il vero tallone d’Achille della cyber security (a cura di Marco Strano – 2022) – CENTRO STUDI PER LA LEGALITÀ E LA SICUREZZA DELLA GIUSTIZIA


Relazione al Congresso Nazionale AICA Reggio Calabria, 27 ottobre 2022.

Mi chiamo Marco Strano e sono uno psicologo direttore della Polizia di Stato in pensione dal 2020 e attualmente consulente senior per un dipartimento di polizia della California meridionale. Mi sono occupato a tempo pieno di criminalità informatica e sicurezza informatica tra il 1995 e il 2005 e, in particolare, tra il 2001 e il 2005 ho diretto l’UACI (Unità analisi criminalità informatica) della Polizia Postale e delle Comunicazioni. Successivamente ho continuato ad occuparmi di Cybercrime nell’ambito della consulenza aziendale in Italia e all’estero e ho continuato a fare ricerca soprattutto in ambito aziendale.

Attualmente, sebbene l’attività di sicurezza informatica abbia avuto un forte sviluppo in termini qualitativi e quantitativi, ciò non ha in qualche modo contribuito a limitare i rischi. Il motivo è abbastanza banale: negli ultimi anni le attività aziendali, la gestione della cosa pubblica e in generale la vita delle persone affidate ai sistemi informatici sono aumentate in modo esponenziale.

L’accesso a internet, l’utilizzo di smartphone e computer e in generale le procedure affidate alle tecnologie digitali sono aumentate enormemente negli ultimi 20 anni e quindi è chiaro che anche i rischi di criminalità informatica siano aumentati statisticamente.

Anche il passaggio dall’identità fisica e documentale all’identità digitale per lo svolgimento delle attività fondamentali nella vita dell’individuo e nelle procedure delle organizzazioni sta avvenendo in modo graduale e ciò sta chiaramente portando ad un aumento dei crimini informatici.

Non disponiamo di dati statistici attendibili sul numero reale di attacchi informatici contro individui e organizzazioni pubbliche e private. In realtà, solo una percentuale di questi crimini viene denunciata (poiché le organizzazioni non vogliono quasi mai rendere pubbliche le proprie vulnerabilità) e le vittime degli attacchi spesso non si rendono conto di essere state vittime.

L’area della criminalità informatica in cui abbiamo la possibilità di avere a disposizione dati più affidabili è quella delle truffe e delle frodi, dove l’importo totale sembra essere aumentato in modo significativo negli ultimi anni.

A mio avviso il fattore umano rappresenta ancora l’elemento chiave della sicurezza informatica e il suo studio deve quindi andare di pari passo con lo sviluppo delle tecnologie e delle procedure di sicurezza.

L’elemento fondamentale del fattore umano associato alla Cyber ​​Security è chiaramente quella che tecnicamente viene chiamata “percezione del rischio”. Una maggiore o minore percezione del rischio induce l’utente dell’informatica ad adottare comportamenti meno sicuri, sia all’interno delle organizzazioni che a livello di singolo utente.

La percezione del rischio di un attacco informatico è un elemento che può essere misurato da psicologi appositamente formati con strumenti analitici tipici della loro professione (test, interviste, osservazione, ecc.). In altri contesti di rischio, e mi riferisco ad esempio alle problematiche della sicurezza del lavoro nei cantieri edili, vengono solitamente svolte attività di ricerca o prevenzione direttamente legate alla percezione del rischio.

Sebbene, sul fronte dei rischi in ambito sicurezza informatica, dove i rischi sono chiaramente legati alla possibilità di subire danni a causa di reati, le valutazioni sulla percezione del rischio negli utenti e nelle organizzazioni restano purtroppo un’attività residua nei percorsi di azione di sicurezza.

Ciò che sembra (storicamente) essere in vantaggio rispetto ad altri settori è probabilmente il settore bancario, che ha il fattore sicurezza profondamente radicato nella sua cultura organizzativa e imprenditoriale.

Altro settore storicamente più avanzato degli altri è quello militare dove il concetto di condivisione interna delle informazioni (per evitare attacchi interni) ottenuta adottando addestramento specifico ed efficaci procedure di sicurezza è anche il flusso interno di informazioni tra le componenti dell’organizzazione. qualcosa che è sempre stato fortemente radicato nella sua cultura.

Ma altri settori economici sembrano ancora restare indietro per quanto riguarda il concetto di fattore umano nella sicurezza informatica.

Pertanto le organizzazioni che vogliono adottare contromisure efficaci per evitare la criminalità nei contesti digitali non devono solo implementare contromisure tecnicamente note come “difese perimetrali”, ovvero tecnologie per impedire che qualcuno esterno all’organizzazione possa violare il loro sistema elettronico (quello che tutti sappiamo come attività di hacking) ma allo stesso tempo devono migliorare la cultura della sicurezza (security awareness) delle persone che operano all’interno dell’organizzazione e naturalmente le procedure di sicurezza, prendendo l’esempio di quei settori pubblico e privato che sono più avanti degli altri (militare settore e settore bancario).

