Ho appena finito di “elogiare” l’AGICOM per l’ennesima implementazione a mentula canis del “piracy shield de no artri”, che mi trovo a dover confrontarmi con la ennesima trovata italica, questa volta del GPDP.
Intendiamoci io capisco che occorra imporre delle limitazioni per legge sull’uso distorto e non autorizzato di dati, e che queste non necessariamente siano coerenti con gli sviluppi tecnologici, ma ogni tanto metterci un po di cervello non guasterebbe. Qui il riferimento più che al garante va ai DPO e responsabili aziendali che, per mettersi in una “posizione sicura” interpretano certi indirizzi in maniera rigida e decontestualizzata.
Allora vediamo di cosa si tratta questa volta:
A seguito di alcune sentenze, e alle considerazioni che già il garante aveva espresso in passato, il garante stesso si è posto il problema dei cosiddetti “metadati” della posta elettronica.
I metadati
I metadati sono, fondamentalmente, tutto quello che concerne la descrizione di un messaggio di posta elettronica, fatta eccezione dei contenuti. Vengono ricavati durante la transazione SMTP (il protocollo che serve al trasferimento dei messaggi della posta elettronica), le intestazioni tecniche del messaggio di posta elettronica stesso (fate riferimento ai miei Email files per capirne di più), e i log dei nodi attraverso cui passa il messaggio fino al raggiungimento (o meno) della casella di posta dell’utente.
Questi dati, se non gestiti correttamente ed usati in maniera non legale, possono dare adito a processi che violano la riservatezza di mittente e destinatario, e possono consentire un monitoraggio non legittimo, ad esempio, delle attività dei lavoratori ai sensi dello statuto dei lavoratori.
I metadati quindi possono e devono essere oggetto di attenta considerazione.
Ma
Ma, ettepareva, c'è un ma.
io me
I metadati sono anche fondamentali per il funzionamento delle soluzioni che gestiscono la posta, e tra queste esigenze vi è una roba che, sempre per esigenze anche delle normicciuole sulla protezione dei dati, si chiama sicurezza.
Esiste quindi un esigenza di capire quanti metadati vanno tenuti per preservare le esigenze di riservatezza verso quanti servano per il corretto funzionamento dei sistemi.
Il garante ci da una prima risposta: 7 giorni
il garante
Infatti, il Garante ha analizzato (in precedenti provvedimenti) quale fosse il tempo di conservazione dei metadati compatibile con l’attività di raccolta e conservazione degli stessi metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e che rispettasse il principio di accountability e il comma 2 dell’art. 4 dello Statuto dei Lavoratori. La conclusione del Garante è stata – appunto – in poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
Sarei curioso di capire quale sia la componente “tecnica” sottesa a tale valutazione. e metto le virgolette a ragion veduta.
Limitarsi a 7 giorni di metadati è, di per se, una stupidata galattica. Non me ne voglia il garante ed i suoi illuminati esperti, ma evidentemente non hanno mai avuto a che fare con la posta elettronica sia dal punto di vista gestionale che tecnico, e si vede.
Sono pronto a discutere della cosa con qualsiasi “esperto” che ritenga che i 7 giorni siano piu che sufficienti.
Vi sono ottime ragioni per considerare tale finestra temporale inadatta, facciamo qualche esempio:
Cosa succede se occorre fare ricerca di un messaggio, si pensi ad esempio a problematiche legali in cui le email possano essere oggetto della contesa, risalente a problemi anteriori ai 7 (+2) giorni?
Cosa succede se occorre fare troubleshooting di problematiche che si protraggono nel tempo e che richiedono, ad esempio, l’analisi di log di server e MTA?
Cosa succede se occorrono informazioni per monitorare i livelli di sicurezza del sistema?
Cosa succede se per motivi di sicurezza si cerca di capire quale sia la esposizione al rischio degli utenti in funzione delle metriche di attacco che avvengono sulla posta medesima?
Potrei continuare, ma sono sicuro che i più (voglio essere positivo) hanno capito la problematica.
Ma siccome sono duro di comprendonio mi chiedo:
Tali metadati hanno esigenze di vita diverse se si parla di un Mail Server o di un security gateway?
Le due cose solo marginalmente coincidono (la condivisione, ad esempio, del protocollo SMTP e la modifica degli Header di posta)
Alcuni dei metadati citati sono, quantomeno, da meglio definire ad esempio:
Cosa si intende per mittente? il campo “from: ” nella intestazione tecnica o il campo “from: ” in quella visibile?
No signor tenente non coincidono.
e l’ip mittente si intende quello dell’ultimo HoP o quello indicato come iniziale?
E cosi il dominio di provenienza (HELO/EHLO) quale è?
Ovviamente se fossi un pessimo soggetto potrei ricordare che l’alterazione, o la costruzione malevola, di questi metadati è alla base di diversi attacchi perpetrati attraverso la posta elettronica, e siccome sono, fondamentalmente, un pessimo soggetto lo ricordo
I metadati della posta elettronica sono spesso modificati ed alterati da attori malevoli al fine di perpetrare attacchi attraverso tale canale di comunicazione
un cattivo soggetto
La conseguenza di questo piccolo punto è, quindi, che il monitoraggio di questi elementi è fondamentale per questioni di gestione della posta, troubleshooting di problematiche e analisi di sicurezza. Pensare che tali esigenze possano essere ricondotte a un 7+2 giorni significa non avere la benchè minima ne pallida idea della realtà tecnica e delle esigenze di sicurezza.
E quindi?
Li vedo i puristi della “privacy” già si ergono:
le questioni tecniche non devono prevalere sui legittimi diritti e protezione delle lavoratrici e dei lavoratori
i DPO duri e puri del GDPR e gli avvocati indefessi dello statuto dei lavoratori
In realtà il garante ha un problema: far si che i metadati siano usati in maniera legittima e consapevole da parte dei soggetti.
Il garante stesso da la soluzione al di la della delirante richiesta dei 7+2 giorni:
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, per la sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso (quindi tutti salvo rarissime eccezioni quali gli esperti del garante), dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro).
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore ma non per il metadato in se, ma per l’uso illecito effettuato di dali dati.
Del resto se vogliamo estendere la vexata quaestio al piu generico mondo della posta elettronica, compreso, quindi, il messaggio intero, potremmo per estensione pensare di chiederci se è possibile tenere nella casella di posta dell’utente un messaggio per piu di 7+2 giorni.
Attenzione che in pancia a quel mail-server le informazioni sono, almeno negli assunti indicati dal garante per indicare il metadato, tutti presenti.
La eliminazione, quindi, dei metadati comporterebbe la necessaria eliminazione dei messaggi archiviati nel server nella casella dell’utente.
Certo possiamo fargli creare archivi locali, ma questa non è certo una soluzione che si accompagni alla sicurezza (e se volete ne possiamo parlare).
Spieghi il garante allora agli utenti il razionale di tale vincolo e limitazione 🙂
Insomma ad essere chiari le finalità primarie per tenere i metadati per oltre 7+2 giorni, ovviamente, restano troubleshooting di problemi e la sicurezza informatica e i necessari accertamenti da fare a seguito di data breach o comunque incidente sulla sicurezza informatica. Elementi più che validi per ritenere che le indicazioni date siano non sufficienti ne adatte al mantenimento e gestione dei sistemi di posta elettronica.
Ma, occorre dire, il garante stesso non indica un vincolo assoluto nei 7 giorni, ma richiede che retention più lunghe siano poste in essere con la garanzia del rispetto delle tutele previste dal GDPR e dallo statuto dei lavoratori.
Oggi piango la morte di Alfredo Castelli. A lui devo ore di letture amene, non solo con Martin Mystère. Ma proprio al detective dell’impossibile devo una passione per la curiosità e lo “strano”.
Anche i fumetti, se ben fatti, sono letteratura, e possono aprire le strade alla voglia di imparare.
“Il miglior modo di combattere un complottista è presentare una teoria del complotto ancora più assurda”.
Su n’ Zu
Il problema che incontro è che quelle che mi vengono sono più credibili delle loro.
A seguito di un recente thread su X stimolato dai negazionisti dello sbarco sulla luna, tra cui alcuni terrapiattisti, ho deciso di fare chiarezza una volta per tutte sulla vera natura della forma del nostro pianeta. Ne è conseguito un thread su X che qui riporto per semplicità espositiva.
La teoria del “#Terraciambellismo” propone un concetto rivoluzionario della forma della Terra, ipotizzando che il nostro pianeta abbia la forma di una #ciambella (o #toroide) con un foro centrale e confutando le balzane ed astruse idee della #terrapiatta o #terrasferica. Queste ultime infatti mai sono state adatte a spiegare tutti i fenomeni che incontriamo nella esperienza mondana ma sono frutto di speculazioni non basate su solide basi scientifiche e oggetto di uso da parte dei poteri forti per ingannare le masse.
La terra con il suo satellite
La #Terra è in realtà un toroide, una forma geometrica simile a una ciambella. Questo implica l’esistenza di un grande foro circolare al centro del pianeta, che ha implicazioni uniche per la gravità, il clima, e la navigazione. La forma permette di spiegare tutti i fenomeni noti in maniera chiara ed inequivocabile, ivi comprese le misurazioni effettuate dai #terrapiattisti.
Giro giro tondo, casca il mondo, casca la terra, tutti giù per terra.
Il clima su una Terra a forma di ciambella varia notevolmente. Le regioni intorno al foro centrale ricevono meno luce solare, portando a un clima artico, mentre le aree esterne hanno climi più caldi e temperati. i flussi di aria legati ai differenti gradienti di temperatura della atmosfera trovano qui una chiara spiegazione, cosi come i fenomeni relativi quali venti, tempeste, uragani e via dicendo.
Dal punto di vista scientifico occorre analizzare cosa può avere portato alla formazione di un pianeta toroidale.
La Terra toroidale potrebbe essere il risultato di processi cosmici anomali. Ad esempio, durante la formazione del sistema solare, un evento come l’interazione con un campo gravitazionale anomalo o una collisione con un altro corpo celeste potrebbe aver distorto il pianeta.
O in un lontano passato, un campo magnetico estremamente potente potrebbe aver influenzato la materia in formazione della Terra, dando origine alla sua struttura toroidale. Questo potrebbe, per altro, giustificare il forte campo magnetico terrestre.
