La cultura della cybersecurity. Con gli incidenti di sicurezza la colpa è spesso più nostra che della tecnologia
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(StartupItalia, 27 novembre 2023)

In giro per il mondo il 77% delle aziende, negli ultimi due anni, ha subito incidenti di sicurezza informatica. Sin qui nessuna sorpresa nei risultati di una ricerca condotta da Kaspersky in 19 Paesi e pubblicata la scorsa settimana. Meno scontato – anche se, anche in questo caso, non sorprendente almeno per gli addetti ai lavori – l’altro dato che emerge dalla stessa ricerca: nel 64% dei casi, all’origine dell’incidente, c’è stato il fattore umano. Ma è continuando a leggere i dati che emergono dal rapporto dalla società di sicurezza informatica che, probabilmente, ci si imbatte in alcune conclusioni più interessanti. Nel 26% dei casi, infatti, all’origine dell’incidente si trova una violazione consapevole di una policy aziendale da parte di un dipendente che, semplicemente, ne ha ignorato o, almeno, sottovalutato l’importanza e l’ha ritenuta un’inutile formalità o, magari, ha anteposto il proprio egoistico interesse a far prima, a far di testa propria, a raggiungere un risultato personale considerato più importante rispetto a quello collettivo della sua organizzazione, dei suoi colleghi di lavoro, dei clienti e/o fornitori della sua azienda.

Certo, se si muovesse dal presupposto che una policy aziendale in termini di sicurezza informatica è un set più o meno minimo, ma comunque essenziale, di regole da rispettare se si tiene al patrimonio della propria azienda, alla sua reputazione, al rapporto di fiducia tra quest’ultima e la propria clientela e se si anteponessero questi valori ai propri interessi egoistici, verosimilmente non si registrerebbero numeri di questo genere in termini di incidenti informatici causati proprio da violazioni intenzionali delle policy. L’egoismo dei singoli dipendenti e/o il loro analfabetismo tecnologico che, probabilmente, li porta a sottovalutare l’importanza della cybersecurity, però, non è, secondo la ricerca di Kaspersky, l’unico fattore umano alla base di un numero rilevante di incidenti informatici. Un altro fattore significativo – che forse stupisce più del precedente – è l’errore tutto umano proprio dei responsabili dei sistemi informativi e della cybersecurity con maggiore anzianità di servizio, quelli, insomma, che dovrebbero saperne di più. Secondo la ricerca, nel 15% dei casi la colpa sarebbe da attribuire a loro. Per carità i numeri sono il risultato di un’indagine largamente basata sulle dichiarazioni di soggetti direttamente coinvolti nelle vicende che descrivono e, quindi, non è detto che le percentuali riflettano al centesimo la realtà dei fatti ma difficile dubitare dell’affidabilità del trend e della descrizione del fenomeno. E, d’altra parte, la mancanza di adeguate competenze in ambito di cybersecurity è per il 75% delle aziende intervistate all’origine degli incidenti subiti. Insomma, nella più parte dei casi, si è consapevoli di non saperne abbastanza. Poi, naturalmente, come sempre o quasi in questo genere di cose il mondo si divide a metà: per il 28% delle aziende sarebbe possibile far meglio ma non si dispone di adeguate risorse mentre esattamente una stessa percentuale è convinta di disporre di tutto quanto necessario per sentirsi al cyber-sicuro. Sempre andando a caccia dei dati più interessanti in uno studio ricco di numeri utili a suggerire riflessioni in direzioni diverse e, in questo senso, probabilmente, tutto da leggere a prescindere da questa sintesi, balza agli occhi la circostanza che l’industria delle telecomunicazioni è quella più di frequente vittima di incidenti di sicurezza informatica. Per carità, nessuna sorpresa che si tratti di un comparto più esposto di altri a cyber-attacchi e che di conseguenza possa anche caderne più di frequente vittima. Il dato che, tuttavia, sorprende un po’ di più è quello degli incidenti dovuti al fattore umano nei termini sin qui rappresentati in un settore che ha una delle età media della forza lavoro più bassa in assoluto con il 66% dei lavoratori sotto i 35 anni, una fascia nella quale ci si aspetterebbe – forse sbagliando – una maggiore sensibilità alla cybersecurity e una più diffusa competenza informatica. Ma che la causa dell’incidente sia una o l’altra, che il fattore umano pesi un po’ di più o un po’ di meno, c’è una costante o, almeno, un dato più rilevante degli altri: le conseguenze dell’incidente sono sempre significative e almeno una volta su tre si traducono in un data breach, una violazione della privacy di dipendenti e/o clienti con conseguente danno reputazionale per l’azienda che resta, poi, naturalmente esposta a eventuali sanzioni per violazione – ove ravvisabile – della disciplina in materia di protezione dei dati personali. Ed ecco spiegata la ragione per la quale ne parliamo in questa rubrica.

La ricerca di Kaspersky, infatti, pur avendo ad oggetto più in generale gli incidenti informatici, propone uno spaccato prezioso sulle violazioni dei dati personali e, quindi, su cosa fare – o almeno provare a fare nella ferma consapevolezza che la sicurezza, in ogni ambito, è sempre un obiettivo e difficilmente un risultato conseguibile in maniera integrale – per scongiurare il rischio di subirne. La lezione più importante da portare a casa, probabilmente, è che senza un’adeguata educazione al valore della cybersecurity e, in particolare, per quello che ci riguarda più da vicino, al valore dei dati e senza un investimento significativo nella diffusione di adeguate competenze digitali di base e avanzate, difficilmente, i migliori investimenti possibili in infrastrutture e servizi tecnologici saranno sufficienti a tenere al sicuro aziende e dati personali perché, appunto, come lo studio suggerisce senza esitazioni, l’anello debole, restiamo noi, restano le persone. La versione integrale del report è disponibile qui.