Menti sotto assedio: la rivoluzione umana nella cybersecurity
A cura di Petra Chiste
Con la crescente sofisticazione degli attacchi informatici, che sfruttano non solo le vulnerabilità dei nostri sistemi ma anche quelle insite nella natura umana, come pensi che la psicologia possa arricchire le strategie di sicurezza informatica? È possibile che la chiave per un futuro digitale più sicuro risieda non solo nello sviluppo di tecnologie avanzate, ma anche in una più profonda comprensione dell’elemento umano?
Questo articolo solleva il sipario su una nuova scena in cui la cybersecurity incontra la psicologia umana. Gli attacchi informatici non sono più solo una questione di codici malevoli, si trasformano in narrazioni che giocano sulle nostre vulnerabilità psicologiche. Quindi, quanto è importante, secondo te, che le difese informatiche si evolvano per diventare non solo tecnicamente robuste ma anche psicologicamente intuitive?
Questo dialogo ci spinge oltre i confini tradizionali della cybersecurity, per indagare come una comprensione psicologica possa elevare la nostra resilienza contro le minacce digitali. Riflettendo sul fatto che ogni linea di codice è scritta, ogni clic è eseguito, e ogni trappola è elusa o subita da un individuo, come credi che la nostra percezione della sicurezza informatica debba cambiare?
All’interno dell’ecosistema ICT, l’architettura di sicurezza è rappresentata genericamente da soluzioni tecnologiche. Rappresentano la nostra prima linea di difesa contro le minacce esterne, proteggendo l’accessibilità e l’integrità dei nostri sistemi.
Tuttavia, un elemento critico spesso trascurato in questo schieramento tecnologico è l’aspetto umano. Il phishing, la BEC fraud (Business Email Compromise), sono tecniche che fanno leva esclusivamente sulla componente umana. La loro pericolosità risiede nella sua capacità di apparire convincente, spesso tramite l’utilizzo di messaggi che invocano urgenza o autorità per spingere l’azione precipitosa dell’utente.
Questi attacchi, radicati nell’ingegneria sociale, puntano dritto alle nostre inclinazioni psicologiche - fiducia, paura, sottomissione all’autorità - sottolineando la necessità di un approccio alla sicurezza che superi la pura tecnologia.
Immaginiamo di essere al lavoro, circondati da tutte le tecnologie e le misure di sicurezza più avanzate che il nostro reparto IT possa fornirci. Sembra tutto sotto controllo, giusto? Eppure, basta un momento di distrazione – un clic troppo veloce su un’e-mail che sembrava provenire dal nostro capo, ma che in realtà nascondeva un tentativo di phishing – per mettere a rischio l’intero sistema. È successo a molti, anche ai migliori. Oppure, consideriamo il fenomeno del social engineering, dove gli attaccanti giocano proprio sulla nostra fiducia e sulle nostre abitudini quotidiane. Quante volte abbiamo ricevuto richieste di riconferma delle credenziali o inviti ad accedere a un link per una presunta verifica? Un esempio lampante è quello delle false comunicazioni da parte di fornitori di servizi internet, che invitano ad aggiornare i dati di accesso attraverso link che portano a pagine fasulle.
Ma da cosa dipende il successo di questi tentativi? La percezione del rischio da parte degli individui gioca un ruolo significativo nelle scelte che le persone fanno, influenzando così la strategia di sicurezza a tutti i livelli.
La percezione del rischio non è un’entità statica o uniforme; varia ampiamente tra gli individui, influenzata da un mosaico di fattori psicologici, emotivi, sociali e culturali. Elementi quali esperienze personali, emozioni pre valenti, esposizione mediatica e pressioni del contesto sociale si intrecciano per formare un quadro personale del rischio che può differire notevolmente dalla realtà oggettiva. Uno degli aspetti più intriganti di questa percezione è il ruolo dell’esperienza diretta e della narrazione mediatica. Le persone che hanno vissuto eventi negativi o sono state esposte a racconti di tali eventi attraverso i media tendono a sovrastimare la probabilità e la gravità di rischi simili. Questo fenomeno è amplificato dall’effetto dei social media, che possono creare ecosistemi di eco in cui certe percezioni del rischio vengono rinforzate a discapito di una comprensione più equilibrata. La “distanza psicologica” da un pericolo gioca anche un ruolo chiave. Le minacce percepite come prossime, sia in termini temporali che geografici o emotivi, sono spesso valutate come più pressanti e gravi. Questo meccanismo psicologico spiega perché alcune persone possono apparire irragionevolmente preoccupate per rischi immediati, trascurando minacce future o meno visibili che potrebbero, ad un’analisi più attenta, presentare un pericolo maggiore.
La comprensione delle dinamiche della percezione del rischio non è solo di interesse accademico; ha implicazioni concrete per la progettazione di politiche di sicurezza e per l’efficacia delle strategie di gestione del rischio. Nel settore della sicurezza informatica, ad esempio, riconoscere che gli utenti possono avere percezioni distorte dei rischi può aiutare a sviluppare formazioni, comunicazioni e protocolli più efficaci, che tengano conto di questi bias cognitivi e emotivi.
I bias cognitivi ed emotivi sono diversi, vediamo quelli che maggiormente impattano le scelte in ambiti di sicurezza informatica.