La terra toroidale, col buco in mezzo, nel contesto del sistema solare. si osservi in basso la via birrea, di cui si intravede la bianca schiuma
Questo campo potrebbe aver modellato il nucleo fuso e la distribuzione delle masse terrestri durante la fase iniziale della formazione del pianeta rendendo la terra magneticamente attiva non come, ad esempio, Marte e Venere.
Immagine della terra presa dalla superficie lunare dai rettiliani, nel centro visibile il riflesso della terra come appare alla stazione spaziale internazionale
Nei millenni, la struttura toroidale della Terra ha influenzato l’attività tettonica e vulcanica, portando alla formazione di catene montuose e vulcani. Questo ha avuto effetti sulle delle placche tettoniche e sulla formazione dei continenti non spiegabili dal #terrapiattismo e poco credibili se consideriamo la terra un geoide quasi sferico.
Questa teoria, annunciata negli anni 60 dal grande astrofisico Andrej A. Stokazof, non ha trovato però spazio nei canali di comunicazione ufficiali a causa della riottosa stolidità degli astrofisici tradizionali restii a mettere in discussione le loro teorie balzane a seguito del lauti compensi che la NASA ed il NWO fornivano loro per simulare eventi quali l’atterraggio sulla luna.
Foto originale scattata durante la preparazione dello “sbarco” sulla luna
Come tutti gli anni dovrei avvertirvi di non cadere in truffe, finte collette e cose del genere.
Like every year, I should warn you not to fall for scams, fake fundraising and things like that.
Ma quest’anno ho deciso di cambiare!
But this year, I decided to make a change!
Per #Natale e #Capodanno basta cadere in #truffe da sconosciuti.
For #Christmas and #NewYear, stop falling for #scams from strangers.
Basta #donare a persone che non avete mai sentito nominare con storie strappalacrime!
Stop #donating to people you’ve never heard of with sob stories!
Basta #credere ad organizzazioni farlocche!
Stop #believing in fake organizations!
Basta farvi #raggirare da gente ignota!
Stop letting yourself be fooled by unknown people!
Quest’anno fatti raggirare da chi conosci!
This year let yourself be fooled by those you know!
Fatti raggirare da me!
Let me fool you!
Prometto che spenderò tutto per fini egoistici miei.
I promise that I will spend everything for my selfish ends.
“Offerta libera” (<– giusto per la esigenza di non pagare tasse) minimo 30 euro
“Free offer” (<– just for the need not to pay taxes) minimum 30 euros
In cambio otterrete, via email, una autentica “denghiu card” fatta con un equivoco template free di word ed entrerete nella mia lista personale di possibili vittime di raggiri.
In exchange, you will receive, via email, an authentic “thank you card” made with a suspicious free Word template, and you will enter my list of possible victims of scams.
Qualche settimana fa ho partecipato ad un interessante evento per CISO. Al di la dell’argomento (per altro estremamente interessante) la cosa simpatica è stata poter discorrere senza vincoli o freni. A tavola (e te pareva che non ne approfittavo per mangiare gratis 🙂 ) tra una chiacchiera ae l’altra si è iniziato a discorrere del difficile rapporto che corre tra il mondo OT ed IT, e di questi con la sicurezza dell’informazione nei suoi vari domini.
è sempre interessante sentire i vari punti di vista e le varie esperienze dalla voce dei protagonisti della nostra vita digitale, ed è interessante come spesso vi sia una comunità di esperienze che ci permette di definire lo stato (povero) della digitalizzazione in Italia.
IT vs OT il peccato originale.
Dall’osservatorio di un CISO è innegabile che OT e IT siano mondi diversi, che usano linguaggi diversi, con diverse esigenze e diverse metriche. Anche i tempi di vita degli oggetti che “vivono” nel mondo OT sono profondamente diversi da quelli che vivono nel mondo IT.
Criticità diverse, lingue diverse, metriche diverse non possono portare ne ad una facile convivenza ne a una facile comunicazione. Il risultato è una estrema diffidenza tra i due mondi, con l’OT che vede nel suo isolamento una forma di salvaguardia dall’invadenza dell’IT. Purtroppo, come già successe ai difensori dei mainframe, il mondo IT ha aumentato la sua pervasività nel mondo IT rompendo un “felice” isolamento che aveva reso i due mondi due cose diverse.
Il mantenimento di posizioni difensive da parte del mondo OT rispetto al mondo IT è comprensibile, ma occorre anche ammettere che il mondo OT si è sviluppato prima ma su esigenze e perimetri estremamente ristretti. L’accesso riluttante di componenti IT in questo mondo ha però aperto una finestra su una evidenza poco amata dall’OT: la senescenza di infrastrutture informatiche progettate senza un reale approccio di sicurezza by design e by default il cui cardine di sicurezza è sempre stato basato sull’isolamento e da un approccio security by oscurity.
Purtroppo questo approccio si è dimostrato, sempre più negli ultimi anni, insufficiente a garantire la sicurezza del mondo OT. Attacchi informatici verso strutture OT si sono moltiplicati con risultati economicamente importanti e non vi sono indicazioni che questo trend sia in diminuzione, anzi.
I criminali informatici non amano rinunziare a potenziali stream di monetizzazione una volta individuati, e la fragilità di molti sistemi OT sulle nuove tecniche di attacco in uso da queste organizzazioni è un canale interessante.
Questa vulnerabilità non è data solo dalla pervasività di sistemi IT nel campo OT, ma anche a fragilità specifiche di sistemi disegnati al di fuori di moderni parametri di sicurezza, non fosse altro per l’età di questi sistemi.
In questo dualismo però l’IT non è senza colpe, se la pervasività è un fatto, cosi come la apertura, la comprensione delle esigenze specifiche dell’OT non è altrettanto diffusa. Il risultato è che l’IT ha replicato, o cerca di replicare, i propri modelli operativi in un ambito differente.
Avendo i due mondi linguaggi diversi, metriche e spesso linee di riporto diverse la comunicazione risulta estremamente difficile e la resistenza tra i due mondi è ancora molto elevata
La sicurezza un ospite incomodo
Dall’osservatorio del ciso esiste però un comune nemico comune sia di OT che di IT, la cui pervasività è percepita come un peso e non come un fattore abilitante al business: la sicurezza dell’informazione.
Infatti la sicurezza o è vista come un sottoinsieme del mondo IT, cosa che alimenta la diffidenza del mondo OT nei sui confronti, o un elemento estraneo a tutto tondo da entrambe.
Ho già parlato in passato del fatto che la sicurezza della informazione è campo diverso dall’IT sia in termini di copertura (la cyber security è solo uno dei domini di riferimento) che in termini logici di indipendenza, controllato e controllore non possono coesistere e, in particolare, non può il controllore (la sicurezza) dipendere dal controllato per ovvi conflitti di interesse. la uscita della sicurezza dell’informazione dal dominio IT ha portato da parte dell’IT una “inimicizia” e la rottura di un rapporto nei confronti di chi si occupa di sicurezza, visto come un ulteriore peso, assieme a compliance.
Le ragioni della inimicizia di IT e OT nei confronti della sicurezza in realtà hanno ragioni più profonde: sistemi disegnati senza tener conto della sicurezza si vedono scoperti proprio nel loro punto di orgoglio, il design. Questo ha portato spesso l’IT (e inizia a vedersi il fenomeno anche nell’OT) a proiettare sulla sicurezza problematiche di design che non competono strettamente alla sicurezza.
Non è possibile pensare che la sicurezza dell’informazione, nei suoi vari domini, assolva a correttore di errori di design ed implementazione, processi incompleti o fallaci, digitalizzazione mal gestita e mal progettata. Eppure, spesso, questa è la richiesta che arriva alla sicurezza quella di coprire, con il proprio budget, errori di design e processo che sono, in realtà, attribuibili ad IT ed OT.
Come è facile immaginare questa “tensione” tra le diverse anime fa leva su questioni economiche e politiche interne all’organizzazione che non sono ne di facile ne di immediata risoluzione.
La percezione della sicurezza informatica come “ostacolo” alle attività di business e non di facilitatore (analogo discorso si può dire per le esigenze di compliance) in realtà è legato al fatto che sicurezza e compliance non sono considerate “ab initio” nel disegno delle infrastrutture ma chiamate ex post a coprire problematiche. Il concetto di disegnare infrastrutture e processi con “privacy e security” inserita “by design” e “by default” è ancora su carta più che reale. E il “business” inteso come la infrastruttura aziendale esterna a IT ed OT non ha competenze o comprensione delle problematiche se non a livello embrionale.
Esempi virtuosi, intendiamoci, ci sono ma sono eccezioni e non la norma. E quando ci sono l’azienda si ritrova un vantaggio competitivo in quanto aumenta la efficienza operativa e riduce i costi di gestione a fronte di un maggiore modesto costo iniziale.
Il prima, l’adesso e il domani
Se il futuro si può considerare da scrivere esiste il problema del pregresso e della gestione del corrente.
Sul passato si può intervenire solo in modalità reattiva, ovviamente, cercando di porre in atto processi e tecnologie che consentano la copertura di sicurezza delle aree più a rischio. Esistono esigenze varie da analizzare, in questo senso mi vengono in mente la microsegmentazione, il controllo degli accessi remoti da parte di operatori esterni, l’accesso remoto in modalità zero trusted, il controllo e monitoraggio di identità e attack pathway.
Per il presente si può pensare alla pianificazione della gestione delle risorse iniziando a definire metriche che aiutino le varie anime della azienda a condividere un approccio risk based che permetta di indirizzare le risorse in maniera più efficiente.
Per il futuro invece occorrerà prima o poi aprirsi ad una collaborazione tra i diversi stakeholder che condividano le esigenze e sappiano sviluppare tecnologie e processi in maniera efficace ed efficiente.
Esiste una soluzione?
La possibilità di riconciliare 6 anime (IT, OT, Sviluppo, Sicurezza, Compliance e Business) pur nella dinamica competitiva delle rispettive esigenze (il budget non è infinito e gli interessi vanno mediati) esiste quando si crea un ponte di comunicazione tra i diversi attori. Questa comunicazione è un elemento che non si crea “a tavolino” o “su carta, ma richiede la effettiva condivisione di attività operative e progetti. Far lavorare in gruppi di lavoro congiunto con obiettivi definiti e misurabili i vari elementi consente di definire una lingua comune che prelude a metriche compatibili e comprensibili.
