Sicurezza Informatica: quali sono i fattori umani?

Sicurezza Informatica e Cyber-security

La Sicurezza Informatica (cyber-security) fa riferimento a tutte quelle misure adottate per proteggere un computer o un sistema informatico (come su Internet) contro l’accesso o l’attacco non autorizzati.

La dott.ssa Isabella Corradini, esperta nell’approccio umano alla sicurezza informatica, ha osservato che [1] “La Sicurezza Informatica riguarda da vicino tutti i cittadini, utilizzatori quotidiani delle tecnologie dell’informazione. Per questo la sicurezza delle informazioni e della rete non può essere delegata solo a chi, per lavoro, si occupa di strategie di difesa.

D’altro canto, sia a livello europeo che italiano, sempre più si sottolinea l’importanza del ruolo della sensibilizzazione e della formazione su queste tematiche.

Si va dall’attenzione al singolo cittadino, alla cooperazione tra il settore pubblico e privato, alla comunicazione strategica, alla formazione e addestramento.

Il punto della formazione e dell’addestramento appare di particolare rilevanza in quanto il fattore umano continua ad essere il punto debole di tale sicurezza (pur potendone costituire il punto di forza).

Non è un caso che, di qualsiasi tipo di sicurezza parliamo, le misure perdono efficacia se non si presta attenzione anche alle persone che quotidianamente ne fanno uso, contribuendo in modo attivo alla costruzione della sicurezza.”

E’ possibile intervenire sul fattore umano?

Prima di tutto è importante rendere consapevoli tutti dei rischi che si possono  incorrere in un attacco informatico.

Fino ad oggi, la maggior parte delle ricerche sulla sicurezza informatica si è concentrata sul computer stesso.

Recentemente, c’è stato un lavoro crescente in riferimento ai fattori umani sulla sicurezza in rete, anche se questo tipo di studi si sono concentrati maggiormente sugli utenti come individui isolati.

Il concetto di ingegneria sociale

Nonostante la comune raffigurazione emessa dai media, gli incidenti sulla sicurezza informatica non possono essere attribuiti solo agli interventi da parte dell’hacker  tipico  che utilizza i mezzi  informatici  per entrare in un sistema.

E’ qui che entra in gioco l’ingegneria sociale. Cosa è esattamente?

L’email-phishing

Un esempio di coinvolgimento di ingegneria sociale che molti di noi avrà avuto modo di incontrare almeno una volta, sono le cosiddette email phishing  dove  il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio.

Oppure possono riguardare messaggi che tentano di ingannare il destinatario nell’aprire un collegamento o un allegato che installerà software dannoso sul proprio computer.

Queste e-mail phishing si basano su molti principi di psicologia sociale, psicologia dei consumatori.

Possono, ad esempio, utilizzare un tipo di comunicazione che invoca allarmismo o urgenza se il destinatario non agisce in fretta.

Nonostante la natura intrinsecamente psicologica di molti degli attacchi di sicurezza in rete, la ricerca sul ruolo della psicologia nella cyber-security è ancora limitata.

Anzi, persino gli studi sull’ingegneria sociale sono spesso condotti dalla disciplina dell’informatica piuttosto che dalla psicologia sociale.

La necessità di un approccio psicologico sociale è suggerito, inoltre, dal fatto che gli incidenti su larga scala della sicurezza di rete (provenienti da motivazioni di varia natura, come guadagno finanziario, protesta politica/ideologica) sono spesso istigate da gruppi, invece che da individui che agiscono da soli.

Ma chi troviamo dietro agli attacchi alla sicurezza informatica?

I 7 tipi di hacker

Chi non ha mai sentito parlare di HACKER?

L’hacker è un esperto di sistemi informatici e di sicurezza informatica in grado di introdursi in reti informatiche protette e in generale di acquisire un’approfondita conoscenza del sistema sul quale interviene, per poi essere in grado di accedervi o adattarlo alle proprie esigenze.

L’hacker è colui che si “apre un varco” nel mondo della rete.

Ma prima di entrare nello specifico credo che sia molto utile fare un chiarimento: l’hacker, nel gergo comune, è considerato “il male”, ma è importante che questo termine venga utilizzato in modo appropriato e non generalizzato, in quanto l’hacker in sé, non è solo colui che minaccia i sistemi informatici.

