Tutti i giorni ci troviamo ad attuare compromessi in tema di sicurezza delle informazioni, poiché prendiamo decisioni considerando i requisiti di conformità, ad esempio con le norme in tema di privacy, piuttosto che l’effettiva convenienza. Sempre più aziende, infatti, ricorrono a servizi di cloud computing, come iCloud o Evernote, per poter disporre di un sistema centralizzato di archiviazione dati cui accedere da qualsiasi dispositivo, una moderna tipologia di servizio cui si ricorre principalmente per motivi di convenienza, riduzione dei costi e maggiore efficienza. Ma quante volte le aziende effettuano un raffronto fra la convenienza e la sicurezza della soluzione prescelta? Quante volte viene misurato il rischio costituito dall’archiviazione di informazioni critiche o sensibili in archivi e file che possono essere consultati da smartphone, tablet e notebook?

E come non citare quel brivido che si prova nel momento in cui ci si accorge che gli annunci pubblicitari visualizzati nell’interfaccia web di Gmail sono direttamente correlati al contenuto delle nostre e-mail? Sì, proprio quella strana sensazione di avere qualcuno dietro le spalle che spia costantemente ciò che leggiamo e scriviamo nelle nostre e-mail. Ma la cosa più preoccupante è che questo disagio svanisce molto, troppo rapidamente e qualcosa che solo qualche anno fa avrebbe creato scalpore, oggi è diventata normale. Per comodità, si può affermare che veniamo digitalmente sezionati ed esaminati da aziende che ci forniscono servizi gratuiti, che sono tali in senso monetario ma che paghiamo con la cessione dei nostri dati personali e delle nostre informazioni private.

Ad un certo punto, quindi, abbiamo deciso di cedere parte della nostra privacy in cambio di una certa convenienza, tanto che oggi non ci preoccupiamo poi tanto di utilizzare Facebook, Twitter, Gmail e altri servizi simili. La maggior parte degli utenti di questi servizi non è minimamente consapevole di aver preso una decisione a monte, sebbene questo sia proprio ciò che è avvenuto. Questo fenomeno ci ha reso più vulnerabili?

La recente violazione dell’account Twitter dell’agenzia di stampa Associated Press (AP) costituisce un interessante esempio: gli attaccanti hanno pubblicato notizie in merito ad un attentato contro la Casa Bianca e queste hanno generato un’importante ed immediata ripercussione sui mercati finanziari. Appare ovvio, quindi, che la nostra crescente fame di ricevere notizie comodamente ed istantaneamente ha generato nuove vulnerabilità, ad esempio qualcuno potrebbe approfittare di un simile incidente per agire sul mercato e beneficiare, anche se per un breve lasso di tempo, dell’improvvisa caduta nel prezzo delle azioni. Il passo logicamente successivo consiste nell’indurre proattivamente questo tipo di incidenti: monitorando il flusso delle notizie in tempo reale e l’andamento dei mercati finanziari, infatti, è possibile notare come vi siano sempre speculazioni a fronte di notizie ed incidenti eclatanti.

C’è qualche aspetto vantaggioso in tutto ciò? Certamente, ad esempio con Gmail è pressoché impossibile perdere un’e-mail, la disponibilità del servizio è di tutto rispetto ed è veramente difficile ritrovarsi nell’impossibilità di accedere ai propri dati: note, messaggi personali, archivi o qualsiasi altra informazione. È certamente più probabile smarrire la password di cifratura di un file che abbiamo depositato su un servizio cloud. D’altro canto, finché non scegliamo di adottare misure aggiuntive di sicurezza come cifratura e protezione delle password, ci sarà sempre un elevato rischio che una violazione possa comportare la compromissione dei nostri dati.

Se conserviamo i nostri documenti riservati nella cassetta di sicurezza di una banca, essi diventano pressoché impossibili da rubare, ma accedervi per consultarli diventa una vera e propria seccatura. In alternativa è possibile farne una scansione e caricarne la copia sul cloud per poterli consultare in qualsiasi momento e da qualsiasi luogo, ma, per ottenere questo livello di convenienza, ho accettato un determinato rischio che essi possano essere scovati, consultati o sottratti da malintenzionati che non sarebbero certamente in grado di violare il caveau di un istituto bancario.

Un altro esempio è costituito dalle telecamere di sicurezza disseminate nelle città: il fatto che siano praticamente ovunque comporta che la gente, giustamente o meno, ne percepisca generalmente un valore in termini di sicurezza a scapito dell’inevitabile perdita in termini di privacy. Un ulteriore esempio di compromesso è costituito dai programmi di fidelizzazione, per i quali è necessario cedere qualcosa in termini di privacy per ottenere un vantaggio di tipo commerciale o finanziario.