Ovviamente questo richiede un commitment aziendale forte e una accettazione della sfida da parte dei vari stakeholder che devono accettare di essere “misurati” su questi obiettivi.
Modestamente mi permetterei di suggerire come primo possibile strumento il “cyber range” inteso come esercizio che consideri la attiva e fattiva partecipazione di tutti i vari stakeholders. Come esercizio di “sicurezza” la “simulazione realistica” di un attacco con le relative conseguenze permetterebbe ai vari soggetti di iniziare a capire le conseguenze delle scelte effettuate e di ripensare ad un futuro più ottimizzato. In questo senso la sicurezza potrebbe offrire alla azienda uno strumento di crescita e di creazione di ponti di comunicazione tra le sue diverse anime con la comprensione di cosa potrebbe accadere a causa di un problema di attacco alle infrastrutture (IT) in termini produttivi (OT) e quindi di business, all’immagine (MKTG e comunicazione) e alle ricadute economiche (finance) e legali.
Del resto il problema non è “se” qualcosa andrà male ma “quando”
Antonio Ieranò, Evangelist cyber Security Strategy, Proofpoint
Nella visione tradizionale, quando pensiamo alla protezione dei dati e alla sicurezza dell’informazione, si tende a considerare le attività di gestione del dato come attività svolte all’interno di un perimetro ben definito e, per questo, con una certa sicurezza intrinseca. Vincoli fisici di accesso alle risorse offrono alcuni livelli di protezione, sia fisica che informatica, spesso considerati robusti.
Nella realtà il passaggio globale a modelli di lavoro ibridi, forzato anche da concause esterne, ha modificato sensibilmente l’ambiente di riferimento che dobbiamo considerare quando si parla di sicurezza dell’informazione. Gli ultimi due anni e mezzo hanno visto decollare le opzioni di lavoro a distanza, il che a sua volta ha aumentato le potenziali superfici di attacco per un’organizzazione. Con un maggiore utilizzo di piattaforme cloud e di collaborazione, le persone sono ora più che mai la più grande superficie di attacco e sono particolarmente vulnerabili lavorando al di fuori della presunta sicurezza dei loro uffici aziendali.
Le reti domestiche non sono protette come le reti dell’ufficio, i dispositivi possono essere condivisi con altri e spesso sono ad uso promiscuo (lavoro e personale). I dati ed i sistemi aziendali sono ora accessibili “in cloud” oltre che nei tradizionali datacenter, e la moltiplicazione di percorsi esterni per accedere ai sistemi e risorse aziendali rappresenta un enorme pericolo. Offre agli attori delle minacce più modi per entrare, ma rende anche più difficile tracciare ciò che i lavoratori stanno gestendo.
Inoltre, le organizzazioni stanno creando e spostando più dati che mai. Ciò a sua volta crea nuove forme di rischio per la sicurezza per le aziende, rendendo difficile capire quando i dati sono a rischio, quale sia il loro valore effettivo e, di conseguenza, implementare i controlli appropriati per mitigare il rischio.
Quindi, come possono le organizzazioni affrontare queste sfide relativamente nuove per la sicurezza dei dati?
Alle prese con rischi aziendali più ampi
La forza lavoro decentralizzata accelera anche i rischi incentrati sulle persone, rendendo la protezione dei dati molto più difficile. Nel 2022, il costo totale medio globale di una violazione dei dati ha raggiunto il massimo storico di 4,35 milioni di dollari, secondo il Cost of a Data Breach Report di IBM Security. Secondo il rapporto, il lavoro a distanza è in parte responsabile dell’aumento dei costi. Il rapporto ha rilevato una “forte correlazione” tra il lavoro remoto e il costo delle violazioni dei dati. Le violazioni, in cui il lavoro a distanza era un fattore, costano in media 1 milione di dollari in più.
Le informazioni di identificazione personale (PII) dei clienti sono il tipo di record più costoso compromesso in una violazione dei dati. E questi dati sono preziosi per gli attori delle minacce per furti finanziari, frodi e altri crimini informatici, il che significa che le minacce continueranno a colpire questo tipo di dati e le autorità di regolamentazione continueranno ad aumentare la pressione sulle organizzazioni per proteggerli meglio.
Il regime normativo in continua espansione è uno dei fattori che fanno aumentare i costi delle violazioni dei dati (si pensi al GDPR) e la necessità di una migliore governance dei dati.
Un solido programma di governance dei dati deve riconoscere questo ambiente in evoluzione e considerarne le implicazioni rispondendo a domande fondamentali, come ad esempio:
Dove vengono archiviati i tuoi dati?
I tuoi dati sono protetti o regolamentati?
Come vengono utilizzati questi dati?
Chi vi ha accesso?
Come vengono protetti questi dati?
Come vengono trasmessi alle terze parti coinvolte?
La sfida Insider
I dati non si perdono ne escono da soli. Le persone perdono dati perché sono le persone che vi accedono. Il dato non sparisce per sua volontà: viene rubato da un utente malintenzionato esterno che si sia impossessato di credenziali di un utente aziendale, perso a causa di un utente negligente o preso da un dipendente malintenzionato, spesso a un concorrente. È importante, ora più che mai, proteggersi dalle minacce interne.
Per calare la questione in termini italiani si faccia riferimento a questi dati:
Il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, con il 44% che ha subito un’infezione riuscita. Solo il 38% ha riottenuto l’accesso ai propri dati dopo aver effettuato il pagamento iniziale del ransomware.
Il 39% delle organizzazioni italiane ha riferito di aver subito perdite di dati a causa di un’azione interna nel 2022.
Il 18% dei dipendenti italiani ha cambiato lavoro nell’ultimo anno. Tra coloro che hanno cambiato lavoro, il 42% ha ammesso di portare con sé i dati.
Molte organizzazioni hanno dovuto riorientare i loro sforzi tecnologici e di sicurezza dagli ambienti di lavoro on-premise a una forza lavoro completamente remota, con il risultato di una miriade di nuovi problemi che devono essere affrontati. Aver adottato strategie di digitalizzazione pensate per un ambiente “chiuso” in un ambito aperto e diffuso come quello attuale ha ulteriormente indebolito i perimetri difensivi del dato, esposto a processi non sempre compatibili con la nuova realtà.
Anche se non possiamo attribuire l’aumento complessivo delle minacce interne a un singolo fattore, il passaggio al lavoro da qualsiasi luogo i sempre più frequenti cambi di lavoro hanno entrambi esacerbato questi rischi. Non c’è dubbio che una forza lavoro dispersa crei una maggiore dipendenza dal cloud, una superficie di attacco significativamente più ampia e un indebolimento della visibilità e dell’efficacia dei controlli di perdita di dati legacy. Inoltre, è più facile che mai condividere ed esporre grandi quantità di informazioni sensibili, sia con noncuranza che con dolo.
Affrontare la sfida dei dati ibridi
Mentre la maggior parte delle aziende è ormai ben abituata al mondo post-pandemia, molte politiche e procedure non sono ancora aggiornate. I controlli in atto per proteggere i dati, ad esempio, sono stati costruiti principalmente attorno alle pratiche di lavoro tradizionali che spesso prevedono passaggi “cartacei” non replicabili remotamente se non con stampa e re-digitalizzazione del documento processato con la relativa moltiplicazione del rischio di esposizione di dati sensibili.
In molti casi, le soluzioni tradizionali di protezione dalla perdita di dati (DLP) si sono concentrate su strumenti e perimetri progettati per mantenere le informazioni sensibili all’interno di un ambiente “chiuso” e gli attori malintenzionati fuori. Questo approccio legacy alla DLP si è concentrato sui dati in uso, in movimento e a riposo, senza molto contesto al di fuori di questo.
Tuttavia, con molte persone che ora operano al di fuori delle tradizionali attività d’ufficio, gli atteggiamenti, i comportamenti e i modi di lavorare sono cambiati. E con esso, anche il modo in cui accediamo e interagiamo con i dati è cambiato. Questo nuovo modo di lavorare richiede un nuovo modo di proteggere i nostri dati sensibili sia dall’esterno che dall’interno. Uno che ponga molta più enfasi sulle persone piuttosto che solo su strumenti e controlli.
Mentre le politiche e le procedure possono essere in ritardo nel nuovo ambiente di lavoro ibrido, lo stesso non si può dire dei criminali informatici. Gli attori delle minacce non hanno perso tempo, prima capitalizzando l’interruzione causata dalla pandemia e ora affinando le loro esche per colpire gli utenti in ambienti nuovi e potenzialmente meno sicuri. E continuano a prendere di mira le persone, ovunque lavorino.
Soluzione DLP tradizionali possono individuare attività sospette, ma non forniscono alcuna consapevolezza comportamentale prima, durante o dopo il movimento rischioso dei dati e offrono poco in termini di analisi dei comportamenti rischiosi degli utenti. In altre parole, gli strumenti legacy non possono aiutarti a rispondere al contesto di “chi, cosa, dove, quando e perché” dietro un avviso. Il risultato è un sovraccarico dei team di sicurezza e una visione minima dell’attività reale.
Una moderna soluzione DLP può aiutare a risolvere questo problema. Può aiutare i team IT a individuare e revocare rapidamente app dannose di terze parti e bloccare attori malevoli noti, indirizzi IP dannosi che potrebbero portare alla compromissione dell’account, account potenzialmente già compromessi.
Una soluzione moderna deve adattare costantemente il rilevamento, la prevenzione e la risposta al livello di rischio di un utente e alla sensibilità dei dati a cui accede.
Persone, processi e tecnologia
Una solida strategia per i dati deve includere una combinazione di persone, processi e tecnologia.
Sebbene sia fondamentale mettere in atto i controlli tecnologici corretti, il personale è ancora al centro di qualsiasi potenziale perdita di dati. Sono quelli con accesso privilegiato alle tue reti. Sono quelli che inseriscono le loro credenziali nei tuoi sistemi. Inoltre, con oltre il 90% degli attacchi informatici che richiedono l’interazione umana, sono quelli che hanno maggiori probabilità di esporre i tuoi dati ai criminali informatici.
