Per anni, i governi hanno segnalato le pandemie e gli attacchi informatici come i rischi prioritari che devono affrontare le loro nazioni. Il primo è già avvenuto. La rapida trasmissione virale di COVID-19 ha mostrato fin troppo bene come le malattie infettive possono creare disordini a livello globale e gravi danni socioeconomici.
Ma che dire di questo secondo enorme rischio? Anche se continuiamo a combattere il coronavirus, è opportuno considerare la necessità di una preparazione informatica per proteggere gli interessi economici e sociali della nostra società sempre più digitale.
Come possiamo utilizzare le lezioni di questa crisi di salute pubblica e applicarle al nostro secondo fattore di rischio più grande? La sicurezza informatica spesso si basa su concetti e metafore di guerra, ma la salute pubblica fornisce concetti e metafore molto più familiari e quotidiani che potrebbero fornire risorse più ricche per spiegare la sicurezza informatica, specialmente quando la salute pubblica e la sicurezza informatica forniscono importanti beni pubblici.
La salute pubblica si concentra sulla salute delle comunità, non solo degli individui. Allo stesso modo, i sistemi digitali non possono essere considerati isolatamente; la natura in rete del ciberspazio significa che deve essere considerata anche la sicurezza collettiva dei sistemi.
Un approccio stratificato alla salute pubblica
Il miglioramento delle pratiche igieniche individuali e i programmi di vaccinazione su larga scala sono una linea di difesa primaria utilizzata per prevenire la trasmissione di malattie infettive.
L’immunità di gregge o di comunità è una linea di difesa secondaria a beneficio delle persone che non possono essere vaccinate. Mentre la vaccinazione protegge direttamente coloro che possono essere immunizzati, l’idea alla base dell’immunità di gregge è che protegge indirettamente le persone immunocompromesse; man mano che più persone vengono vaccinate e immuni, ci sono meno persone in grado di diffondere la malattia.
Ma l’immunità di gregge funziona solo se tutti fanno la loro parte. Se troppe persone, che possono essere vaccinate da sole, dipendono dalle vaccinazioni di altre persone, il risultato è un focolaio di malattia. Malattie più contagiose richiedono che più persone vengano vaccinate affinché l’immunità di gregge funzioni; ad esempio, almeno il 90-95% della popolazione deve essere vaccinato per ottenere l’immunità di gregge contro il morbillo, mentre l’80-85% della popolazione dovrebbe essere vaccinato contro la poliomielite, che è meno contagiosa.
L’immunità di gregge non protegge dalle malattie che non vengono trasmesse direttamente dalle persone che hanno la malattia; ad esempio, il tetano viene catturato dai batteri nell’ambiente; indipendentemente dal numero di persone vaccinate contro il tetano, non fornirà una protezione più ampia.
Una terza linea di difesa comprende il monitoraggio attivo mediante il quale vengono monitorate le persone vulnerabili; e se vengono rilevati sintomi, la malattia viene curata e le persone possono essere ricoverate in ospedale, isolate o messe in quarantena se necessario. Il tracciamento dei contatti per identificare le persone che hanno interagito fisicamente con individui infetti è stato fondamentale durante le prime fasi dell’epidemia di SARS nel 2003 e dell’epidemia di Ebola in Africa nel 2014, in modo che potessero essere implementate misure di follow-up, come l’isolamento e la quarantena, poiché i vaccini non erano ancora disponibili ed erano solo ancora in fase di sviluppo.
Inoltre, gli interventi rivolti alla popolazione più ampia stabiliscono standard minimi per una buona igiene, coinvolgendo politiche organizzative, regolamenti governativi e norme sanitarie più ampie. L’obiettivo è rimuovere o ridurre i fattori di rischio chiave, come fumo, alcol e attività fisica, e gestire l’esposizione ambientale a aria, cibo, acqua e materiali pericolosi di scarsa qualità.
Un approccio a più livelli alla salute informatica
I sistemi digitali trarrebbero vantaggio da livelli di protezione simili. Ad esempio, analogamente alle persone immunizzate, le organizzazioni e i loro sistemi devono essere “vaccinati digitalmente” implementando controlli di sicurezza, come firewall, anti-malware e patch software per impedire l’accesso agli aggressori o l’installazione di malware o le vulnerabilità del software sfruttato.
Alcuni sistemi digitali non possono essere protetti in questi modi ma, come le persone che non possono essere vaccinate, trarrebbero beneficio da equivalenti di “immunità di gregge digitale” se interagissero solo con sistemi protetti. L’immunità di gregge cambia gli incentivi degli aggressori se i benefici dell’attacco non superano più i loro costi e rischi. Ma come per la vaccinazione, non basta fidarsi che gli altri forniranno l’immunità di gregge: ogni organizzazione ha la responsabilità di garantire che i propri sistemi siano protetti (ove possibile) e che i propri dipendenti possano conformarsi alle politiche di sicurezza in modo efficace.
E proprio come i pazienti che necessitano di monitoraggio sanitario, questi sistemi digitali devono essere attivamente e continuamente monitorati in modo da poter rilevare e rispondere prontamente alle minacce. Allo stesso modo, la sicurezza informatica include interventi sistemici che stabiliscono e applicano politiche, standard, regolamenti e norme più ampie adeguate per stabilire livelli di sicurezza accettabili.
Gli interventi devono soddisfare le esigenze di tutti i tipi di organizzazioni – non solo le grandi imprese ma anche le piccole e medie imprese – superando così qualsiasi sfida culturale, di competenze e di compliance.
Aiutare a mantenere l’igiene informatica per far crescere una società digitale sana
Le risposte ad hoc al Covid-19 hanno evidenziato la necessità di prepararsi al meglio per le crisi future. Attingere a quadri di salute pubblica ora familiari può aiutare a spiegare quali interventi sono necessari in modo da poter continuare a godere di tutti i vantaggi della società digitale. Con questo in mente, ci sono alcuni passaggi cruciali che le aziende possono fare per assicurarsi di mantenere una sicurezza sana.
Poiché i dipendenti continuano a lavorare in remoto, le aziende corrono il rischio di esporre le proprie reti aziendali in una varietà di nuovi modi. Attraverso reti non protette e utilizzando dispositivi personali, i dipendenti possono offrire agli hacker una porta aperta che prima non c’era. Le aziende dovrebbero occuparsi di educare i propri dipendenti fornendo linee guida su misure di sicurezza standard e semplici come la sicurezza della password, l’utilizzo di una VPN, l’abilitazione di firewall e il mantenimento del software aggiornato. Le misure che gli individui dovrebbero adottare non sono scolpite nella pietra, ma sono in costante mutamento: mentre rispondiamo alle nuove informazioni sanitarie (come le mascherine), dobbiamo tentare di modificare il nostro comportamento per rimanere al sicuro. Questo è simile nella sicurezza: dobbiamo essere sempre pronti a rispondere al panorama delle minacce in continua espansione con nuove misure di protezione. Come il lavaggio delle mani, questo tipo di igiene informatica di base può fare molto per prevenire le minacce che vediamo aumentare quotidianamente. È fondamentale che le aziende inizino a dare priorità alla sicurezza dei dati.
Ben Koppelman, Responsabile Innovazione, Cyberintelligente (si apre in una nuova scheda)