Ripartire dalle persone
Perché le scienze umane vanno coinvolte per comprendere, modellare e ridurre i rischi cyber ‘generati’ dai singoli individui.
Nella cybersecurity moderna esiste un bias sostanziale che considera gli utenti un problema, l’ennesimo sistema di cui occuparsi e da mettere in sicurezza, alla stregua di terminali mobili, sistemi e dispositivi IoT. Questo è un problema di sostanza perché ovviamente la premessa è sbagliata. Le persone sono persone e non macchine. Nel momento in cui gli esperti di cybersecurity smetteranno di occuparsi del problema come una filiazione degli aspetti tecnici, si inizieranno a vedere dei risultati.
Nel concreto, un approccio corretto comporta un ripensamento della cybersecurity mettendo le persone al centro, facendosi guidare dalle scienze umane e non da quelle informatiche, avendo CISO o team che si occupano della sicurezza informatica con competenze psicologiche. Esiste, per esempio, una folta letteratura sull’errore umano in medicina che nella cybersecurity si applicherebbe alla perfezione, ma che ancora non trova molti proseliti, se non in alcune timide pubblicazioni sulla behavioural security1.
Il nocciolo del problema è comprendere, modellare e ridurre i rischi cyber ‘generati’ dalle persone, con strumenti, anche culturali, adeguati e coinvolgendo in prima istanza le scienze umane. A partire dalla psicologia, ma non solo: sono infatti ugualmente fondamentali le scienze sociali, cognitive e relazionali. In generale, a fronte di una manchevolezza nel perimetro di sicurezza aziendale, è facile dare la colpa a qualche sconosciuto impiegato (e gli esempi in tal senso si sprecano). Ma a ben vedere, il fatto che una persona possa mandare “al tappeto” una organizzazione è un problema di mancata progettazione o scarsa maturity aziendale. Spesso si incolpa della violazione un misterioso impiegato che ha fatto clic senza pensarci troppo. Pensando in questo modo di evitare il problema, i detentori della integrità tecnologica aziendale minimizzano il fatto trasferendo la colpa sull’anonimo malcapitato di turno. In realtà, però, in questo modo si ammette indirettamente l’esistenza di grosse aree di rischio cyber non adeguatamente monitorate. A riprova, quasi il 99% dei report di incidenti si concentra sul triage della parte tecnologica e malevola di un attacco e raramente analizza la parte umana del vettore di attacco, parte che è prevista e modellata da pochi framework (come, per esempio, ATT&CK)2.
Il problema è complesso perché, per sua natura, è multiculturale e richiede diverse competenze non tecniche. Affrontare la questione ‘elemento umano’ della sicurezza richiede un approccio realmente multiculturale e interconnesso. Inoltre, per quanto riguarda gli esseri umani, occorre considerare questioni etiche e legali oltre al fatto che le reazioni delle persone cambiano durante il giorno (quindi, per esempio, limitare le attività “rischiose” durante i momenti di maggiore attenzione). Sfortunatamente, però, la cybersecurity è spesso carente nelle soft skill necessarie per affrontare un cambio di paradigma di questa portata ed elabora soluzioni e competenze quasi esclusivamente tecniche.
Allo stato attuale gran parte del mercato della sicurezza informatica si concentra sul lato tecnico di un attacco: in genere una quota scarsa del budget di sicurezza informatica è dedicato ai rischi legati alle persone (per esempio investimenti per contrastare la social engineering), rischi che rappresentano quasi il 95% del totale, come dichiarato da un recente studio WEF/IBM3. L’obiettivo ultimo di qualsiasi programma di messa in sicurezza dell’elemento umano è quindi quello di indurre un cambiamento comportamentale stabile nelle persone. Ne ho parlato nel libro pubblicato qualche anno fa “The role of SE in the evolution of attacks”, Frumento E., et al., 2020, disponibile online.