Ecco perché una moderna soluzione DLP deve tenere conto del comportamento umano, sia in ufficio o fuori.
Sfortunatamente, questo non è il caso di molti sistemi legacy. La maggior parte vedrà qualsiasi comportamento anomalo (ma magari giustificato o obbligato dal contesto in cui opera l’utente) come una bandiera rossa istantanea, che influisce sull’esperienza utente e costa tempo prezioso ai team di sicurezza.
In un momento in cui le pratiche di lavoro “normali” possono significare cose diverse da un giorno all’altro, questo approccio non è più adatto allo scopo. Gli ambienti di lavoro remoti e disparati necessitano di soluzioni in grado di monitorare e prevenire in modo proattivo la perdita di dati tra gli endpoint, tenendo conto del comportamento degli utenti, dell’accesso al cloud e delle app di terze parti.
E tali protezioni adattabili sono solo una parte di un’efficace prevenzione della perdita di dati. Questo approccio incentrato sulle persone deve estendersi anche al tuo programma di formazione. Tutti gli strumenti e i controlli del mondo non bastano da soli. La protezione totale dalla perdita di dati richiede una formazione continua, mirata e adattiva sulla consapevolezza della sicurezza. Formazione che non lascia dubbi sugli utenti sul ruolo che possono potenzialmente svolgere nel ridurre il numero e l’impatto degli attacchi informatici.
Per implementare tutto questo, quindi, non basta solo inserire una “tecnologia salvifica” ma occorre ragionare per livelli adattando le esigenze di sicurezza alle richieste del business, integrando il programma di governance dei dati alle pratiche di sicurezza ed ai processi di compliance.
Un approccio a più livelli consente di passare dallo sviluppo e dalla definizione del programma di governance dei dati alla sua manutenzione e ottimizzazione.
La scoperta, la prima fase di questo approccio, comporta la definizione del controllo iniziale. È qui che si eseguono passaggi quali la qualificazione delle leggi e dei regolamenti applicabili all’organizzazione, la definizione della strategia di protezione dei dati in base ai cicli di vita dei dati, l’identificazione degli utenti a più rischio, l’individuazione dell’impronta digitale, la configurazione dell’inventario globale e l’indicizzazione dei dati.
Nella seconda fase (rilevamento), si sviluppano funzionalità di controllo ottenendo contesto per tutte le attività, l’intento e l’accesso dell’utente; identificare account compromessi e utenti di phishing; e la classificazione di dati sensibili o regolamentati. Stai anche adottando misure per tenere traccia degli incidenti e raccogliere e acquisire dati da tutte le tue fonti.
Infine, l’ultima fase (applicazione) riguarda la crescita delle capacità di controllo completo, come la rimozione di dati da posizioni non sicure, la messa in sicurezza dello scambio dei dati con terze parti, l’applicazione di protezioni dei limiti dei dati, l’implementazione della supervisione completa della conformità e così via.
Suddividendo tutte le grandi domande in passaggi più piccoli e attuabili, stai creando un approccio programmatico che ti aiuta a proteggere i dati in base ai rischi più elevati e ti offre il miglior ritorno sull’investimento. È importante valutare continuamente l’efficacia del programma e ottimizzarlo. Il tuo ambiente è dinamico e le tattiche delle minacce cambiano costantemente.
I criminali informatici di oggi sono in continua evoluzione, prendendo di mira minacce nuove e sofisticate direttamente alle persone. Anche le nostre difese devono evolversi. In caso contrario, questa è una corsa agli armamenti che non possiamo vincere.
Una volta tanto invece di finire dal blog a twitter faccio il percorso inverso ed uso un thread su twitter che ho scritto per svilupparlo un poco nel blog.
Ultimamente si parla molto delle misure del governo inerenti la disponibilità e modalità di pagamento, in particolare della possibilità data ai negozianti di rifiutare i micropagamenti via carta di credito o bancomat (fino ad un tetto di 60 euro) e di alzare la quota ammissibile di pagamenti in contanti fino ad un tetto di 5000 euro.
La discussione, nel suo complesso, richiede ovviamente competenze maggiori di quelle che ho (per fortuna gli italiani, tranne me, invece sono tutti economisti, sociologi, allenatori, costituzionalisti, virologi etc, etc) , e quindi non entrerò nel merito di considerazioni di microeconomia o economia sociale che possano andare a favore o contro della decisione, ma mi soffermerò su alcuni punti salienti della discussione che vedo in giro e che, a mio umile giudizio, non contribuiscono a chiarire i termini della questione.
Va fatta una premessa, le transazioni elettroniche sono facilmente tracciabili e quindi sono uno strumento prezioso nella lotta all’evasione ed al nero. Da qui a richiesta europea di associare al PNRR vincoli che andassero ad incidere sulla evasione (che indirettamente dovrebbe portare alla diminuzione del disavanzo). Purtroppo l’attenzione che si sviluppa anche sui mainstream media in merito è decisamente errata dal punto di vista tecnico.
Evado o non evado, questo è il dilemma
Gran parte della discussione legata ad entrambe le decisioni sono incentrate su 2 argomenti che trovo, nel complesso della gestione del discorso, usati in maniera non corretta ed in alcuni casi sopratutto sul lato dei vincoli legati alla accettazione del POS, pretestuosi.
I due argomenti sono l’evasione e la libertà
L’evasione
Una buona fetta della discussione inerente sia il tetto alle transazioni al contante che alla obbligatoria accettazione dell’uso del PoS anche per micropagamenti riguarda l’evasione.
Ora occorre fare innanzi tutto chiarezza su un paio di punti: il fenomeno della evasione da parte dei fornitori di servizi o di esercenti è abbastanza indipendente dai vincoli di cui si discute. Laddove vi sia evasione questa avviene indipendentemente da tali limiti e obbliga chi “vende” ad alterare la contabilità, cui è soggetto.
Le transazioni in nero, quindi, sono fuori da questo ambito e vi rimangono. Quello che, eventualmente, potrebbe essere più facile per il commerciante al dettaglio è la microevasione. ma il non battere uno scontrino da pochi euro non credo sia l’obiettivo della lotta all’evasione ne la transazione elettronica sarebbe di aiuto.
Poco interessante risulta anche la questione dei costi inerenti i pagamenti con mezzi elettronici. Al di la dei racconti che circolano la realtà è che il pagamento elettronico risulta persino più economico della gestione del contante e laddove le “commissioni” fossero un problema non è certo disincentivando i pagamenti elettronici che si migliora la cosa.
La idea che la categoria dei commercio sia, per altro, intrinsecamente legata alla evasione è tutta da dimostrare, ma in particolare la transazione elettronica dei micropagamenti non indirizzerebbe il problema.
In realtà, in termini di ricerca della evasione il problema della micro-evasione non è nel negoziante, che assumo emetta scontrino, ma nella fonte del contante dell’acquirente, questa si non tracciabile.
Le forme di pagamento diretto sono, lato commerciante, tracciabili in quanto quest’ultimo che è tenuto ad una contabilità che limita le vie evasive o elusive.
Al contrario le transazioni in contanti non sono tracciabili lato acquirente, visto che lo scontrino non è nominativo non c’è modo di associare il flusso di denaro che ha permesso l’acquisto a meno che non si sia in presenza della transazione.
Comprato un bene e pagato, finisce la possibilità di valutare da dove provenga il denaro usato per la transazione che, invece, il commerciante deve tracciare nei libri contabili.
Quando parliamo della necessità di tracciare i passaggi di denaro associati al rischio evasione, il riferimento dovrebbe esser messo su chi usa contanti per i pagamenti, di cui risulta quasi impossibile la tracciabilità e non sui commercianti. Siano questi soldi provenienti da lavoro legittimo, elusione, evasione, lavoro nero o profitti illeciti diventa difficile tracciare la fonte.
Pagare in contanti, quindi, non nasconde la attività del commerciante, ma permette all’acquirente di rimanere “invisibile” alla transazione.
Le transazioni digitali invece lasciano una traccia associabile all’acquirente in quanto nominative, da qui la possibilità di tracciare la fonte del denaro usato nella acquisizione di beni o servizi.
Se il rischio di microevasione quindi dei pagamenti in contanti non è associabile solo a chi vende beni o servizi, che sono comunque in qualche modo misurabili attraverso la contabilità, questo è maggiore se consideriamo chi effettua acquisti.
In quest’ottica sopratutto l’innalzamento del tetto di uso del contante abbassa la possibilità di tracciare possibili evasioni in maniera oggettiva, mentre la possibilità di rifiutare pagamenti POS per microtransazioni risulta poco utile in termini di monitoraggio.
Il tradeoff tra l’aumento della non rintracciabilità delle transazioni economiche legate a tale innalzamento (quindi legate percentualmente a potenziale evasione) e le presunte positive ricadute economiche non è argomento su cui ho elementi di analisi e lo lascio quindi ai tifosi dell’una o altra parte
Per quello che concerne i micropagamenti mi risulta ancora più difficile riscontrare ragioni tali per cui questa sia una scelta premiante dal punto di vista fiscale, ma ne parliamo nel prossimo punto.
La libertà
Curiosamente se, errando, per l’evasione la attenzione è rivolta al commerciante, altrettanto erroneamente si rivolge l’attenzione per questioni di presunta “libertà” verso l’acquirente:
“perchè volete vietarmi di pagare in contanti?”
“io non voglio essere tracciato”
“quello che compro sono fatti miei”,
Sono tutte grida associate alle considerazioni di libertà associate sia all’uso piu o meno obbligatoria del POS che all’innalzamento del contante.
La questione, messa in questi termini, è chiaramente inconsistente per diverse ragioni, vediamone alcune.
Abolire l’obbligo di accettare pagamenti PoS sotto i 60 euro non inficia in alcun modo la possibilità che c’è sempre stata di pagare in contanti. La idea che tale innalzamento restituisca all’utente una capacità di pagamento prima negata è semplicemente assurdo in quanto in italia non c’è mai stato un vincolo obbligatorio di uso dei sistemi elettronici per i micropagamenti. è vero esattamente il contrario, si è dovuto legiferare per permettere a chi voleva pagare con mezzi elettronici la possibilità di farlo.