L’euristica della disponibilità illustra come tendiamo a sovrastimare la probabilità di eventi che possiamo facilmente richiamare alla mente, come attacchi informatici di alto profilo. Questo meccanismo è radicato nella nostra propensione a lasciare che le esperienze recenti, o eccezionalmente vivide, influenzino la nostra percezione della frequenza di eventi simili. È evidente nel modo in cui gli attacchi informatici di alto profilo, come il famigerato WannaCry ransomware, rimangono impressi nella mente degli esperti ICT. Questi eventi creano un punto di riferimento che tende a sovrastimare la probabilità di attacchi simili nel futuro, portando a volte a misure di sicurezza sproporzionate rispetto ad altre minacce meno mediatiche ma potenzialmente più dannose.
L’euristica dell’ancoraggio, d’altra parte, descrive la tendenza a fare affidamento eccessivamente sulle prime informazioni che riceviamo su un argomento, utilizzandole come “ancora” per le valutazioni successive, anche quando si dispone di nuove informazioni. Concentrandosi troppo su un singolo esempio o tipologia di attacco, gli utenti possono diventare meno attenti ad altre forme di minacce che non corrispondono esattamente a quello che hanno imparato o ricordano (ancora).
Il bias di conferma, infine, evidenzia la nostra tendenza a cercare, interpretare e ricordare le informazioni in modo che confermino le nostre preconcezioni, ignorando quelle che le contraddicono. Questo può portare a una visione ristretta dei rischi informatici, dove gli esperti potrebbero non valutare adeguatamente le minacce emergenti o sottovalutare quelle che non si allineano con le loro aspettative esistenti. Un esempio semplice è quando un analista cyber ignora segnali di una violazione dati perché in passato falsi allarmi hanno generato inutili allarmismi.
L’ottimismo irrealistico si manifesta quando gli individui credono che le probabilità di esperienze negative siano minori per loro rispetto agli altri. Negli ambienti ICT, questo può tradursi in una sottovalutazione dei rischi personali o organizzativi e in un falso senso di sicurezza, che potrebbe ostacolare l’adozione di misure preventive efficaci. L’esempio più efficace è l’automobilista che si crede immune dagli incidenti stradali poiché è esperto, sottovalutando tutta una serie di alert o di segnali che possono provenire dall’ambiente in cui si trovano.
La sfida è duplice: da un lato, è necessario informare e formare gli individui per affinare la loro capacità di valutazione dei rischi, fornendo loro gli strumenti per distinguere tra minacce reali e percepite. Dall’altro, le organizzazioni devono lavorare per creare culture della sicurezza che promuovano una discussione aperta e informata sui rischi, incoraggiando una valutazione più equilibrata che possa guidare verso decisioni più ponderate e strategie di sicurezza più resilienti.
Cominciamo quindi a comprendere come la componente psicologica nella percezione del rischio in sicurezza informatica possa influenzare direttamente i comportamenti specifici degli utenti. Il passo successivo è, quindi, integrare queste conoscenze nella progettazione delle formazioni.
Le formazioni individuate devono da un lato accrescere le conoscenze di sicurezza informatica e dall’altra riconoscere quando ci troviamo di fronte ad un bias.
Consideriamo il caso del phishing, una delle minacce più pervasive e insidiose. Un utente riceve una email che sembra provenire da un fornitore di servizi noto, invitandolo a cliccare su un link per risolvere un problema urgente con il suo account. Qui, l’euristica della disponibilità può portare l’utente a ricordare le volte in cui ha ricevuto comunicazioni legittime simili, sottovalutando i segnali di pericolo che indicano un tentativo di phishing. L’assenza di una valutazione critica, dovuta a un bias di conferma (cerca conferme del suo presupposto che la mail sia genuina), può facilmente tradursi in un clic fatale. Per contrastare gli effetti dei bias cognitivi, è fondamentale esporre i nostri utenti alle più svariate situazioni, in modo tale che possono sviluppare un’euristica più affidabile per valutare le situazioni potenzialmente pericolose, rafforzando le capacità di riconoscimento dei tentativi di phishing o di altre minacce.
Al di là della formazione individuale, è sempre più cruciale promuovere una cultura organizzativa che valorizzi la sicurezza come responsabilità condivisa, incoraggiare la segnalazione proattiva di email sospette o di comportamenti anomali, senza timore di ripercussioni. In questo modo, si coltiva un ambiente in cui le decisioni di sicurezza sono supportate da un contesto sociale che rinforza comportamenti sicuri, piuttosto che affidarsi unicamente al giudizio individuale, spesso soggetto a bias.
Mentre ci avviciniamo alla conclusione di questo articolo emerge una visione chiara: il cammino verso una maggiore sicurezza non è soltanto tecnologico, ma intrinsecamente umano.
La consapevolezza e la comprensione dei bias cognitivi ci offrono una lente attraverso la quale possiamo non solo riconoscere le nostre vulnerabilità ma anche mobilitare le nostre risorse più potenti: la capacità di apprendere, adattarsi e supportarci a vicenda.
L’errore umano non deve essere visto come un punto di fallimento ma, piuttosto, come un punto di partenza per lo sviluppo di strategie di sicurezza più efficaci, inclusive e resilienti.