E-mail fasulle, phishing, ransomware. Ma se poi la minaccia alla sicurezza delle reti informatiche fosse di natura psicologica? Non solo ma anche. È il false sense of cyber security.

un approccio psicologico alla cybersecurity

Tradotto in italiano significa falso senso di sicurezza, o meglio di sicurezza informatica. L’evoluzione tecnologica e la crescita dei servizi digitali dell’ultimo periodo, dovuta in modo particolare alla pandemia, hanno portato le persone a interfacciarsi sempre più di frequente con il mondo digitale. Sistemi per lo smart working, video conferenze, shopping online. Tutti sono diventati un po’ più esperti di cyber security. Così, complice la visione del “sono cose che a me non capiteranno mai” unita al “figurati se non mi accorgo che è una e-mail finta” il livello di vulnerabilità cresce di pari passo con la maggior dimestichezza con i sistemi informatici. È quel falso senso di sicurezza.

Psicologicamente è bene conosciuto quel meccanismo secondo il quale quando cresce il livello di confidenza si abbassa il livello di guardia. Accade in tutti gli ambiti della nostra vita. Pensiamo anche alla guida: all’inizio siamo tesi e attenti a tutto, con il tempo e l’esperienza ci si distrae sempre più. Così accade anche nell’ambito dell’informatica. L’utilizzo di strumenti nuovi all’inizio crea un senso elevato di attenzione, ma quando si inizia a prender confidenza con i mezzi e le tecnologie, piano piano si genera la consapevolezza di saperne di più e l’attenzione inizia a venir meno. È a questo punto che si e maggiormente vulnerabili.

Secondo il Report sul Data Threat 2020, nel 2019 le aziende che si ritenenvano vulnerabili agli attacchi informatici erano scese al 68%, rispetto all'86% del 2018. Ma l'anno scorso, ben il 47% delle organizzazione ha rilevato un aumento negli attacchi informatici mentre il 58% è rimatsa vittima di un incidente di sicurezza informatica.

Da cosa deriva il falso senso di sicurezza?

A contribuire a generare questo falso senso di sicurezza interviene anche una maggior conoscenza dei rischi. Infatti, la formazione che è stata erogata in questo periodo, anche internamente alle aziende, con lo scopo di mitigare i rischi derivanti dalla debolezza umana, facilita quella sensazione di fiducia, che deriva dal saperne di più, ma che porta con sé un abbassamento dell’attenzione prestata alle operazioni quotidiane. Il rischio è che ci si ritrovi impreparati di fronte ad un evento dannoso, con una minore capacità di risposta.

Ovviamente la formazione non è mai sbagliata, anzi, rimane fondamentale per migliorare la consapevolezza del rischio. Tutta via è bene tenere presenti, in scenari così complessi, tutte le variabili che entrano in gioco. Un altro aspetto che contribuisce a genererare questo falso senso di sicurezza è la conformità a norme e regolamenti. Ma essere conformi alla normativa non significa automaticamente una maggior sicurezza reale. Piuttosto, dovrebbe essere il contrario: un buon livelllo di sicurezza si dovrebbe tradurre in conformità normativa.

Nel panorama attuale tutti sono potenzialmente vittime. Nessuno può considerarsi immune da attacchi informatici o poco appetibile per i criminali informatici. I motivi di un attacco possono essere molteplici, dalle informazioni possedute al pagamento di un riscatto per recuperare file criptati. Inoltre qualunque siano le misure di sicurezza adottate per proteggere la rete aziendale, non bisogna mai dimenticare che nessun sistema è inviolabile.