Se si parla di costrizione delle libertà, quindi, eventualmente è a danno di chi vuole usare la carta e non di chi vuole usare il contante.
Le grida sui sostenitori del pagamento in contanti risultano quindi abbastanza ridicole oltre che inconsistenti, per tacer di chi prova piacere ad andare al bancomat, o allo sportello di banca a prelevare contanti, per finire di chi sente il bisogno (patologico per altro) di essere in contatto diretto col denaro.
La unica obiezione sensata sarebbe la impraticabilità economica della gestione dei micropagamenti da parte dei commercianti, ma come si diceva prima, questa questione non si risolve certo in questo modo.
SI apre quindi un problema legato alla fornitura di servizi ed al loro pagamento che risulta discriminatorio per chi preferisce il pagamento elettronico (sono uno di quelli) e si introduce una distorsione del mercato di cui non si capisce la virtù.
La questione sarebbe, comunque, risibile se fosse lasciata allo sviluppo naturale delle modalità di commercio. Laddove il commerciante iniziasse a sentire che il non accettare pagamenti POS potrebbe comportare un abbassamento del giro di affari vi sarebbe una apertura verso tali modalità. I termini competitivi del mercato quindi potrebbero indirizzare e correggere eventuali distorsioni, se non con la eccezione di alcuni compartimenti particolari come quelli legati ai taxi.
La questione dei taxi è un nodo dolente che, per altro, ci contraddistingue in europa. Chiunque abbia un minimo di esperienza all’estero sa che in molti paesi prendere un taxi e pagare con carta è la norma, da noi sembra essere ancora un esercizio difficile e mal digerito dalla categoria. Categoria per altro affetta da ben altre problematiche ben piu serie, come ad esempio il costo ed il numero delle licenze.
In questo caso una valutazione in merito alla fruibilità del servizio sarebbe più che giustificabile a fronte anche dei malumori della categoria.
Rimane l’obbligo di pagamento elettronico sopra una certa cifra, in questo caso vi è si una contrazione di un certo grado della libertà individuale che però serve a correggere comportamenti lesivi della comunità. Riduzione che non preclude la capacità di acquisto ma ne vincola le modalità, un vincolo olonomo che comunque non pregiudica l’esercizio del diritto del soggetto di comprare quello che vuole nei termini consentiti dai vincoli imposti dalla legge.
Un altro cinema è invece legato alla tracciabilità: non volere che il “governo” (entità alquanto astratta in tali ragionamenti) sappia tutto quello che faccio.
Esisterebbe un fantomatico anelito libertario che porterebbe a voler rinunciare alle forme di pagamento elettronico in nome di una ipotetica invisibilità al sistema.
Curiosamente queste grida vengono da chi usa cellulari e social media per comunicare, e già qui si potrebbero chiudere le questioni.
In realtà la questione è ben più seria e limitarla ai pagamenti elettronici è semplicemente ottuso. La questione del tracciamento delle nostre attività appartiene, infatti, ad un dominio molto più ampio di cui, paradossalmente, l’uso delle transazioni elettroniche legate ai micropagamenti è largamente ininfluente.
Invece che presentare sterili battaglie sul tracciamento dei POS sarebbe opportuno mettersi a discutere più seriamente di quali siano i dati che lasciamo in giro e come questi vengano usati e gestiti, ivi compreso dai governi e dalle istituzioni pubbliche. Il millantato rischio di cui spesso si legge di “ricatto” informatico una volta che tutti i pagamenti siano legati al POS è in realtà già largamente utilizzabile in altri ambiti molto più efficaci. La nostra dipendenza da una, mal disegnata, digitalizzazione è infatti molto più ampia di quello che molti percepiscono.
Non per colpa, ma spesso per non conoscenza dei termini tecnologici di cui si parla.
Conclusione
Sarebbe carino, “semel in anno“, che su questioni cosi strettamente tecniche si instaurasse una discussione non ideologica ma concreta. Sicuramente non su Twitter, ove la concretezza è, nella maggior parte dei casi, mera chimera, ma almeno su canali più tradizionali. Purtroppo mancano gli elementi su cui fare valutazioni concrete e spesso il punto di vista presentato presenta evidenti falle logiche e concettuali che impediscono un fruttuoso confronto.
Il risultato è che si parla di POS come del Grafene nei sieri o della forma della terra.
Vedo il lato positivo, molti commenti sono esilaranti 🤣
Si può fare un resoconto dell’anno anche se siamo solo a 14 Novembre? E perchè no?
Innanzi tutto volevo chiedere scusa a chi si fosse chiesto che fine avevo fatto, ma è stato un anno intenso sotto diversi punti di vista: personali, lavorativi e familiari. Ho ridotto sensibilmente la mia presenza qui per motivi di sopravvivenza, metto nei buoni propositi di ritornarci.
Un anno difficile. Iniziato sotto il segno dalla pandemia della guerra e del cancro per passare alle bollette stratosferiche, ai danni del maltempo, ai problemi di salute in famiglia, fino alle ultime dolorose ma tragicomiche problematiche di salute non posso dire di aver amato quest’anno in maniera particolare.
Ma, pur nell’ombra una luce si deve vedere, e quindi ho avuto anche soddisfazioni, cose che sono migliorate anche oltre le aspettative ed altre che, col senno di poi, potevano andare peggio.
Dove sono stato?
Se la scrittura di un testo lungo mi era diventata estremamente onerosa ho trovato consolazione in twitter dove la mia vena di ironia perniciosa ha casa più consona. Li ho scoperto un mondo divertentissimo tra complottismi, egotismi, e ironia assortita volontaria e non.
mi è servito per affinare la capacità di far ironia e sarcasmo in pochi caratteri, cosa che per uno che è naturalmente prolisso come me è sicuramente un utile esercizio.
Ovviamente poi essendo il 2022 sempre il 2020-2 è arrivato Elon a rendere il tutto più interessante portando il cinguettatore sull’orlo forse dell’oblio. 🤣
Cosa ho imparato (se ho imparato qualcosa)
Chi mi conosce sa che anche nelle peggiori delle situazioni preferisco la levità di un sorriso alla pesantezza della seriosità.
Devo dire che ho riscontrato, per l’ennesima volta, che questa cosa spesso e volentieri si scontra con una idea di serietà che è tutta nella forma e non nel contenuto. Non che la cosa mi disturbi, anzi, mi diverte.
E, ancora una volta, ho trovato riscontro al fatto che pochi usano i numeri per quello che sono, e le interpretazioni più bizzarre sono sempre a portata di mano. Non devo dare mai per scontato che la persona con cui parlo sia in grado di comprendere una statistica o un grafico: va sempre specificato il contesto, la natura dei dati, e come questi sono rappresentati.
Ma si sa se cosi non fosse dove sarebbe il divertimento?
Propositi per il futuro
Al di la di quello ovvio, sopravvivere, direi che vorrei riprendere a frequentare questi lidi, e riprendere il discorso interrotto con gli Email Files ed espandere il perimetro
Grazie per l’amicizia che ho raccolto in questi mesi, a presto
Curiosamente oggi mi ritrovo a rieditare qualcosa che avevo postato anni fa. E sempre oggi ho mostrato nel mio speech del security summit una slides del 2014. Sembra che ultimamente ritirare fuori vecchi scritti sia utile. Visto che tutto cambia per rimanere uguale almeno si ottimizza la produzione.
Rispetto alla scrittura originale ci sono dei cambi sostanziali di ambientazione: la pandemia e la guerra (su cui per scelta non scrivo o commento) hanno esacerbato alcune reazioni, mentre le mie vicende personali quali il cancro e non ultimo l’odierno femore rotto di mia mamma 86enne hanno irrigidito certi miei atteggiamenti riducendo sensibilmente la mia notoria tendenza al politcally correct espressa nella mia espressione:
“non penso che sei cretino per le cose che dici, penso che dici quello che dici perchè sei cretino”
Ma torniamo al soggetto del post. La idea è chiedere a me stesso come e cosa muove la mia adesione ad una idea. Cosa mi convince, e quali sono i motivi per cui credo ad alcune cose ed altre no?
Atti di fede Razionale
Sappiamo tutto? Abbiamo sempre tutti gli elementi di scelta e di analisi?
La risposta purtroppo è no, in un mondo sempre più complesso i nostri strumenti di approvvigionamento delle informazioni sono sempre più disparati ma, contemporaneamente, ci allontaniamo sempre di più dalla sorgente del dato.
Si pensi ad esempio alle informazioni oggi reperibili sui social media, la veridicità della fonte è sempre più complessa. I meccanismi di distribuzione della informazioe sui social, ad esempio, privilegia non la veridicità della fonte ma la contiguità tra il nostro punto di vista e le informazioni che vediamo. Questo comporta due fenomeni interessanti: la radicalizzazine del punto di vista, confortato dal riferimento massivo, e la perdita di interesse al controllo della fonte, in quanto sostituita dal contenuto “massivo” delle conferme che riceviamo. La ragione nasce, chiariamoci, non dal desiderio generico di radicalizzare i punti di vista ma da una semplice esigenza di marketing: farti vedere quello che più facilmente ti attrae per poter vendere lo spazio al committente ad un rpezzo più alto. LA comunicazione “a bolle” dei social media quindi è funzionale ad una chiara esigenza di business: targhettizzare la comunicazione di marketing verso le utenze più ricettive al messaggio. Questo ha comportato effetti collaterali legati a come la informazione gira dentro i social media innescando fenomeni sociologicamente abbastanza noti, dalla adesione al “branco” alla responsabilità condivisa. Tutti fenomeni che, con grande dispiacere dei social media immagino 😂, hanno portato ad una fidelizzazione ed adesione alla piattaforma che ha aumentato la capacità attrattiva della piattaforma stessa.
Il perdere il contatto con la fonte delle informazioni è stato quindi amplificato con anche l’aumentare delle sorgenti cui raccogliere tali informazioni.
Questa è una costante della esperienza umana, la “realtà” che siamo abituati a vedere non è altro che il frutto di una costante reinterpretazione dei dati che riceviamo, nessuno dei dati della nostra esperienza sensibile è, infatti, diretto, tutti sono mediati.