Il comportamento adottato dagli adolescenti in rete induce a pensare che la privacy e la sicurezza personale non abbiano alcun peso rispetto alla convenienza, poiché essi non dimostrano assolutamente alcuna aspettativa in termini di privacy e riservatezza. Ciò che i membri più giovani della nostra società pubblicano online può certamente essere oggetto di disapprovazione, ma bisogna accettarlo come una normalità di fatto. La pubblicità in Gmail non può risultare loro inquietante, perché è sempre stata lì dove si trova fin da quando hanno iniziato ad usare il computer. Ma questi giovani sono proprio le persone che, nell’arco di un decennio o giù di lì, saranno probabilmente chiamate a gestire le informazioni di qualche azienda e questa non è certo una prospettiva rassicurante.

In una società sempre più connessa e immersa nel cloud, oggi assistiamo a cose incredibili, ad esempio ad un elevato livello di connessione mediante i social network, i numerosi flussi di notizie e così via. Non appena celebrità e personaggi pubblici commettono un passo falso, istantaneamente tutto il mondo lo sa, per quanto possa risultare dubbia l’utilità di conoscere questo tipo di informazione, così come i social network possono essere determinanti per accelerare la cattura di malviventi o ritrovare persone scomparse.

Con il cloud computing e le tecnologie ad esso associata, anche le aziende stanno attuando compromessi. Si potrebbe dire che se il presidente ha già deciso che è fondamentale poter accedere alla posta elettronica aziendale da un tablet, un compromesso fra la sicurezza della corrispondenza e la convenienza operativa deve necessariamente essere fatto, mentre la sicurezza deve cercare di tenersi al passo con sistemi di cifratura, password policy, misure di endpoint protection e così via.

Mentre le grandi aziende già affermate sono generalmente più caute, le nuove aziende sfruttano sempre più i servizi cloud, perché se un’azienda appena nata vuole apparire grande fin da subito, spesso sceglie di ricorrere a servizi di hosting della posta elettronica e del sito web, oppure a servizi SaaS per la gestione delle risorse umane e la lista potrebbe allungarsi parecchio. Nell’assumere queste decisioni di business, le aziende sono realmente consapevoli dei compromessi che esse comportano? Oppure questo è semplicemente la situazione di fatto? I responsabili e gli esperti di sicurezza fanno ciò che possono per tenere il ritmo delle evoluzioni tecnologiche, ma più queste accelerano e più i compiti della sicurezza sono visti come un inutile e dannoso rallentamento. Noi del settore sappiamo che non è la verità, ma è così che va il mondo oggi.

Inoltre, raramente ci soffermiamo sulla proprietà dei dati. Le informazioni che si sviluppano attraverso un programma di fidelizzazione, ad esempio, e che sono analizzate con tecniche sofisticate, sono informazioni sull’utente ma non dell’utente, perché l’utente stesso ha sottoscritto un contratto che ne sancisce la cessione, anche se probabilmente non ne ha ben compreso le possibili conseguenze. Ciò non accade solo in pochi specifici settori nei quali la proprietà e la responsabilità sono ben individuate, ad esempio nella sanità e nella finanza, settori nei quali le conseguenze della perdita di dati sono assolutamente rilevanti, ma sono le istituzioni a detenere i dati e ad essere responsabili della loro salvaguardia, nel rispetto delle rigide regole cui il trattamento e l’utilizzo dei dati sono sottoposti.

Le abitudini d’acquisto, ad esempio, sono come un’impronta digitale che è unica per ciascun soggetto anche se, in realtà, non gli appartengono. Se una persona percorre le vie di una città, le immagini catturate dalle telecamere di sorveglianza non sono di sua proprietà, così come il messaggio e-mail che inviamo tramite un servizio online non ci appartiene perché abbiamo sottoscritto un contratto che sancisce questa cessione di proprietà. La sicurezza potrebbe non essere d’accordo ma le cose stanno esattamente così.

In conclusione, come individui e come aziende, spesso ci sbagliamo in termini di convenienza rispetto a sicurezza e privacy, ma ciò è diventato talmente ampiamente accettato che solo le violazioni di dati più vaste ed eclatanti ottengono una qualche attenzione sui media al di fuori del settore della sicurezza. Alla gente non importa poi molto di cedere il controllo sui propri dati più volte al giorno e tutti i giorni. La maggior parte della gente non vuole essere considerata arretrata e molte aziende non accettano un’eccessiva lentezza nell’adozione delle nuove tecnologie, eppure forse è il caso di apprezzare un po’ di più i vantaggi di una lentezza ponderata rispetto a quelli della velocità scriteriata della società moderna.

Tratto da: Security Tradeoffs – a Culture of Convenience – SecurityWeek

Ettore Guarnaccia