Di seguito verrà fornito un semplice chiarimento su chi sono gli Hacker attraverso l’analisi di questi 7 tipi di “personalità”:

1. Script Kiddie: non sono hacker, fanno intendere di essere dei grandi “guru” dell’informatica. Copiano un codice e lo usano come virus o qualcos’altro.
2. White Hat: noti anche come hacker etici. Gli hacker White Hat sono i “bravi “ ragazzi del mondo degli hacker. Esperti di sicurezza informatica, specializzati nei test di penetrazione e di altre metodologie per garantire che i sistemi informativi di un’azienda siano sicuri. Aiutano a rimuovere un virus o un penetration test in un’azienda.
3. Black Hat: conosciuti anche come cracker, quelli che per etica propria danneggiano, sono gli opposti dei white hat. Questi rubano informazioni, denaro ecc.
4. Gray Hat: niente è mai o solo nero o solo bianco; lo stesso è vero nel mondo dell’hacking. Gli hacker Hat Gray non rubano soldi o informazioni, ma non aiutano le persone anche se potrebbero farlo, se solo lo volessero.
5. Green Hat: si potrebbero definire come i baby hacker, quelli che vogliono imparare e fanno domande agli “adulti”, per crescere e poi diventare come loro.
6. Red Hat: questi sono “i vigili” del mondo degli hacker. Sono come i White Hat in quanto bloccano i Black Hat , ma questi individui sono i loro nemici più temuti. Invece di segnalare l’hacker dannoso, lo chiudono completamente. Utilizzano più metodi aggressivi da indurre ad un hacker addirittura ad aver bisogno di un nuovo computer.
7. Blue Hat: Se uno Script Kiddie si vuole vendicare, potrebbe diventare un Blue Hat. I Blue Hat cercheranno vendetta nei confronti di chi li ha fatti arrabbiare. La maggior parte dei Blue Hat come gli Script Kiddies, non hanno desiderio di imparare.

E dalla parte dei buoni chi si trova?

La personalità del professionista della Sicurezza Informatica

Abbiamo parlato dei tipi di personalità presenti nel mondo degli hacker, ma per quanto riguarda invece chi sta dall’altro lato, cioè di chi si occupa di sicurezza informatica, quali tipi di personalità ricoprirà questo ruolo?

Una tesi di dottorato “L’esame delle caratteristiche di personalità tra i professionisti della tecnologia Cybersecurity e delle tecnologie dell’informazione“, in un’Università Americana, ha esplorato i tratti della mente e della personalità dei professionisti della sicurezza in Internet.

Un totale di 118 professionisti della sicurezza informatica hanno partecipato allo studio e sono stati reclutati tramite diversi gruppi dal forum LinkedIn.

Tutti i partecipanti provenienti da diversi ambiti educativi, sono stati scelti in una varietà di età compresa dai 22 anni ai 67 anni, di varia etnia.

Più della metà dei partecipanti, il 61% è stata classificata come “professionisti della sicurezza informatica” e il 39% ha dichiarato di essere dei semplici “impiegati  nel campo della tecnologia informatica”.

Ogni partecipante ha compilato un questionario di personalità, composto da cinque sezioni:

1. Apertura: rappresenta il grado in cui un individuo è creativo, immaginativo o convenzionale e scontato.
2. Responsabilità: la misura della serietà e scrupolosità nell’operare.
3. Estrosità: la misura della tendenza a privilegiare il rapporto con il mondo esterno e la socializzazione.
4. Collaborazione: la misura dell’armonia sociale, del non confronto e della cooperazione che un individuo può avere con gli altri del gruppo.
5. Negatività: la quantità di sentimenti /emozioni negative che un individuo può sentire.

I risultati mostrano che i professionisti della cyber-security sono aperti, assertivi, intellettuali e intraprendenti.

Rispetto alle persone che hanno maturata una carriera lavorativa nella tecnologia dell’informazione, i professionisti della sicurezza informatica, non hanno limiti quando si tratta di risolvere i problemi e di elaborare nuove strategie di sicurezza.  Anzi, al contrario, hanno maggiori capacità creative e allo stesso tempo concretizzano il piano di lavoro prestabilito.

Contrariamente al comune immaginario che ci si fa degli individui che trascorrono moltissime ore di lavoro davanti al computer, la maggioranza degli esperti in cyber-security non sono timidi e asociali, come, invece, al contrario, vengono rappresentati gli hacker, che sono stati etichettati come individui isolati, incapaci di socializzare con il mondo esterno.

Gli esperti nella sicurezza informatica sanno essere assertivi, fiduciosi, intraprendenti.

Con menti innovative e abili capacità di risoluzione dei problemi, possiedono le qualità necessarie per comprendere la mente dell’hacker e contrastare i loro attacchi.

Perché la sicurezza informatica è entrata a far parte della psicologia?