Dal punto di vista biologico questa cosa è evidente, il nostro cervello rielabora le informazioni sensoriali e ne da una rappresentazione che forma la nostra percezione del mondo esterno. Questa rappresentazione è, per sua natura, una cosa differente dalla realtà, ma è tramite questa rappresentazione che possiamo interagire con l’ambiente che circonda.
Questo meccanismo è evidente, ad esempio, nella visione. Senza questa “reinterpretazione” non potremmo gustarci le animazioni. Spero che tutti sappiano cosa è un frame-rate e che le immagini che vediamo in TV o al cinema sono costruite sfruttando il fatto che il nostro occhio impiega un certo lasso di tempo per “recepire” una immagine che poi viene interpretata dal sistema visivo, e tale sistema produce la sensazione di moto reintepretando le sequaneze di immagini ricevute. Se non lo sapete allora la questione è più grave del previsto 🤣😂.
Se paradossalmente la questione dal punto di vista biologico è chiara ed evidente, lo è meno dal punto di vista della comprensione umana del fenomeno. Il meccanismo di rappresentazione del cervello è tale che si ha la sensazione che ciò che “proviamo” sia la realtà, anche se sappiamo che questa “evidenza” altro non è che una rappresentazione e come tale frutto di una elaborazione.
Se cambiamo i parametri della elaborazione cambia la realtà? La questione è complessa in quanto la realtà non si limita ad elementi semplici, anzi, nulla nella realtà è semplice.
Ciò che “è”, “è” e non può non essere.
Su questo sillogismo si basa la maggior parte della nostra logica, la sua evidenza era chiara fino a quando la filosofia naturale (la chiamano scienza oggi come oggi) non ha scoperto che un assunto del genere non è più assoluto.
Se la filosofia ha iniziato a demolire questo postulato da tempo immemore (esagero lo so, ma immemore mi piace come termine), sono la matematica e la fisica che ne hanno decretato la fine; se da un lato la matematica, ad esempio, si è aperta all’irrazionale (in termini matematici, non in termini psichiatrici🤣 ) con l’introduzione dei numeri omonimi, la fisica con il principio di indeterminazione e poi con il dualismo particella onda ha fatto crollare le nostre certezze…
Chiunque abbia un minimo di infarinatura di filosofia e filosofia della scienza queste cose le avrà, probabilmente, già incontrate.
Purtroppo il mondo moderno ha deciso che si possa egregiamente fare a meno di logica e filosofia, come se queste servissero non a darci strumenti di analisi del reale ma fossero oggetti campati per aria ad uso di gente che non ha niente da fare di concreto, e quindi siamo rimasti privi di quegli strumenti basilari che ci consentano di gestire una dicotomia in cui il mondo rifiuta il principio di non contraddizione mentre noi non siamo capaci di pensare senza di esso.
La realtà non è ciò che percepisco, ma non lo capisco
Il risultato di questo buffo paradosso è che di fatto adottiamo strumenti di analisi logica (non parlo di quella di analisi del testo) inadatti a descrivere la condizione attuale di una realtà che sembra non rispettare le nostre leggi mentali.Il risultato si riflette in un atteggiamento che vincola la nostra esperienza ad atti di fede che ci consentono di interpretare cosa stiamo provando senza esserne sopraffatti.
In realtà il meccanismo di accettazione fideistica degli strumenti di interpretazione è alla base del nostro processo naturale di apprendimento, nessuno pensa (o dovrebbe pensare) di poter gestire, tramite l’analisi empirica, tutto lo scibile che è costretto a processare per la costruzione del modello della realtà che lo circonda.
Impariamo dai genitori, a scuola, in contesti sociali, sul lavoro. E da questi apprendimenti, anche per emulazione e desiderio di integrazione, formiamo sostanzialmente il nostro bagaglio di verità e costrutti morali ed etici. Bagaglio cognitivo che ci occorre per interpretare, capire, la realtà complessa che ci circonda.
Tutte le volte che affrontiamo un problema partiamo da due posizioni distinte: o non ne sappiamo nulla e, forse, cerchiamo di informarci, o abbiamo già un preconcetto e cerchiamo di confrontare il problema con tale strumento.
[nota dell’autore, per preconcetto si intende una idea, modello, interpretazione dell’evento fatta a priori e basata sulle nostre precedenti attività o conoscenze]
[nota dell’autore: non sapere nulla di un argomento non significa sapere di non sapere dell’argomento. I meccanismi associativi per “similarità” spesso ci danno l’imprressione di conoscenza anche su argomenti di cui non sappiamo nulla.
In realtà entrambi i meccanismi presuppongono che noi si abbia già una serie di dati esperienziali da cui partire, e questi dati sono essi stessi frutto di preconcetto o comunque di rielaborazioni. La imparzialità è una utopia legata al fatto proprio che la nostra esperienza è parziale. Ma questo è nella natura umana, e l’accettazione di tale meccanismo dovrebbe portare allo sviluppo di strumenti di analisi critica della realtà nella forma che vediamo.
Quindi?
Il problema nasce dal fatto che, in mancanza di modelli cognitivi diversi, ci troviamo a fare delle scelte di accettazione “fideistica” dei parametri di costruzione del modello della realtà. Sono scelte di fede razionale, nel senso che accettiamo per vero un dato in funzione della analisi, più o meno razionale, che facciamo della sua sorgente. Una volta accettato il dato questo diventa postulato della nostra interpretazione della realtà, fino a che non abbiamo la possibilità e la volontà di metterlo in discussione.
Parole inutili? Filosofia spicciola? Forse si, ma se facciamo mente locale a come noi costruiamo il mondo che ci circonda ci dobbiamo per forza confrontare con il fatto che dobbiamo credere a qualcuno o a qualcosa.
Il reperimento delle informazioni: è vero perché’ ci credo
Non potendo vivere in un relativismo assoluto (che, se vogliamo, essendo un assoluto non è relativo) quando siamo di fronte ad un dato lo processiamo come vero o falso in funzione della fiducia che associamo alla fonte che ce lo tramette. Spesso questo atto di fede è inconsapevole, il media o l’habitus culturale in cui viviamo ci portano a fare questa scelta.
I primi media che ci danno questa sensazione sono i nostri sensi ed il linguaggio. Noi crediamo vero quello che vediamo perché ci fidiamo dei nostri occhi, poco importa il fatto che dovremmo sapere tutti che i nostri “occhi” non vedono la realtà ma la interpretano.
L’errore visivo è tanto comune quanto non considerato dalla maggior parte della popolazione, anche in ambiti estremmente delicati, si pensi all’uso dei “testimoni oculari” in indagini e processi. Considerati comunemente affidabili sono in realtà spesso in errore.
Il problema non è, in molti casi, la buona fede, ma il fatto che le attività di processo dell’immagine e le successive elaborazioni (dalla costruzione stessa nel cervello della immagine, che deve per sua natura ridurre la quantità di dati processati tramite assunzioni esperienziali precedenti, alla sua gestione e ricostruzione mnemonica che alterano le “immagini” a causa di referenze ed inferenze di dati esterni e interni) possono portare a Bias non indifferenti rendendo il tasso di errore estremamente alto.
Cosi come la vista anche il linguaggio ci guida nella scelta di chi fidarci e che dati siamo in grado di processare, se non capiamo una fonte la consideriamo inaffidabile, la “comprensione” linguistica diventa quindi un elemento di discernimento tra il vero ed il falso. Quando si parla di linguaggio dobbiamo fare lo sforzo di considerare l’aspetto sia sintattico che semantico. La questione non è ininfluente, uno dei problemi fondamentali di chi si occupa di information tecnology e security è proprio la assenza di strumenti linguistici da parte dei non addetti ai lavori cui l’IT o la security si rivolgono. Il risultato di tali incomprensioni (più o meno coscienti) porta, ad esempio, alla endemica incapacità di fare calcoli di ROI reale in ambiente informatico, o alla deprimente mancanza di sviluppo di sistemi di organizzazione aziendale che siano confacenti alle possibilità delle nuove tecnologie.
La questione linguistica non è quindi secondaria alla credibilità. Quando parliamo con un Board o semplicemente col nostro capo saremo più efficaci quanto più sapremo creare un ponte tra quello che vogliamo dire e le capacità linguistiche del destinatario. Si tenga presente che le capacità linguistiche sono legate al linguaggio “tecnico” utilizzato negli ambiti specifici. Tutti i gruppi al loro interno tendono ad usare linguaggi autoreferenziali costruiti su esigenze in parte tecniche ed in parte di appartenenza. Il ponte linguistico (la divulgazione) è spesso uno degli elementi mancanti nella comunicazione tra gruppi che appartengono a lingue tecniche diverse. Questo è fondamentalmente il motivo per cui chi si occupa di sicurezza fa fatica a parlare e capire chi si occupa di legge, IT o finanza e viceversa. E, come si diveva prima, se non ci si capisce non ci si “crede”.
Credere a qualche cosa diventa un atto di fede sempre più forte man mano che aumenta la complessità del problema e della analisi che facciamo di esso. Durante gli studi ci fidiamo dei libri di testo, e questi ci portano a rappresentare la realtà in funzione di quello che abbiamo imparato. Questo significa, fondamentalmente, che la nostra percezione del vero è legata a quanto ci fidiamo della sorgente dei dati o del modello che utilizziamo sin dall’inizio della nostra esperienza cognitiva e di apprendimento. Alla fine noi diamo un valore di verità che non è oggettivo ma legato allo storico delle nostre rielaborazioni percettive e pregressi apprendimenti.
Non è vero perché vero, ma perché lo ritengo tale in quanto ho, ad un certo livello della analisi, dato per veritieri dati forniti da sorgenti esterne (o interne) a me.
Dal momento che non possiamo vivere in una costante sensazione di relativismo cognitivo ed esperienziale tendiamo ad assolutizzare queste “verità” come assiomi o postulati che espandono il bias cognitivo alla base.
La assolutizzazione delle verità cosi costruite va dal “abbiamo sempre fatto così” al “ho cose più importanti di cui occuparmi”.
La questione ha appassionato i filosofi per secoli, pur senza scomdare Kant e la dicotomia tra fenomeno e noumeno possiamo dire che questi temi hanno una rilevanza cognitiva e culturale non indifferente.