Come rimettere le persone al centro del processo di gestione della cybersicurezza
Come evidenziato, occorre introdurre una nuova dimensione della sicurezza informatica che, al pari di quella classica che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. Per farlo occorre però riformulare una serie di attività perché l’ipotesi alla base è sostanzialmente differente: le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche. Dato che la fonte del rischio cyber non è un sistema informatico, le scienze informatiche sono solamente “funzionali”. In Figura 1 riporto le 7 principali sfide che abbiamo individuato in Cefriel per approcciare in questo modo la sicurezza informatica.
Il problema della formazione continua in cybersecurity
Considerare correttamente l’elemento umano nella sicurezza richiede un approccio realmente multiculturale e interconnesso (si veda la Figura 2).
Le opportunità sono davvero tante. Una delle prime azioni da fare è quella di creare una cultura diffusa della sicurezza, che sia realmente pervasiva e non solamente “punitiva”, in grado, cioè di cambiare realmente il comportamento delle persone “dall’interno”. In generale, questo è un problema molto complesso e noto: nel tempo numerosi articoli si sono interrogati sulla efficacia dei metodi di formazione utilizzati nel contesto della sicurezza informatica4. Il problema è come creare percorsi formativi dedicati alle singole culture aziendali, in grado di superare i limiti imposti dal contesto operativo specifico.
Come formare le persone?
Come si legge nel rapporto McKinsey “Enhanced cyber risk reporting: Opening doors to risk-based cybersecurity” del gennaio 20205, in molti settori è ormai chiaro il pericolo rappresentato dalla criminalità informatica e la necessità di operare secondo schemi di protezione guidati da stime adeguate del rischio cyber. È fondamentale sottolineare subito che svolgere un vulnerability assessment o un penetration test sulle persone è anche un modo per fare training, perché le persone possono imparare dai propri errori.
A tal proposito, cito due proposte Cefriel di vulnerability assessment della componente umana dai due punti di vista:
1. Social Driven Vulnerability Assessment (SDVA). Gli impiegati sono sottoposti a una simulazione avanzata e altamente contestualizzata di spear phishing o di context-aware phishing6 e imparano dai propri errori sperimentando il loro comportamento in una simulazione di attacco.
2. Full Spectrum Vulnerability Assessment (FSVA). Questa volta sono i responsabili della sicurezza informatica a essere sottoposti a una simulazione di un attacco completo, con lo scopo di capire se il team di security incident management è in grado di operare in un contesto di emergenza e sotto pressione. In questo caso si testa la componente umana dei gruppi di security che sta dietro a quella tecnologica7.
Ciò suggerisce che la sensibilizzazione e la formazione continua in materia di cybersecurity di tutti i dipendenti, compresi quelli di livello dirigenziale, e dei futuri dipendenti siano fondamentali per fornire i mezzi e il know-how per identificare e mitigare le minacce informatiche, aiutandoli così a proteggere se stessi e le proprie aziende dai cyberattacchi. In altre parole, sia il training che la awareness sono strumenti per la riduzione di una grossa parte del rischio informatico aziendale. A tal proposito, recentemente il progetto CYRUS, di cui fa parte Cefriel8, ha evidenziato una preoccupante correlazione nei settori traporti e manufatturiero, ovvero l’esistenza di un deficit di competenze di cybersecurity tanto maggiore quanto più l’impresa è dipendente dai processi digitali.
Il Learning Continuum e il modello ATAC
Nell’ambito della formazione, per mitigare gli attacchi contro le persone, ad esempio, da qualche anno si parla di programmi SEATE (Social Engineering Awareness, Training, and Education) il cui scopo è creare un percorso continuo di apprendimento (learning continuum, si veda la Figura 3), che inizia con la creazione di consapevolezza, si sviluppa cumulativamente in formazione e infine si evolve in istruzione9. Purtroppo, la maggior parte dei programmi di sensibilizzazione sulla sicurezza delle informazioni sono di natura generica, con troppe informazioni che portano a un sovraccarico, oppure sono poco coinvolgenti o fuori fuoco, sia per argomenti che registro linguistico. Questo rende difficile per gli utenti decifrare i contenuti rilevanti su cui concentrarsi. Inoltre, anche quando i contenuti risultano rilevanti, non bisogna sottovalutare la fruizione, garantire cioè che contenuti adeguati e rilevanti siano ben distribuiti nel tempo e nei modi.
