Verena Zimmermann è convinta che non sia corretto considerare le persone solo come un fattore di rischio nella sicurezza informatica. Al contrario, le competenze specifiche degli utenti dovrebbero essere sfruttate in modo mirato per aumentare la sicurezza informatica.
Quando si parla di sicurezza informatica, molti pensano a tecnologie sofisticate come programmi di crittografia, filtri per le e-mail o programmi antivirus. Tuttavia, il miglior programma di crittografia non serve a molto se non viene utilizzato. Le password deboli sono sicuramente un fattore di rischio. Ma il motivo non è necessariamente la pigrizia o l’ignoranza. Il cervello umano non è semplicemente progettato per memorizzare 50 o più password casuali diverse. Ciononostante, l’uomo viene spesso etichettato come "anello debole", "rischio" o "problema" nel campo della sicurezza informatica. Affinché la sicurezza informatica abbia successo, l’interazione tra uomo e tecnologia è fondamentale.
Ridurre il fattore umano?
In passato, si è spesso cercato di eliminare in larga misura il "fattore umano" evitando completamente, limitando fortemente o regolando l’interazione con gli utenti. Esempi di questo tipo sono le linee guida rigide, come il cambio mensile della password, il divieto di utilizzare chiavette USB o l’automazione dei processi.
"La strategia delle persone che si adattano semplicemente alle specifiche tecniche ha quindi solo un moderato successo".
Le linee guida sulla sicurezza possono essere certamente utili. Tuttavia, quando le policy si scontrano con i flussi di lavoro quotidiani o non sono facili da applicare, gli utenti spesso sviluppano strategie insicure per aggirarle. Ad esempio, tengono la password aperta perché è difficile da ricordare o cambiano semplicemente un numero alla fine della password se è necessario cambiarla spesso. Purtroppo, questo comportamento rende spesso molto più facile un attacco. La strategia delle persone che si adattano semplicemente ai requisiti tecnici ha quindi solo un moderato successo.
Gli attacchi mirati sono sempre più frequenti
È preoccupante anche l’aumento del numero e della qualità degli attacchi informatici mirati al "fattore umano". Ad esempio, gli attacchi di phishing che utilizzano l’ingegneria sociale per cercare di convincere le persone a scaricare allegati dannosi o a inserire i loro dati di accesso segreti su siti web falsi.
È quindi giunto il momento per la ricerca sulla sicurezza informatica di aprire nuove strade. Uno degli obiettivi dei recenti approcci di ricerca è quello di migliorare il rapporto tra le persone e le soluzioni di sicurezza. Ad esempio, le alternative alle password basate sulle immagini o la formazione ludica possono aiutare gli utenti a diventare più consapevoli delle minacce informatiche. L’obiettivo è colmare il divario tra i requisiti tecnici e le capacità umane.
Tuttavia, a mio avviso, sarebbe ancora più sensato comprendere e utilizzare le persone e le loro capacità come potenziale non sfruttato.
Sfruttare meglio il potenziale umano
Questo potenziale ci è già noto grazie alla psicologia e alla ricerca sulla sicurezza: le persone sono molto creative, si adattano a nuove situazioni e possono prendere buone decisioni anche in condizioni di incertezza. Finora ci siamo concentrati principalmente su ciò che le persone fanno di sbagliato e abbiamo cercato di prevenirlo. Ma se ora analizziamo anche ciò che le persone fanno bene e perché, possiamo sviluppare nuovi approcci alla sicurezza informatica.
Il phishing ne è un buon esempio: i ricercatori hanno scoperto che l’intuizione umana e il riconoscimento dei modelli, affinati da anni di esperienza, sono spesso superiori a complessi algoritmi nel riconoscere sottili tentativi di phishing. Se riusciamo a capire perché alcune persone non solo riconoscono le e-mail di phishing, ma addirittura le segnalano e mettono in guardia gli altri in modo proattivo, possiamo studiare come aiutare meglio le altre persone in questo compito.
L’alto livello di flessibilità e di adattabilità delle persone potrebbe svolgere un ruolo importante nell’attuale situazione di minaccia dinamica. Se riusciamo a creare una cultura in cui ogni singolo individuo si senta responsabile - e sia anche motivato e autorizzato ad agire di conseguenza - potremmo dare un contributo decisivo alla sicurezza informatica. È ora di smettere di vedere le persone come l’anello debole e di considerarle un prezioso fattore di sicurezza.
Verena Zimmermann è professore assistente di Sicurezza, privacy e società presso il Politecnico di Zurigo. La sua ricerca si concentra sugli aspetti umani della sicurezza informatica e della protezione dei dati.
Prof Verena Zimmermann