Nella parte conclusiva della Critica della ragion pratica leggiamo una delle più celebri pagine di Kant che così recita: <<Due cose riempiono l’animo di ammirazione e venerazione sempre nuova e crescente, quanto piú spesso e piú a lungo la riflessione si occupa di esse: il cielo stellato sopra di me, e la legge morale in me.
L’uomo buono o cattivo si distinguono dalla adesione alla legge morale assoluta, che è distinta dalla sfera noumenica in cui l’uomo ha dei limiti (anche, se non altro, quelli percettivi).
In questa ottica si corre però un rischio molto grosso: quando la nostra analisi critica aggiunge un valore morale al concetto di “vero” o “falso”, conseguentemente, il vero o falso diventano “buono” o “cattivo”.
Complottisti e debunker
Un classico esempio di questa deriva è il dualismo complottista – debunker. In questo confronto entrambe le “fazioni” usano strumenti di analisi della realtà analoghi, ma utilizzano una valutazione diversa della analisi delle fonti dei dati e, quindi, della veridicità delle medesime.
Il problema è se credere a qualcosa ed a chi credere, in funzione di questi assunti si decide quale sia la realtà. Cosi se da un lato il non credere ad alcune fonti legittima la ricostruzione alternativa, dall’altro proprio il credere alla fonti determina la eventuale accettazione. Volendo trascurare la malafede, e quindi l’interesse a modificare volontariamente le informazioni, le analisi di entrambi sono spesso logiche e razionali, salvo il fatto che non riconoscendo l’uno la veridicità dei dati dell’altro, le conclusioni sono possibilmente antitetiche.
Introducendo però un fattore di analisi morale alla scelta della veridicità del dato si introduce anche una chiave di lettura tale per cui le due fazioni sono certe della malafede (o stupidità) della controparte proprio per il non volere accettare la evidente veridicità del dato di partenza usato per l’analisi.
In questi termini la “assolutizzazione” delle verità di cui si parlava qualche paragrafo addietro assume un valore critico.
La realtà è che entrambe le parti hanno speso ottimi motivi per dubitare o credere alle fonti da cui fanno partire l’analisi ma i loro modelli di ricostruzione della realtà portano spesso ad un “dialogo tra sordi”.
Questo meccanismo è evidente sia nelle polemiche complottistiche ma anche, ad esempio, nella realtà politica italiana dove il dato oggettivo non solo non esiste ma viene considerata negativamente (anche dal punto di vista morale) anche l’analisi critica delle fonti (mi ricorda la frase: sei critico del marxismo e quindi fascista).
L’allontanamento dal confronto dialettico per abbracciare una posizione “fideistica” è però psicologicamente riassicurante. Molto piu semplice è credere alla “cattiveria” o “stupidità” dell’avversario che affrontare lo stress cognitivo della messa in discussione della veridicità delle proprie fonti cognitive.
L’aumentare della possibilità di accedere ad informazioni offerto da internet ha, nei fatti, accuito questo fenomeno aggiungendovi una pesante atteggiamento antiscientifico, dando spazio ed adito a fenomeni, nella forma piu ludica quali il “terrappiattismo” o in derive piu preoccupanti a posizioni tipo i “no Vax”.
Si noti che qui non si discute della “correttezza critica” di certe posizioni, ma del problema della accettazione fideistiche che appare in molti soggetti in merito a una posizione o l’altra.
L’atteggiamento antiscientifico ha portato con se un radicalismo delle posizioni con un rigetto della analisi critica e storica dell’evento in favore di una presa di parte parziale ma “di branco” e “moralmente pesata”.
Si pensi ad esempio al terrapiattismo (ma andrebbe bene anche la terra cava o i rettiliani). La assunzione di veridicità della affermazione è impervia a qualsiasi critica. In assenza di un modello unitario che speghi la fenomenologia esperienziale di cose come le stagioni o il ciclo “giorno notte”, si creano “modelli” specifici per il singolo punto che giustifichino l’atto di fede iniziale, si aggiungono spiegazioni sul fatto che la controparte, in maniera malevola, nega la verità per ragioni più o meno oscure. Neppure rilevazioni specifiche pseudo scientifiche contrarie smuovono il consolidato derivante dall’assuno iniziale che è una verità assoluta e morale. Il risultato è che se non credi sei o stolto o in malafede.
Le conseguenze piu pericolose di questo modo di interagire con la realtà sono legate alla gestione dei problemi; non affrontando il problema per quello che è ma per quello io “voglio-credo” che sia e rinunciando al metodo scientifico di controllo, di fatto non definisco il problema e quindi non sono in grado di determinare una soluzione se non con atti di “fede” estremi.
Lo stesso atteggiamento di chiusura si ritrova in tutti i settori, informatica compresa, dove sarebbe opportuno invece cercare di creare modelli di confronto dialettico più aperti invece che chiusure aprioristiche o adesioni talebane. Si pensi a Privacy e GDPR come esempi.
Per capirci la natura del problema è estremamente concreta. Si pensi al fenomeno, comune, del ripetersi degli stessi incidenti di sicurezza informatica presso una azienda. Si potrebbe pensare che imparando dall’incidente si mettano in campo soluzioni e processi per mitigare ed indirizzare il problema. Invece, al di la della estremizzazione della risposta all’attacco (spesso sconclusionata quanto erratica), non si cambiano le assunzioni che hanno portato al problema perchè radicate come “verità” (il famosdo ‘abbiamo sempre fatto così’ non ne è che una esternazione) anche per la incapacità di comunicare tra le varie componenti aziendali vincolate ai loro linguaggi settoriali specifici. E come si diceva all’inizio la verità assume una valenza legata al moduoo comunicativo estremamente forte. Del resto il linguaggio tecnico è vincolato ad assunzioni di verità che ne determinano le caratteristiche.
Metodo scientifico? Cosa è?
Ma perchè il metodo scientifico viene sempre piu rigettato? Uno dei problemi è una fondamentale incomprensione di cosa sia la scienza. Le scienze, non solo quelle naturali, non forniscono verità ma “spiegazioni” dei fenomeni attraverso la modellizzazione e la ripetibilità. I modelli per essere accettati devono avere, almeno, 3 parametri fondamentali:
partire da dati di analisi definiti in cui vi sono dati di riferimento, assunzioni di processo e risultati di output
costruire un modello del fenomeno che elaborando i dati definiti produca risultati ripetibili e\o confrontabili
Una “peer” review che consenta a soggetti informati di analizzare dati, modello ed output evidenziando, se necessario errori e correzioni.
Ora tutti e 3 i punti sono di difficile applicazione nella vita normale in quanto richiedono, a fronte di un problema, di essere in grado di definirne il contorno (e quindi esercitare una azione critica sulla raccolta e processo dei dati), crearne un modello ( e quindi farsi una idea di cosa succede) e, sopratutto, confrontarsi con “esperti” (e quindi mettere in discussione le proprie assunzioni in un confronto paritetico).
Si noti che sia la modellizazione che il fatto che gli output siano ripetibili e\o confrontabili non coincide con la idea classica del metodo sceintifico per esperimento empirico. Se cosi non fosse quasi tutta la fisica teorica del 900 non sarebbe da considerare scienza. In altre parole il metodo scientifico può anche astrarsi dalla realtà empirica.
Risulta evidente come sopratutto la “messa in discussione dei propri assunti in un confronto paritetico” sia la funzione di attrito maggiore, in quanto richiede che vi sia una posizione non morale sul giudizio della eventuale controparte.
Un approccio non “morale” comporta, Ça va sans dire, assumere che la controparte possa comprendere anche il proprio punto di vista a patto di presentarlo in maniera comprensibile (in comunicazione lo sforzo di adattamento maggiore deve essere da parte del mittente che ha i contenuti trasmissivi). Questo vincolo è spesso evidente quando, ad esempio, gruppi aziendali quali IT, Sicurezza, Compliance e Board si confrontano. Non di rado le discussioni partono con un non espresso “ma voi non potete capire”, mentre sarebbe opportuno partire da un “cerco di capire te e tu cerca di fare altrettanto con me, che magari un punto di incontro si trova”.
La sicurezza informatica, mio campo elettivo, soffre profondamente di questi problemi. La mancanza di metodo sceintifico è, nonostante molti si crogiolino nel pensare di essere in ambito STEM, evidente ad esempio nella mancanza di risk management che richiede proprio un approccio scientifico con i 3 punti citati in precedenza. Paradossale che proprio l’ambito ove occorre calcolare dimensioni precise e creare modelli si passi il punto in secondo piano.
Ma non solo la sicurezza informatica avrebbe bisogno di una “strigliata”, tutto il nostro modo di gestire la veridicità delle fonti andrebbe rivisto, sopratutto quando la distanza tra la fonte e la informazione è ampia (come nel caso dei social media). E si ricordi che trovare una adesione di branco ad una informazione non è avere una peer review che, invece, richiede un confronto e quindi una messa in discussione degli assunti.
Se si usasse l’approccio scientifico anche nella lettura dei giornali e delle notizie “googlate” probabilmente molte delle cose scritte e lette assumerebbero un valore diverso, ma toglierebbe a molti leoni da tastiera, manager assoluti ed indiscutibili, politici portatori del verbo e economisti del miracolo il terreno su cui traggono le loro fortune.
Ma occorre anche essere concreti, la idea che si possa analizzare tutti i pezzi di informazione cui siamo connessi è improbabile. Biologicamente abbiamo bisogno di semplifficare il flusso informativo che, altrimenti, ci schiaccerebbe. Quindi una certa parte di relativismo quando leggiamo le informazioni e le assumiamo è opportuno. Del resto anche al fonte più credibile potrebbe sbagliare, almeno parzialmente.
Non è un bel momento in generale per il mondo, e questo numero degli “The email files” avrei preferito non doverlo scrivere.
Ma occorre essere concreti, e così ho deciso di scrivere un numero dedicato al minimo di igiene che occorre implementare per la mail in caso di guerra, o operazione militare speciale.
Non mi interessa da che parte state, le valutazioni qui espresse sono generali, la sicurezza informatica ha le sue ragioni che sono indipendenti da fedi, credi o appartenenze. Spero quindi che leggiate queste note per quello che sono, semplicemente alcuni consigli per gestire con maggiore sicurezza il media di comunicazione più diffuso ed usato.
