Troppo spesso quando si parla di sicurezza, aziende ed organizzazioni pensano esclusivamente alla difesa di asset, servizi e applicazioni bisognerebbe invece chiedersi anche cosa succede nel caso in cui siano le persone, invece dei sistemi IT, ad essere sotto attacco. Lo dicono le ricerche e i report, di vendor e analisti: il fattore umano è il primo dei problemi di sicurezza per le aziende, ma allo stesso tempo una sorta di “bias cognitivo” sembra voler far ricadere sulle persone tutte le colpe, quando c’è un problema di sicurezza. Ne parliamo con Enrico Frumento, Cybersecurity Research lead di Cefriel.

Il tema sembra quasi proporre che è necessario ribaltare il paradigma e cercare di capire come pensare ad un approccio alla cybersecurity proprio con le persone al centro. 

Il fattore umano è sicuramente il primo dei problemi di sicurezza delle aziende perché è la prima delle risorse sfruttata dai cybercriminali. Una risorsa in grado di produrre la quasi totalità degli incidenti informatici. Sono moltissimi i report che, da anni, dicono che questo tipo di problemi sia all’origine della quasi totalità degli attacchi andati a segno. Basti pensare che una minima parte (meno del 5%) del malware si basa su un problema puramente tecnico per infettare un sistema. Dall’altro canto, però, come riporto nel whitepaper, gran parte del mercato della sicurezza informatica si concentra sul lato tecnico di un attacco. Meno del 5% del budget di sicurezza informatica è dedicato ai rischi legati alle persone (per esempio investimenti per contrastare la social engineering).
Come spiego nel whitepaper, le persone non devono essere viste come un problema per la sicurezza informatica. Sono una risorsa, e visto che la sicurezza informatica ha come obiettivo quello di mantenere sicura una organizzazione e le organizzazioni sono fatte in prima istanza di persone, direi che se una persona casca in un tranello informatico, il fallimento non sta della persona ma nella sicurezza informatica che non ha trovato un modo per impedire l’attacco.

La formazione è il primo punto su cui basare un approccio alla cybersec realmente efficace, ma come si “formano” le persone?

la formazione è sicuramente un punto cardine della sicurezza moderna. I sistemi informativi sono fatti di silicio, dati e persone. O come ogni tanto si dice scherzando fra addetti ai lavori di software, hardware e wetware. In tal senso dicevo prima l’obiettivo della sicurezza informatica è mettere al sicuro gli asset aziendali, cioè le cose che per un’azienda, ma anche per gli attaccanti, hanno valore. Se penso alle persone c’è un solo modo efficiente per impedire che caschino vittime di attacchi informatici: la formazione. In tal senso la formazione va vista come un modo per ridurre il rischio informatico. Una vera e propria strategia di contenimento del rischio cyber. Se quindi si pensa alla formazione come un “metodo” per ridurre il rischio informatico legato alle persone, occorre trasformare la formazione in uno strumento misurabile. Un primo indicatore per misurare i ritorni in termini di efficacia sulla sicurezza è quello di misurare il Roti (Return on Training Investments), misura analoga al più famoso Rosi (Return on Security Investments). Su questo tema Cefriel ha lavorato e sta lavorando grazie ai progetti europei Cyrus e Sec-Airspace.
 

Perché, oltre alla formazione, è fondamentale il training? Quali sono le differenze tra questi due concetti chiave? 

