Il tema della cybersecurity sta costando alle imprese un sacco di soldi. I governi e l’industria stanno facendo quello che sembra la cosa più ovvia da fare, spendere miliardi di dollari per sviluppare e implementare nuove tecnologie per fermare gli attacchi.
Nonostante la predilezione per l’uso della tecnologia per risolvere quelli che sembrano essere problemi tecnologici, un lamento che riecheggia nei circoli della sicurezza è che non stiamo facendo abbastanza per affrontare la più grande e persistente minaccia della cybersecurity: il comportamento umano.
Nel 2014, Ibm ha riferito che oltre il 95% di tutti gli incidenti di sicurezza esaminati avevano l’errore umano come fattore determinante.
La recente serie di attacchi malware come WannaCry, Petya, Mirai e Mirai, così come Equifax sono tutti iniziati a causa di decisioni e azioni inadeguate da parte degli utenti finali.
Se non si trattava di un ingegnere che costruisce inavvertitamente una vulnerabilità in un software, si trattava di un utente finale che cliccava su un collegamento malizioso, cadeva in un attacco di phishing, usava una password debole o ometteva di installare un aggiornamento di sicurezza in modo tempestivo.
Gli aggressori non avevano bisogno di abbattere un muro di quelli e zeri, o sabotare un pezzo di hardware sofisticato, ma semplicemente di sfruttare il comportamento degli utenti prevedibilmente scadente.
La cybersecurity parte dai dipendenti
Quando le aziende focalizzano la loro attenzione sulla soluzione di quelli che pensano siano problemi tecnologici con soluzioni tecnologiche, trascurano di identificare semplici interventi che possono contribuire a ridurre l’incidenza di comportamenti scorretti e promuovere quelli buoni.
E mentre alcuni investimenti tecnologici hanno cercato di prevenire questi comportamenti in primo luogo scaricando le decisioni umane sui sistemi di intelligenza artificiale e di apprendimento automatico, queste innovazioni hanno ancora molti passi da fare.
Come ci ricorda il robot di sicurezza caduto in una fontana del centro commerciale, l’Ia e le relative innovazioni non sono ancora tecnologie completamente sviluppate. Ad esempio, quante volte il filtro antispam ha perso un’e-mail di phishing?
In assenza di Ia a prova di bomba è ancora necessario un giudizio umano per colmare il divario tra le capacità delle nostre tecnologie e le nostre esigenze di sicurezza. Ma se il giudizio umano non è perfetto e la tecnologia non basta, cosa possono fare le aziende per ridurre i rischi comportamentali?
Una visione importante può arrivare dall’economia comportamentale e dalla psicologia che dimostrano come i nostri pregiudizi comportamentali siano abbastanza prevedibili. Per esempio, i professionisti della sicurezza hanno detto più volte che mantenere il software aggiornato e installare le patch di sicurezza il prima possibile è uno dei metodi migliori per proteggere i sistemi dagli attacchi.
Tuttavia, anche se l’installazione degli aggiornamenti è relativamente semplice, molti utenti e persino gli amministratori It procrastinano su questa fase critica. Perché? Parte del problema è dovuto al fatto che i suggerimenti e le patch di aggiornamento arrivano spesso in un momento sbagliato, quando la persona responsabile dell’installazione dell’aggiornamento si preoccupa di un altro problema. Inoltre, quando si tratta di aggiornare i nostri personal computer e dispositivi, ci viene spesso fornito un facile “out” sotto forma di un “ricordami più tardi”.
A causa di questo piccolo dettaglio contestuale, gli utenti sono molto più propensi a rimandare l’ aggiornamento, non importa quanto critico. Quante volte avete cliccato sull’ opzione “Ricorda domani” prima di effettuare l’aggiornamento? Alcuni studi hanno però cercato di dare consigli per migliorare il comportamento degli utenti.
I rimedi per una maggiore sicurezza
Impostare valori predefiniti forti. Una delle intuizioni più influenti delle scienze comportamentali è che tutto ciò che si trova nella posizione “predefinita” è generalmente un elemento forte. Questa intuizione è stata utilizzata con grande efficacia nei settori del risparmio previdenziale e della donazione di organi, dove il passaggio da un default “opt-in” a un default “opt-out” ha aumentato significativamente i tassi di partecipazione.
Una logica simile potrebbe essere applicata al contesto di scelta della sicurezza degli utenti aziendali. I datori di lavoro potrebbero dedicare del tempo a configurare computer e sistemi che i dipendenti utilizzano per attivare le funzioni di sicurezza per impostazione predefinita. Ciò potrebbe portare a tassi di conformità più elevati rispetto alla fiducia che i vostri dipendenti possono avere nei loro confronti.
Utilizzare gli impegni di calendario per aggiornare il sistema. A volte non è possibile abilitare l’aggiornamento automatico per il software di sistema, lasciando la scelta se aggiornarlo o meno nelle mani dei dipendenti. Tuttavia, di fronte alla prospettiva di arrestare il flusso di lavoro per l’aggiornamento di alcuni software, i dipendenti possono decidere di rinviare l’azione fino a “tempi migliori”: il problema è quel “tempo migliore” potrebbe non arrivare mai.
Un modo in cui i ricercatori sono stati in grado di aggirare questo problema attuale di distorsione è quello di convincere gli utenti ad assumere impegni concreti su quando seguiranno – più specifici sono i risultati migliori.
Nel contesto degli aggiornamenti del software, i datori di lavoro potrebbero aiutare i dipendenti ad assumere un impegno concreto per l’aggiornamento. Ad esempio, quando viene rilasciato un aggiornamento, un amministratore può inviare un’e-mail che ordina ai dipendenti di bloccare un orario del calendario per completare l’aggiornamento. Il semplice atto di ottenere i dipendenti a pre-impegno può fermare il ciclo di procrastinazione.
Confrontare i dipendenti con i loro colleghi. Le persone hanno la tendenza a guardare verso le altre persone, specialmente quelle che sono simili a loro, per imparare ad agire. Questo fenomeno, chiamato prova sociale, può avere effetti potenti sul comportamento delle persone, ed è particolarmente influente quando il comportamento desiderato è ambiguo – come nel caso dell’igiene cibernetica. In un ambiente aziendale, gli amministratori possono avvalersi della prova sociale per aiutare i dipendenti a identificare i comportamenti auspicabili e motivarli ad assumerli. Ad esempio, i datori di lavoro potrebbero indagare sui vari comportamenti e sulle salvaguardie che utilizzano online e assegnare un punteggio in base a tali comportamenti. Potrebbero poi produrre relazioni per ogni individuo confrontandole con il dipendente medio, così come con i dipendenti più diligenti, e fornire loro le azioni che possono intraprendere per migliorare il loro punteggio. Questo semplice intervento di prova sociale potrebbe portare ad una maggiore conformità in un’organizzazione.
Trasformare la formazione di sensibilizzazione in un sistema di feedback costante. Una visione importante dalla scienza comportamentale è che se si fornisce una formazione a qualcuno, si potrebbe aumentare la conoscenza delle persone, ma non è probabile che cambino i loro comportamenti. Spesso la formazione alla consapevolezza accade qualcosa di simile: una volta l’anno, i dipendenti entrano in una stanza per un’ora o due e vengono tenuti a lezione da un formatore professionale, solo per tornare alle loro postazioni di lavoro e ignorare la maggior parte di ciò a cui sono stati insegnati. Ci sono molte ragioni per cui questo potrebbe accadere: le persone hanno un’ attenzione limitata e non possono assorbire tutte le informazioni che hanno appena imparato; possono non avere un senso concreto di come rendere attuabile ciò che hanno imparato e quindi non cambiare il loro comportamento; possono essere troppo sicuri che nessuno dei rischi che hanno imparato su di loro si applica in particolare a loro – “non accadrà mai a me”.
Un modo in cui le imprese possono migliorare l’efficacia della formazione di sensibilizzazione è quello di renderla un processo continuo, e costruire un feedback in modo che i dipendenti apprendano quando si cade e cosa possono fare per evitare che l’errore in futuro. Ad esempio, per rendere la vostra forza lavoro più resistente agli attacchi di phishing, potreste scegliere di utilizzare software come Phishme, che invia regolarmente false e-mail di phishing ai dipendenti e fornisce soluzioni quando gli utenti cadono per l’attacco. Processi simili potrebbero essere messi in atto per aiutare i dipendenti a evitare collegamenti errati, ricordarsi di aggiornare il loro software e adottare altri comportamenti benefici come l’uso dell’autenticazione a due fattori, l’ attivazione della Vpn quando si accede a una rete insicura e l’ utilizzo di password più sicure.
Se si cerca di utilizzare la tecnologia per risolvere quelli che in realtà sono problemi umani, certe vulnerabilità non saranno mai eliminate.