CYBERCRIME E INDAGINI

Sul versante investigativo, la competenza dei dipartimenti investigativi o dei magistrati diventerà sempre più anacronistica. Nel giro di un certo numero di anni non esisteranno più la polizia postale e delle comunicazioni o la sezione criminalità elettronica dei Carabinieri e della Guardia di finanza perché in tutti i reati ci sarà qualcosa di digitale, di informatizzato, quindi tutte le forze dell’ordine, compresa la Stazione I Carabinieri più sperduti o la Questura più “periferica”, potranno necessariamente mettere il naso in alcuni reati legati alle tecnologie digitali perché il mondo diventerà nei prossimi anni così digitale che sarà impossibile ragionare demarcando mondi reali e virtuali. Ci troveremo di fronte ad un mondo con componenti reali e virtuali altamente interconnesse.

PROFILAZIONE CRIMINALE E CYBERCRIME

Negli ultimi anni si è assistito ad un cambiamento nel profilo criminale tipico di chi effettua attacchi informatici. Conoscere il profilo di chi realizza gli attentati è a mio avviso fondamentale per organizzare contromisure efficaci. Solo conoscendo il comportamento e il profilo di chi può attaccarti potremo organizzare difese davvero efficaci.

Nel campo della criminalità informatica, gli aggressori rientrano solitamente in due macro categorie: outsider e insider, cioè coloro che attaccano un’organizzazione o un singolo individuo dall’esterno (i famosi hacker) oppure’ coloro che attaccano dall’esterno perché membro dell’organizzazione o di una persona che vive vicino all’individuo aggredito.

Nella profilazione una tipologia/classificazione importante riguarda il livello di competenza criminale dell’aggressore e qui e solitamente si distinguono due macro categorie: professionisti (esperti) e dilettanti che hanno scarse competenze ma riescono comunque a causare danni.

Quindi il profilo che si può creare in relazione a un criminale informatico è innanzitutto quello che tiene conto del ruolo nell’organizzazione (interno/esterno) e del livello di competenza tecno-criminale. All’interno delle macrocategorie c’è un tono naturale infinito.

Per quanto riguarda il profilo della personalità dell’aggressore, attualmente è in corso una ricerca sul campo (nelle città universitarie americane) che, attraverso interviste semistrutturate a giovani hacker, cerca di delineare il profilo di questi giovani criminali.

PROFILO VULNERABILE DELLA VITTIMA

Un altro tipo di profilazione che si può fare in ambito cyber security riguarda la possibilità che un individuo o un’organizzazione venga attaccata, quindi una valutazione del potenziale rischio. Questo tipo di profilo tiene solitamente conto delle due classiche variabili della vulnerabilità e dell’attrattività del target ma è chiaro che una valutazione basata su questi due elementi potrebbe apparire insignificante e quindi vengono utilizzati altri fattori di analisi che delineano l’andamento nel tempo del rischio.

Nel corso degli anni, il mio gruppo di ricerca ha sviluppato modelli analitici predittivi in ​​grado di valutare i livelli di rischio di vittimizzazione del crimine informatico per un’organizzazione e per un singolo individuo.

Per verificare la sicurezza di un’organizzazione, da molti anni aziende specializzate effettuano un vulnerability Assessment, che serve per identificare le situazioni di rischio. Di solito in questi controlli sono coinvolte più aziende specializzate in diverse aree di rischio, ma spesso non comunicano tra loro. L’approccio inizialmente ideato dall’autore durante il periodo di servizio presso la Polizia Postale e delle Comunicazioni e successivamente implementato nel settore civile attraverso un gruppo di ricerca, suggerisce invece un approccio integrato dove un gruppo (coordinato) di consulenti analizza contemporaneamente tutte le aree critiche tempo. di un’organizzazione. Un vulnerability Assessment integrato è quindi in grado di valutare contemporaneamente gli elementi di rischio di intrusione fisica, informatica e psicologica all’interno dell’organizzazione da parte di soggetti esterni o interni ostili.

Il protocollo di ricerca che abbiamo adottato per lo sviluppo del nostro IVRA (Integrated Adequacy Risk Assessment) parte da un campione di aziende/organizzazioni e individui, analizzando le situazioni in cui sono avvenuti gli attacchi o in cui gli attacchi non sono andati a buon fine e le caratteristiche organizzative, tecnologiche e psicologiche aspetti della vittima. Da questo tipo di analisi è evidente che emergono elementi di attrattività e vulnerabilità compatibili con il successo dell’operazione illecita.

La nostra IVRA è stata presentata per la prima volta (in versione beta) all’edizione 2014 di BAKUTEL, la prestigiosa convention sull’informatica che si tiene ogni anno in Azerbaigian e che comprende diversi strumenti operativi per valutare e prevenire il rischio di attacchi informatici nelle organizzazioni pubbliche e private e individui. Dopo più di 8 anni di esperimenti ed esperienze sul campo, questo metodo di analisi (IVRA) si è sviluppato ed è ora disponibile per organizzazioni pubbliche e private. Anche i costi dello strumento sono molto bassi e i tempi di somministrazione molto rapidi (circa cinque giorni ogni 100 persone). Il protocollo di intervento si compone di una fase iniziale di misurazione/valutazione e di una successiva fase di correzione della vulnerabilità.

Il CSLSG, il centro studi che presiedo, è uno dei più antichi in Italia, fondato nel 1999 che continua a svolgere ricerche sulla sicurezza informatica, soprattutto quella legata al mondo aziendale e disponibile per ogni tipo di informazione di dettaglio in materia del fattore umano della sicurezza informatica delle singole organizzazioni.



Techno Quantico

Leave a Reply

Your email address will not be published. Required fields are marked *