Un minimo di contesto.
Mentre nei media mainstream per lungo tempo si è sollevata la leggenda dell’hacker solitario, con cappuccio, merendine, e schermo verde, il mondo reale è abbastanza diverso.
La realtà che muove la sicurezza informatica è molto più complessa, l’hacker solitario è una immagine romanzata e poco credibile. Questo, intendiamoci, non vuol dire che non possano esserci individui particolarmente dotati che lavorano in maniera solitaria, ma che la maggior parte del contesto in cui si muovono i rischi informatici è molto più legato a gruppi organizzati che a tali soggetti.
Soprattutto in termini di cybercrime e cyberwarfare la presenza di gruppi organizzati è una nozione consolidata tra chi si occupa di questi ambiti.
Le considerazioni che seguiranno fanno riferimento principalmente alla mail, ma per larga parte sono estendibili ad altri ambiti.
Il motivo di questa edizione speciale è, di per sé, evidente: siamo, al di là delle sottigliezze linguistiche, di fronte ad uno stato di guerra e questo comporta una escalation di alcune dinamiche che vanno considerate e gestite.
Rischiamo qualcosa?
Dovrei dire che le norme di sicurezza minime andrebbero implementate sempre, a prescindere dalle crisi geopolitiche. Ma sono cosciente che chi non si è mai preoccupato della sicurezza delle proprie informazioni e dei propri dati, che non capisce il valore sotteso agli asset digitali, che non ha idea di dove risieda ed in cosa consista la propria proprietà intellettuale possa trovare difficoltà a reagire di fronte all’alzarsi della paura di attacchi che, proprio in quanto non compresi, suonano ancora più spaventosi.
Allora cerchiamo di fare un poco di chiarezza:
La posta è ancora il primo vettore di comunicazione in campo entreprise, ed uno dei vettori più diffusi a livello personale. è anche uno degli obiettivi spesso usati per sviluppare attacchi sia in ambito aziendale che personale.
Le motivazioni sono diverse, ma al lato tecnico si sovrappone il lato umano. Le email sono lette da esseri umani e quindi la vulnerabilità umana è uno dei bersagli di attacco.
Se lo sfruttamento di tali vulnerabilità in campo criminale assolve a funzioni prettamente di guadagno economico, in tempo di guerra si aggiungono problematiche legate alla disinformazione, spionaggio e anche cyber-warfare.
In particolare va osservato come la commistione tra attività di cyber warfare e criminali portate avanti da alcuni attori possa spostare, a parità di tecnologia usata, obiettivi e quindi danni. Se un obiettivo economico, tipico del cybercrime, è legato all’acquisizione di soldi ma non alla distruzione della vittima (anzi meglio se si può tornare a batter cassa), uno di warfare può essere invece orientato all’annullamento delle capacità operative del bersaglio.
Tutto questo non è compatibile con la favoletta dell’Hacker, ma è compatibile con una realtà molto più complessa.
Anche limitandosi alle notizie apparse recentemente la cosa dovrebbe oramai essere entrata nella comprensione dei più. Qualcuno avrà sentito delle affermazioni del gruppo di cyber-criminali “conti” che ha dichiarato la sua adesione alle azioni russe, mentre il collettivo “anonymous” si è schierato a favore della resistenza in Ucraina.
Ora “conti” è una organizzazione che è dedita da anni ad attività di criminalità informatica (principalmente attacchi ransomware) di cui si sapeva ci fossero legami con l’intelligence Russa, ma fin ad ora non c’era stata una dichiarazione esplicita in tal senso da parte di “conti”.
“Anonymous” invece è un collettivo di “Hacktivisti” che ha avuto momenti di notorietà nei mainstream anche le attività solte in occidente. All’interno della galassia “Anonymous”, decentrata e non organizzata in termini assoluti, è nota da tempo anche la presenza di gruppi con legami al mondo occidentale, sia stati che organizzazioni “private”.
La realtà è che la commistione tra gruppi di hacktivism, spesso dediti al defacing, ddos e data exfiltration, cybercriminali, principalmente dediti ad attività di criminalità informatica tipo gli attacchi ransomware, e gruppi dediti al cyber warfare orientati spesso a spionaggio o danneggiamento delle infrastrutture (stuxnet ricorda qualcosa?) è nota da anni, non è certo una novità delle ultime 2 settimane. Addirittura per alcuni stati, come la corea del nord, tale commistione funge anche come meccanismo di approvvigionamento di valuta per finanziare strutture interne.
la situazione è quindi simile a quella descritta nell’immagine sottostante.
Insomma dalla narrazione del singolo hacker alla realtà corre una certa differenza. diciamo che una definizione delle attività correnti sarebbe più correttamente quella descritta sotto:
che rappresenta in maniera più fedele quello che accade negli ultimi anni.
La posta ai tempi della guerra.
Ma come ci aiutano queste informazioni nel gestire la posta?
Andiamo per gradi, cosi ci capiamo.
Il mondo descritto sopra è così da qualche anno, quindi, per quando sia difficile da credere, le cose da implementare non variano molto da una situazione di guerra ad una di pace per la posta. Quello che cambia, principalmente, è la esposizione al rischio che aumenta dal lato cyber warfare. questo significa che a fronte, come si era detto prima, di attacchi che usano tecnologie analoghe a quelle di tempo di pace, l’obiettivo potrebbe diventare non quello economico ma quello di fermare o distruggere le capacità operative della vittima.
Ovviamente non tutti hanno gli stessi rischi, ci sono obiettivi più esposti ed alcuni meno esposti. Ma considerando che le tecniche in uso sono analoghe a quelle normalmente usate alcune osservazioni vanno fatte.
Social Engineering
Dal phishing alla BEC c’è da aspettarsi che il numero di attacchi sia crescente, e che i temi relativi alla guerra, ai profughi, alle conseguenze economiche della crisi corrente, ed anche alle polemiche politiche sarà in rialzo.
Le aziende che hanno attività nei teatri di scontro potrebbero vedere anche un aumento della pressione di attacchi sulla supply chain.
Una differenza rispetto le operazioni normali, è che la commistione tra cybercrime e cyber-warfare potrebbe spingere l’attaccante a utilizzare la vittima come testa di ponte per effettuare l’attacco verso una terza parte.
Per quello che riguarda le infrastrutture critiche, ricordo che stiamo parlando ancora della posta elettronica, ci potrebbe essere invece lo sviluppo di un attacco lasciato quiescente. Questi target sono spesso obiettivo degli attori di cyber-warfare, il cui modus operandi è spesso esteso su tempistiche diverse rispetto alle attività di cybercrime.
Account Takeover
Essendo la posta un meccanismo che si basa, alla ricezione, principalmente sulla fiducia di riconoscimento del ricevente nei confronti del mittente, le attività di account takeover sono estremamente efficienti perché permettono di aumentare il livello di fiducia sui contenuti perché provenienti da una fonte “credibile”.
Ricevere un messaggio da un mittente noto è infatti un meccanismo molto facile per creare un vincolo di fiducia.
Malware ed altre schifezze
Ebbene sì, il malware continua ad arrivare e ad essere utilizzato. Niente di nuovo sotto il sole, ma il rischio di un aumento anche da questo punto di vista è realistico. Il malware può essere deliverato in diversi modi:
tramite attachment
tramite file associato ad una URL
tramite codice malevolo su una landing page
…
e via dicendo.
Occorre quindi avere un poco di attenzione.
Cosa fare?
In realtà siamo in un clima di Business As Usual con un livello di rischio più alto. Il che significa che le cose che si sarebbe dovuto fare in tempi normali, adesso diventa ancora più impellente implementarle in maniera corretta.
vediamo di dare qualche indicazione:
occorre avere un sistema di protezione della posta avanzato, che sia in grado di offrire analisi su social engineering (esempio phishing, BEC) , malware, e che offra capacità di sandboxing contro il malware
antivirus aggiornato
malware detection in modalità aggressiva
Protezione su URL attiva sia in modalità preventiva ma anche e soprattutto “at click time” per contenuti compromessi post delivery
meglio avere accesso a sistemi di Threat intelligence per monitorare, almeno, che tipo di threat actor sta attaccandovi.
approccio cautelativo sulla gestione dei file
Non far passare gli eseguibili MAI
fare scansione di tutto, limitare le eccezioni al minimo indispensabile
nel dubbio metti in quarantena
quello che non si può scansionare (file criptati, zip con password, file danneggiati) non va consegnato direttamente all’utente ma esploso in maniera protetta
Usate un approccio restrittivo sui protocolli di email authentication:
Onorate le policy DMARC “reject” e “quarantine”
Quarantenare gli SPF hard fail
Quarantenare errori DKIM
Marcate le email provenienti dall’esterno in maniera che siano riconoscibili
aggiungete una nota ad inizio email (nessuno legge fino alla fine) che evidenzi le email provenienti dall’esterno
se non si possono creare note almeno cambiate il subject\oggetto
Verificate se serva una regola Anti-spoofing per bloccare almeno per i domini di cui siete sicuri non vengano generate email al di fuori dei vostri mailserver
Vietate lo scambio di posta per lavoro da parte di domini di email pubbliche (ex gmail, libero) a meno che non sia strettamente necessario
Verificate su canali di comunicazione alternativi (una telefonata vi salva la vita) tutte le richieste “inusuali” tipo cambio IBAN, solleciti pagamenti, comunicazione credenziali
Utilizzate sistemi di remediation automatica, nessun sistema è perfetto, non considerare la remediation vuol dire non ragionare in termini di sicurezza.
Formate gli utenti ed alzate il loro livello di attenzione.
Limitate al massimo le safelist, riducendole in numero e in termini di utenti cui le applicate. Se possibile non fate safelist che coinvolgono tutti gli utenti, leggetevi “the email files” sul safelisting
Insomma diciamocelo, non sono regole fuori dal mondo. A parte il riferimento alla threat intelligence il resto dovrebbe essere BAU (non nel senso del cane ma di Business as Usual).
Niente panico ma un minimo di norme di sopravvivenza, che in realtà funzionano anche in tempo di pace.