In generale i programmi di formazione nella cybersecurity hanno come scopo ultimo quello di indurre un cambiamento comportamentale permanente. Secondo l’esperienza Cefriel un modello che si è dimostrato funzionale è il cosiddetto ATAC, che è composto da una sequenza di fasi: Awareness/Consapevolezza, Transizione, Adattamento e Consolidamento.
1. Fase di Awereness/Consapevolezza: è necessario rendere gli utenti consapevoli del loro comportamento non adeguato ai rischi cyber. Quando gli utenti diventano consapevoli delle implicazioni del loro attuale stato di conoscenza e dei pericoli associati, iniziano a pensare a possibili azioni di cambiamento.
2. Fase di Transizione: una volta che gli utenti diventano consapevoli dei pericoli associati ai loro comportamenti possono intraprendere una transizione comportamentale guidata da nuove conoscenze, delle quali comprendono la necessità.
3. Fase di Adattamento: in questa fase, gli utenti hanno acquisito le competenze necessarie e le hanno associate ai pericoli che derivano dalla loro mancata adozione. Sono consapevoli della sicurezza e possono compiere azioni pianificate per garantire che il proprio comportamento non porti a maggiori rischi informatici.
4. Fase di Consolidamento: questa fase garantisce che gli utenti siano effettivamente pronti ad abbracciare una nuova cultura della sicurezza nelle loro mansioni, sia in termini di semplici comportamenti sicuri, awareness, che di nuove metodiche di progettazione e lavoro, training. L’applicazione di questo nuovo comportamento viene monitorata tramite test di penetrazione e assessment per controllare che non ci siano ritorni a precedenti forme di comportamento, con un approccio come quello indicato in Figura 3.
I cybersecurity advocates: moltiplicatori di cambiamento nei comportamenti sicuri
A partire dalla relativamente incostante efficacia dei metodi di formazione nella cybersecurity (awareness e training), professionisti e ricercatori si sono impegnati in modo significativo nello sviluppo di prodotti di formazione sulla sicurezza. Tuttavia, questi tentativi sono spesso eccessivamente focalizzati sulla aderenza a standard formativi e mancano completamente l’obiettivo fondamentale di creare un’abitudine profonda e radicata verso la sicurezza. È difficile, infatti, creare una cultura aziendale che potremmo definire “Security-First” (vedi Figura 4).
Per questo motivo, è evidente che ci sia bisogno di professionisti in grado di motivare le persone e le organizzazioni nell’adozione di comportamenti di sicurezza sostenibili e positivi. Coloro che assumono questo ruolo richiedono una combinazione unica di competenze tecniche e interpersonali.
Chiamiamo i professionisti che svolgono queste funzioni i “cybersecurity advocates”, una figura che deriva dalla teoria degli agenti del cambiamento10.
Cefriel ha elaborato alcune strategie di formazione che sono altamente contestualizzate e vengono definite tramite un iniziale maturity assessment culturale (il CMM-EP, Cybersecurity Maturity Model for Educational Paths). Lo scopo è individuare le caratteristiche culturali aziendali, cosa ha funzionato e cosa no, collegandolo con la “postura” aziendale sul rischio cyber e la maturità dei processi di difesa informatica. La soluzione di formazione che emerge si basa su tre elementi importanti: consapevolezza della minaccia, influenza dei comportamenti, creazione di abitudini.