Il training rappresenta il punto centrale di una strategia di mitigazione delle minacce cyber rappresentate dagli errori umani, perché è dalla formazione che si generano l’awareness, il training e il learning. I tre concetti sono differenti e possono influire positivamente sul comportamento delle persone e sulla conseguente riduzione del rischio cyber. Come dicevo però sono differenti.
Enrico Frumento, Cybersecurity Research lead di Cefriel
Enrico Frumento, Cybersecurity Research lead di Cefriel

L’awareness fa riferimento alla conoscenza sommaria di un fenomeno e riguarda l’attività più semplice che vuole far prendere coscienza dell’esistenza di un fatto e delle sue modalità di manifestazione. Ad esempio, una campagna di formazione aziendale sul phishing offre gli elementi per riconoscere un attacco ed evitare di esserne vittima.
Il training è il livello intermedio: mira a insegnare un procedimento sequenziato, meccanico, per la risoluzione di un problema.
Veicola un comportamento fisso, simile all’esecuzione di un algoritmo, di fronte a uno scenario predeterminato. Può avere la sua efficacia, ma offre solo apparentemente un valido metodo, peraltro a breve scadenza. 

Il learning è l’attività più “nobile” in quanto è il processo di assorbimento più profondo per un essere umano. Stimola un comportamento critico e autonomo di fronte a un problema. Il discente in un contesto indeterminato è portato a individuare gli elementi necessari per capire cosa stia accadendo, decidere consapevolmente quale processo intraprendere per la risoluzione e agire di conseguenza. In Cefriel stiamo portando avanti una interessante ricerca nel progetto Sec-Airspace, nel quale stiamo affrontando il problema della People Analytics, uno strumento di context aware training personalizzato, in grado di ottimizzare l’esperienza formativa e, idealmente, connetterla con le valutazioni di rischio cyber human-related.
 

Threat Intelligence e “human intelligence”. Come utilizzare l’AI per ripensare la cybersecurity proattiva. 

Le principali applicazioni delle AI nel caso della social engineering sono due, una per l’attacco e l’altra per la difesa: automatizzare gli attacchi SE contro le persone e migliorare la portata degli attacchi, allo scopo di migliorare le tecniche di Red Teaming e l’altra difendere, assistere e supportare la resilienza delle persone tramite sistemi di AI.
 
Il tema della AI si applica comunque, trasversalmente, a tutti gli argomenti precedentemente trattati: il training inteso come strumento di riduzione del rischio cyber gode dei benefici della AI, ad esempio, per la People Analytics; il threat intelligence dell’elemento umano viene migliorato dall’uso di sistemi AI per l’analisi delle informazioni recuperate tramite Osint, ecc. I sistemi di AI, sviluppati con i cosiddetti large language model, sono un punto di svolta che apre la strada a nuove tecniche di attacco e nuovi sistemi di difesa. Il social engineering oggi si serve di automazioni che riducono i costi di esecuzione e, se ben realizzati, possono anche aumentare la probabilità di successo dell’attacco. Per esempio, l’emulazione della voce umana (fake voice) è un ambito di artificial intelligence in rapida evoluzione che mostra continui progressi.

 

Human Risk Management, un cambio di prospettiva e paradigma. Ci spieghi perché è importante e quali i vantaggi

Le persone sono una fonte di rischio cyber che viene spesso bistrattata dalle aziende, sottovalutata dal mercato che spende poco in generale per le contromisure specifiche, e sfruttata a pieno regime dal cybercrime. Un quadro che io definisco sicuramente preoccupante. All’orizzonte ci sono le promesse dell’intelligenza artificiale, ma non bisogna farci a mio avviso troppo affidamento. Il comportamento delle persone non è facile da cambiare. Il social engineering attinge a un elemento che è per definizione al di fuori del contesto digitale (la persona) ed è quindi destinato a rimanere per molti anni a venire. Quindi, occorre capire come modellare questo rischio per entrare in una logica di risk management completa. Sfortunatamente se modellare il rischio cyber del mondo IT è complesso, lo è ancora di più modellare il rischio cyber rappresentato da una persona. E ancora più complesso è integrare le varie fonti di rischio: macchine, IT, persone. Nel già citato progetto Sec-Airspace, stiamo cercando di affrontare questi problemi integrando modelli di stima del rischio cyber human-related, context aware training, e learning analytics.
 

Per saperne di più scarica il whitepaper: Sicurezza informatica ed elemento umano

Leggi tutti gli approfondimenti della Rubrica Never stop innovating by Cefriel e Inno3

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE