Comunicare la sicurezza informatica è un compito difficile. La complessità delle tematiche, gli attori coinvolti e le caratteristiche dei suoi contenuti hanno finora favorito l’idea che la cybersecurity, la sicurezza informatica, sia un affare da specialisti.
Eppure sappiamo che non è così per un motivo che è sotto gli occhi di tutti: l’allarme che destano nei cittadini le ripetute violazioni della sicurezza informatica di banche, aziende e ministeri di cui la stampa rende conto ormai con una certa frequenza. Certo, questa informazione talvolta viene fatta con un linguaggio da iniziati in un paese come l’Italia dove la cultura informatica di base è ancora arretrata, ma talaltre viene fatto in maniera ipersemplificata, con toni allarmistici e con un linguaggio occasionalmente scorretto, che sconta l’incapacità di spiegare la natura, la vastità e la portata del fenomeno.
Complice di tutto questo è anche la crisi del giornalismo e l’assenza di una narrazione condivisa dei fatti che vede gli interessi di parte sovrastare quelli collettivi, ad esempio quando la stampa si trattiene dal fare nomi e numeri di episodi – i databreach – in cui la violazione della sicurezza riguarda le banche che ne garantiscono i debiti, gli inserzionisti pubblicitari, interessi politici organizzati e le carriere, quelle che da una chiara comunicazione dell’accaduto verrebbero stravolte.
Ultimo non ultimo, c’è anche la scarsa preparazione di chi è chiamato a raccontare le tematiche della cybersecurity in contesti non specialistici e preferisce ritirarsi nella comfort zone in cui vengono trattati solo gli argomenti già noti al pubblico e in grado di attirarne l’attenzione con formule sensazionalistiche e sollecitando paure antiche. Situazioni queste che impediscono al giornalismo di esercitare quella doppia funzione di watchdog della democrazia e di manutenzione civica rispetto ai valori fondanti la società.
Eppure non c’è mai stato così tanto bisogno di una buona informazione sui temi della cybersecurity. Ce n’è bisogno per educare le persone, fondare un linguaggio comune, costruire una cultura della sicurezza informatica che parta dalla divulgazione dei suoi temi più rilevanti: la privacy, la libertà, la sicurezza, la salute.
In un mondo sempre più digitalizzato infatti, gli attacchi informatici che suscitano allarme nella popolazione e causano danni ingenti all’economia mettono in pericolo la stessa incolumità dei cittadini quando colpiscono le reti di distribuzione di servizi essenziali come la sanità, l’energia, i trasporti; cioé le infrastrutture critiche delle società moderne. Immaginate cosa può succedere, ed è già successo, se si spegnessero all’improvviso tutti i semafori di una metropoli, si bloccassero gli ascensori e le ambulanze non potessero più ricevere l’indirizzo giusto per recuperare i feriti. Ma un attacco informatico di successo potrebbe anche rappresentare un momento di non ritorno per la credibilità di un’azienda, lo sviluppo del suo business, la capacità di vendere prodotti utili in un regime di sana concorrenza. Ugualmente un attacco informatico riuscito potrebbe destabilizzare il mercato azionario sprofondando interi paesi nel caos, oppure bloccare i rifornimenti di gas in inverno o il ciclo del rifiuti urbani: che scenario politico ne conseguirebbe?
Molte volte i danni di questi attacchi dipendono da un anello debole identificabile. L’anello debole della cybersecurity è il fattore umano. Sono le persone che si fanno “pescare” da una campagna di phishing, che usano come password il nome del gatto, che usano lo stesso smartphone per farci giocare i figli e poi accedere la rete aziendale. Ecco, sono proprio loro i primi ad aprire le porte ai criminali verso i siti, le reti e i database della loro organizzazione, con effetti pericolosi e imprevedibili. Non ci è bastata la lezione dell’infiltrazione di Fancy Bear e Cozy Bear nei database del Comitato Nazionale Democratico? E che dire della botnet Mirai che ha reclutato 100.000 smart objects per mettere in ginocchio Internet sulla costa occidentale degli Stati Uniti?
È pur vero che le grandi organizzazioni sono coscienti che la prima linea di difesa è un’adeguata gestione del rischio, l’analisi delle risorse interne, l’osservazione delle procedure di sicurezza, eccetera. Ma quante sono ancora le aziende e i ministeri che non hanno neppure un recovery plan in caso di cyberattacco?
E quanta consapevolezza hanno i manager e i decisori pubblici del rischio reale che si corre quando un solo anello della catena della sicurezza viene spezzato? Quante aziende non spendono in sicurezza “perché tanto a me non è ancora successo niente”?
Per tutti questi motivi informare ed educare alla cybersecurity è una sfida che ci riguarda tutti: cittadini, imprese, istituzioni e università. E per tutti questi motivi lavorare su un linguaggio preciso, un linguaggio comune, adeguato a comunicare correttamente i temi della cybersecurity è fondamentale. È per questo che il Laboratorio Nazionale di Cybersecurity del CINI ha deciso di avviare una collaborazione con l’Agenzia Giornalistica Italia: per favorire la divulgazione di una cultura della sicurezza informatica a beneficio di tutto il paese.
Insomma, vorremmo contribuire a un “giornalismo di servizio” che sarebbe di grande utilità anche per coloro che devono proteggere immagine, beni e servizi di aziende e istituzioni. Uno “spazio informativo” sulla cybersecurity che vada oltre le esigenze dell’informazione quotidiana e di attualità che pure ne costituiscono la ragion d’essere.
In sintesi, l’obbiettivo di questo blog è di fornire notizie e informazioni utili a decisori pubblici e istituzionali, aiutare le persone a capire i rischi derivanti da comportamenti superficiali e spiegare alle imprese l’importanza di avere propri esperti di cybersecurity.
Tutto questo con un approccio serio e rigoroso, ma anche “pop”, educativo, per aiutare il general public ad avvicinarsi all’argomento e a costruirsi le competenze per meglio gestire la propria infosfera.