Questo passa tramite alcune fasi:
1. Valutazione iniziale tramite simulazione di attacchi sugli umani (i sopra citati SDVA e FSVA).
2. Misurazione dell’esposizione dell’elemento umano dell’impresa al rischio cyber.
3. Definizione di piani di formazione personalizzati in modalità mista (per esempio, tramite tecniche consolidate come il nudging, i MOOC – Massive Open Online Courses -, l’e-learning o corsi e workshop presenza, ecc.) rivolti agli utenti e ai cybersecurity advocates interni.
4. Consulenza one-to-one per definire le azioni concrete di mitigazione e la misurazione del concreto impatto a lungo termine.
In generale, i cybersecurity advocate possono facilitare il passaggio verso la responsabilizzazione degli utenti. Per questo, dovrebbero possedere conoscenze e competenze relative all’IT, alle tecnologie di sicurezza e alle minacce alla sicurezza ed essere in grado di interpretare e presentare le informazioni utili agli altri.
Un compito che richiede capacità relazionali ed empatia, capacità di comunicazione e di inquadrare in modo appropriato i messaggi di sicurezza. Quando si lavora con persone meno tecniche, gli advocate devono tradurre informazioni altamente tecniche in un linguaggio semplice. In altre parole, questo ruolo rappresenta l’anello di congiunzione fra le policy o le linee guida aziendali, derivanti da analisi di rischio cyber, e le persone o gli stakeholder aziendali. Queste figure devono essere in grado di completare il quadro di creazione di una consapevolezza culturale diffusa e profonda tramite competenze nuove, in particolare, anche sociali, di convincimento, comunicative e relazionali. Hanno bisogno di essere esperti nell’uso di tecniche di leadership e pensiero strategico.
Il punto focale è la persuasione. Per esempio, un advocate, all’interno dei team di sviluppo, deve poter conversare efficacemente e persuadere altri sviluppatori, senza però essere un “tecnico hardcore”. I cybersecurity advocate devono avere conoscenze tecniche sufficienti per essere credibili nei confronti del pubblico al quale si rivolgono.
Per generare fiducia, costruire relazioni e facilitare il cambiamento del comportamento, gli advocate devono far leva su forti capacità interpersonali, tra cui capacità di ascolto, pazienza e collaborazione.
NOTE
1 E. Frumento, “Rethinking cybersecurity from the human element point of view”, https://www.kuppingercole.com/sessions/5211/2.
2 Si veda ad esempio “Victim Communication Stack (VCS): A flexible model to select the Human Attack Vector”, E. Frumento, F. Freschi, D. Andreoletti and A. Consoli, Proceedings of the 12th International Conference on Availability, Reliability and Security – ARES ‘17, p. art. no. 50, 2017.
3 2022 Global Risk Report, World Economic Forum.
4 Si veda ad esempio E. Frumento, “Formazione: come può evolvere con successo nell’ambito della cybersecurity?”, Disponibile online: https://formazioneincybersecurity.cefriel.it/.
5 https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/enhanced-cyberrisk-reporting-opening-doors-to-risk-based-cybersecurity.
6 E. Frumento, “Social engineering, lo strumento Cefriel che ci dice quanto è vulnerabile la PA”. Disponibile online: https://www.forumpa.it/pa-digitale/social-engineering-lo-strumento-cefriel-che-ci-dice-quanto-e-vulnerabile-la-pa/.
7 E. Frumento, “Cybersecurity: testare la responsiveness del team di incident management con i Full Spectrum Vulnerability Assessment”. Disponibile online: https://enrico-frumento.medium.com/full-spectrum-vulnerability-assessment-fsva-in-cefriel-f14cf4d80313.
8 http://www.cyrus-project.eu/
9 A. Cletus, B. Weyory, and A. Opoku, “Improving Social Engineering Awareness, training and Education (SEATE) using a behavioral change model,” International Journal of Advanced Computer Science and Applications, vol. 13, no. 5, 2022. doi:10.14569/ijacsa.2022.0130572
10 Si veda ad esempio https://whatfix.com/blog/change-agent/