Le motivazioni nascoste della criminalità informatica

C’è una crescente necessità di prevenire e mitigare l’impatto degli attacchi alla sicurezza informatica e questo è diventato sempre più oggetto da parte della ricerca in psicologia sociale.

Ma c’è anche la necessità di capire cosa motivi queste persone a impegnarsi nella criminalità informatica.

Anonimato e aggressività in rete

Una possibile motivazione emersa da un certo numero di studi sugli incidenti della sicurezza in  rete, è il piacere personale di utilizzare un linguaggio aggressivo e offensivo ripetuto nel tempo attraverso la comunicazione elettronica.

Questo tipo di attacco alla sicurezza informatica è sottovalutato, ma molto presente nella rete come, ad esempio,  il fenomeno molto recente del cyberbullismo, cioè, termine che indica un tipo di attacco continuo, ripetuto, offensivo e sistematico attuato mediante gli strumenti della rete, rivolto a persone sensibili, fragili, considerati “deboli”.

L’influenza dell’anonimato, della disinibizione può essere di particolare importanza in tali attacchi.

La percezione dell’anonimato fornito dalle comunicazioni on-line consente agli individui di intraprendere azioni che in altri contesti, per paura delle conseguenze sociali e legali, non farebbero.

La disinibizione, d’altro canto, si riferisce al senso che ci si sente, tramite internet, più liberi di dire cose che altrimenti di persona non si direbbero.

Ciò può portare gli individui a perdere il controllo, senza avere più limiti, con difficoltà a distinguere il bene dal male.

Si può verificare anche la deindividuazione, cioè, la perdita di autoconsapevolezza e autocontrollo che si sperimenta in determinate situazioni nelle quali l’individuo si trova ad agire all’interno di dinamiche sociali e di gruppo.

Tale perdita di controllo della mente sui comportamenti, porterebbe l’individuo a compiere azioni con fortissime connotazioni negative come aggressività, crudeltà, e ingiustizia dalle quali, in altre condizioni, lo stesso soggetto si asterrebbe per intervento di quelle inibizioni e quei divieti dettati da norme morali che, di norma, la mente impone all’agire.

Altri motivi per i quali possano nascere gli attacchi alla sicurezza informatica possono riferirsi a motivazione di natura politica, religiosa, ideologica.

L’influenza dei gruppi negli attacchi di cyber-security

Come è stato accennato, molti attacchi di cyber-security possono essere “orchestrati” da gruppi.

È stato stabilito, dalla psicologia sociale, che essere membro di un gruppo può alterare i comportamenti individuali e i propri processi di pensiero.

Ad esempio, i processi cognitivi, come la decisione, la pianificazione, il giudizio e la risoluzione dei problemi possono essere intrapresi a livello di gruppo anziché a livello individuale.

Allo stesso modo, le emozioni possono diffondersi in gruppi, anche ai membri che non sono stati coinvolti dall’evento scatenante, come ad esempio in una protesta sociale online dove c’è un forte senso di rabbia per un’ingiustizia percepita.

È stato anche scoperto che gli individui prenderanno decisioni più rischiose quando sono in gruppo rispetto a quando da soli.

Tuttavia, gli individui spesso non sono consapevoli dell’influenza che il gruppo ha sul proprio comportamento.

I tentativi di dissuadere le persone (in particolare i giovani adulti) nell’essere coinvolti dall’hacktivismo sembrano essere inefficaci e destinati a fallire.

Come sperimentato in una serie di comportamenti sociali, nonostante i tentativi possano essere brillanti a livello teorico, al momento della pratica non si ottiene molto, anzi si potrebbe ottenere l’effetto contrario.

Un approccio alternativo è quello di potenziare i giovani ad apprendere maggiori informazioni sulla loro partecipazione attiva alle attività online.

Facendo questo, non viene fatto alcun commento ai giovani su quello che dovrebbero fare ma, invece vengono sollecitati a considerare i fattori che possono influenzare il loro comportamento e quali conseguenze possono suscitare la loro partecipazione.

Rendere loro consapevoli che possono essere ingannati potrebbe innescare una risposta di riluttanza, come  un fattore protettivo, rendendoli più critici e scettici per le persone che incontrano in rete.

   [1] Le buone pratiche nella cybersecurity fattore umano ed awareness, Articolo pubblicato sulla rivista ICT Security – Maggio 2015

   [2] Cybersecurity

   [3]Ingegneria sociale

   [4] Social psychology cybersecurity

   [5] Cybersecurity specialist personality profile

   [6] Types of hackers

   [7] Hacker