Come Scuola Internazionale Etica & Sicurezza Milano - L’Aquila, siamo intervenuti al Security Summit 2023 che si è tenuto a Milano dal 14 al 16 febbraio, portando il nostro contributo su alcune importanti tematiche in materia di cybersecurity.
Dal nuovo rapporto Clusit 2023 emerge una situazione non proprio positiva per la sicurezza informatica italiana, che vede il nostro Paese tra i più interessati dagli attacchi su scala mondiale nel 2022, con un aumento percentuale crescente degli stessi negli ultimi 5 anni e il superamento delle previsioni nell’anno precedente. Nonostante tutti i dati suggeriscano che la protezione dei sistemi informatici debba essere una priorità nazionale, l’Italia si posiziona in fondo alle classifiche per livello di digitalizzazione e competenze digitali, e gli investimenti in prodotti e servizi di sicurezza informatica sono la metà rispetto a quelli di molti altri Paesi.
È certo che il tema sta acquisendo sempre maggiore rilevanza, complice la forte attenzione mediatica, le disposizioni normative e la crescente consapevolezza da parte delle aziende che il rischio cyber non ha ripercussioni esclusivamente tecniche ed economiche, ma ha effetti negativi anche sulla performance, sull’immagine e sugli stakeholders. Resta però ancora molto da fare e se da un lato l’inerzia e la lentezza generale nell’attivazione di contromisure adeguate potrebbe sorprenderci, dall’altro dobbiamo tenere in considerazione anche alcuni aspetti psicologici che concorrono a determinare il problema. Come ben esprime Slovic, eminente psicologo americano esperto di rischio e processi decisionali, l'essere umano ha inventato il concetto di rischio e non esiste un "rischio reale, oggettivo”, e pur disponendo di metodologie di risk assessment raffinate, nelle decisioni che prendiamo siamo molto meno razionali di quanto potremmo pensare. Per quanto accurati siano i nostri calcoli probabilistici, il nostro cervello ha l’esigenza di creare una rappresentazione mentale di un certo pericolo ed è innegabilmente più facile immaginare alcuni rischi rispetto ad altri (pensa, ad esempio, a un attacco terroristico e a un attacco informatico: quale dei due è più facile da visualizzare e fa più “paura”?). Di fronte a dati oggettivi ed evidenze fattuali, i nostri processi decisionali sono fortemente influenzati da una serie di fattori – individuali, sociali, culturali – che operano al di fuori della nostra consapevolezza e possono portarci a giudizi distorti ed errati della realtà. Così, tendiamo a non temere cose che statisticamente hanno più probabilità di recarci danno, mentre abbiamo una paura sproporzionata per rischi decisamente molto improbabili.
Ecco perché al Security Summit 2023 abbiamo parlato di psicologia cognitiva e percezione dei rischi in un intervento intitolato “Il rischio, tra realtà e percezione: un'analisi integrata per creare sistemi resilienti e sicuri”. Abbiamo portato all’attenzione dei partecipanti l’esigenza per i professionisti della sicurezza di considerare il gap tra rischio calcolato e rischio percepito, e il fatto che le persone si preoccupano solo dei pericoli che percepiscono e che, pertanto, se un evento non è percepito come una minaccia, esse saranno meno motivate a tutelarsi e ad adottare comportamenti sicuri, rendendo sé stesse e l’organizzazione in cui operano più vulnerabili.
I dati relativi alla cybersecurity sono preoccupanti, ma siamo certi di come le persone – esperti e non – percepiscano le minacce cyber? Si può auspicare un’inversione di tendenza per mettere l’Italia e le sue imprese in sicurezza se il rischio informatico non viene ancora adeguatamente percepito in quanto tale dalla maggioranza delle persone? E ancora, come vengono diversamente percepiti i vari tipi di attacchi cyber? Queste sono alcune delle domande che chi si occupa di cybersicurezza dovrebbe porsi.
Le valutazioni soggettive che le persone fanno per stimare i rischi possono essere calcolate e indagate tramite questionari e tecniche psicometriche specifiche e costituiscono una fonte di informazione chiave per comprendere le vulnerabilità. Per questo crediamo che per creare sistemi sempre più resilienti e sicuri occorra adottare un approccio di risk analysis che integri nella valutazione tecnica anche i fattori individuali di percezione, al fine di implementare azioni correttive che possano colmare il gap tra rischio calcolato e rischio percepito.