compagnie mondiali abbia origine proprio all’interno dell’azienda stessa.
Un dato, questo, supportato proprio dai dati forniti dal GISS: il 64% dei responsabili di cyber-security raggiunti dai ricercatori di Ernst & Young ha affermato di avere scarsa fiducia nei riguardi dei colleghi operativi nei comparti del finanziario, del commerciale e del marketing.
Sebbene l’informatica abbia raggiunto traguardi impensabili appena un decennio fa e la Legge di Moore sia già stata “superata” (nel senso che l’informatica non potrà più basare il proprio concetto di sostenibilità a partire dalla Legge di Moore), ecco che i principali vettori di attacchi informatici sono ancora le stesse vulnerabilità di cui si è già ampiamente discusso nel corso degli ultimi vent’anni.
Come a dire: certamente, la scienza informatica è andata avanti, mentre la consapevolezza informatica è ancora ferma al Millennium Bug.
Chiediamoci, allora, cosa sia più pericoloso per un’azienda: un impiegato che – distrattamente – faccia doppio click su di un allegato e-mail proveniente da un indirizzo sconosciuto, oppure l’eventualità che si siano mal interpretate le reazioni della concorrenza al fattore prezzo?
Cultura informatica aziendale
Stando alle parole di Kris Lovejoy, responsabile per la cyber-security di Ernst & Young, «sino a oggi, la sicurezza informatica è stata spesso considerata un’attività di puro controllo formale, invece di essere integrata in ogni iniziativa tecnologica aziendale».
Difficile, se non impossibile, esser pronti allora ad anticipare una qualsiasi ostilità informatica per garantire il corretto svolgimento dell’attività imprenditoriale: senza cultura cyber, non sarà mai possibile realizzare pienamente alcun tipo di cyber-security.
Passando in rassegna le bacheche dei nostri contatti su Facebook o Twitter o le pagine dei principali quotidiani online, ci renderemo conto di quanto esse abbondino di riferimenti alla cyber warfare, al quantum computing, al machine learning e all’Internet of Things: ebbene, è evidente come sia giunta l’ora di iniziare a discutere anche di gestione del rischio informatico e di come la cyber-security debba costituire una colonna portante dell’agenda imprenditoriale.
Mentre, negli ultimi tempi, in merito alla recente pandemia di Covid-19, siano in molti a citare la “teoria del cigno nero” di Nassim Taleb per ricordare come il prossimo cataclisma dei nostri tempi sarà di natura informatica, mi limiterò qui a ricordare invece gli scritti di Nelson Goodman, il quale per parte propria sosteneva come la conoscenza scientifica non consiste in una semplice osservazione passiva, ma in una vera e propria attività costruttiva.
Homines, nihil agendo, agere consuescunt male.
Stefano Ricci lavora come data analyst per un’importante società italiana di import – export e come freelance cyber-security analyst. E’, inoltre, autore del volume: Cyber Warfare: Verso Un Nuovo Paradigma Strategico, 2017 (Cyber-Warfare – Towards a New Strategic Paradigm)