DOSSIERAGGIO, L’ORO DEL TERZO MILLENNIO E L’ETICA
Scuola Internazionale Etica & Sicurezza Milano - L'Aquila
INSEGNIAMO A GUARDARE LONTANO Consulenza, Formazione, Centro studi
Articolo di Marco Ranieri
Seguo con grande curiosità, come tanti del resto, non solo l’evoluzione della vicenda Equalize ma anche le opinioni di esperti di settore e di colleghi vecchi e nuovi. Avendo avuto il privilegio di lavorare su entrambe le sponde del mare della sicurezza, tanto pubblica quanto privata, ho certamente un’opinione strutturata sull’accaduto ma non è questo che credo valga la pena di essere condiviso. Non vedo rilevante valore aggiunto. Parimenti, nessun commento credo sia sensato in merito alla consueta, stucchevole e poco utile polarizzazione del dibattito pubblico dove, al bianco e al nero, non si alternano praticamente mai sfumature di tonalità certamente più aderenti al reale. L’approccio binario è sicuramente utile alla velocità ed alla dialettica del confronto online ma, spesso, scollato dalle diverse sfumature della verità sia essa fattuale, inquirente o giornalistica. Hacker eccezionali o dipendenti pubblici infedeli? Normative inadeguate o scarsa applicazione di quelle esistenti? Clienti consapevoli o parti lese? Potrei proseguire con le dicotomie che hanno nella semplificazione del dibattito il loro scopo principale, forse l’unico. Molto più spesso la verità si trova da qualche parte nel mezzo.
Viviamo in un Paese dove la cultura della sicurezza informatica nella popolazione è lacunosa (per usare un eufemismo), dove ancora oggi il 52% delle brecce informatiche è determinato da tecniche di social engineering e quindi dal fattore umano e, quasi l’11% da PDF corrotti e quindi inerente all’apertura allegati di provenienza non verificata (rapporto CLUSIT 2024). In un contesto simile, discutere delle citate dicotomie crea la sgradevole percezione del bambino che vuole correre senza saper camminare. E questo solo limitando l’analisi ai comportamenti “colposi” di una popolazione scarsamente educata dal punto di vista informatico. Sia chiaro: non si vuole qui sminuire le responsabilità di tutte le parti in causa, che ci sono ed evidenziano chiare opportunità di miglioramento. Il messaggio è semmai, quello di riportare il focus sulla centralità dell’essere umano in dinamiche sempre più spersonalizzate ed erroneamente tendenti a mitizzare fantomatici esperti ed hackers in stile Matrix.
Consigliati da LinkedIn
Seguendo la logica antropocentrica, il ragionamento ne esce rafforzato laddove si accenda poi la luce su comportamenti volontari di dipendenti pubblici compiacenti. Ancora una volta sono state aperte le porte ad informazioni riservate e strategiche, non certo grazie a competenze tecniche eccezionali, ma a privilegiate posizioni di accesso. Ha davvero senso parlare di cyber security? Di rafforzarne la componente normativa? Di cambiamento delle procedure di accesso? In un mondo nel quale le informazioni valgono più dell’oro ed un dipendente pubblico con accesso a questa miniera a stento riesce ad avere un salario di duemila euro al mese, qual è il peso ponderato delle contromisure tecniche rispetto al fattore umano? Il fattore umano, al contrario, è quello che più spesso emerge come determinante. Non solo in merito alle azioni degli operatori informatici ma, e forse ancor più rilevante, riguardo ai vertici di diverse entità pubbliche e private e alle loro connessioni.
Concludendo quindi, sonde, sistemi di controllo attivi, alert per controlli massivi, si sente di tutto. Quelli citati sono certamente strumenti utili ed ancor migliori deterrenti, ma quando anche un solo accesso abusivo può essere comodamente remunerato quanto un mese di stipendio pubblico, cosa se non il senso del dovere e l’etica del singolo possono fare da scudo? E quando, per la legge dei grandi numeri, queste leve potrebbero essere assenti in operatori privilegiati, quale strumento tecnico di controllo sarà mai in grado di verificare capillarmente ogni singolo accesso? Un approccio “chi controlla i controllori” agli steroidi può davvero essere la risposta? Il rischio dii cadere nella logica delle “scatole cinesi” è oltremodo reale, va preso inconsiderazione. Lo spunto di riflessione, in assenza di chiare risposte ai tanti interrogativi presenti, è la citazione di un caro amico e collega: solo l’etica può salvarci!
Medaglia d'argento al valor civile, Laurea Magistrale in Economia e Commercio, Scienze Politiche e Scienze della sicurezza economico finanziaria - Titolato Corso ISSMI. Certificato AML/CFT.
2 mesiQuesta ottima riflessione di Marco Ranieri mette in evidenza un aspetto cruciale, spesso trascurato nelle discussioni sulla sicurezza informatica: l'importanza del fattore umano. Possiamo avere tutte le tecnologie avanzate e le normative più rigide, ma senza un'etica solida e un forte senso del dovere da parte delle persone, questi strumenti servono a poco. È pertanto fondamentale investire nella cultura e nell'educazione sulla sicurezza informatica, sensibilizzando e promuovendo una mentalità etica tra i dipendenti pubblici e la popolazione in generale, in modo da creare una barriera più efficace contro le minacce. Inoltre, dovremmo considerare i fattori socioeconomici che possono influenzare comportamenti non etici, come stipendi inadeguati per chi ricopre posizioni di fiducia. Forse un approccio più completo, che unisca misure tecniche a strategie focalizzate sull'aspetto umano, potrebbe portare a risultati migliori.
Security Manager
2 mesiDott Ranieri ho letto con attenzione il suo articolo apprezzandone la stesura. Sento di accendere il dibattito da una posizione “privilegiata” e cioè da chi è stato investito da una vicenda giudiziaria caratterizzata dal non aver mai corrotto o utilizzato per scopi criminali le informazioni riservate acquisite, bensì a tutela dell’azienda per cui lavoravo. Non nascondiamoci dietro il dito, il reato è reato e resta tale: non vi è alcun dubbio. Ma, il vero interrogativo è: perché ai diversi livelli inteso, quelli istituzionali, aziendali para statali, top level manageriali e altro, c’è l’esigenza di acquisire informazioni, sia da fonti aperte -anche deep level - che riservate? Provo a formulare la risposta dalla mia esperienza vissuta: Ogni qual volta si deve fare una nomina, deve essere eletto un personaggio politico, un top manager deve incontrare a vario titolo un soggetto poco conosciuto, un’azienda deve chiudere un accordo, nasce l’esigenza imprescindibile di “conoscere”! Questa conoscenza che diventa un’arma, ha un valore economico intrinseco e può essere utilizzata in diversi modi : black or white a seconda dell’etica di chi utilizza il dato(per restare in tema). Questa è la vera differenza!