Venerdi 22 Giugno 2018
MacroambienteCybersecurity sui social media: lo stato dell’arte e le azioni indispensabili

Cybersecurity sui social media: lo stato dell’arte e le azioni indispensabili

Perché quella della cybersecurity sui social media è, innanzitutto, una questione culturale? A che punto siamo in Italia?


Virginia Dara

A cura di: Virginia Dara Autore Inside Marketing

Cybersecurity sui social media: lo stato dell’arte e le azioni indispensabili

Molti degli utenti non se ne rendono conto ma, «quando stanno usando uno smartphone, stanno manovrando in realtà un’arma nucleare che può fare male a loro, alla loro azienda, alla società intera»: così Andrea Zapparoli Manzoni ha introdotto al Social Media Marketing  + Digital Communication Days Italia 2018 la vexata quaestio della cybersecurity sui social media.

Dal crimine virtuale alla guerra cybernetica: cosa minaccia la nostra sicurezza online

Il quadro di riferimento è quello in cui il mercato del cybercrimine – come sottolinea lo stesso esperto – si è quintuplicato in pochissimo tempo, arrivando addirittura a superare quello del narcotraffico. Chi ha provato a stimarlo (uno studio della Surrey University per esempio, ndr) parla, così, di un valore del crimine online che supera oggi gli 1,5 trilioni di dollari e che è pari al prodotto interno lordo della tredicesima potenza mondiale.

Ciò di cui è più difficile accorgersi è, stando ancora alle parole di Zapparoli Manzoni, che il cybercrime è una guerra che sta già provocando migliaia di morti reali. Il riferimento non è tanto ai milioni di dollari che, come gli stessi studi sottolineano, dalle casse dei criminali digitali vengono trasferiti a quelle del terrorismo internazionale, quanto a quella più sottile cyberwarfare (anche detta guerra cibernetica, ndr) che viene combattuta ogni giorno sotto gli occhi di miliardi di iscritti ignari dei social network e mentre brand, aziende e investitori  continuano a spendere su questi come forma privilegiata di attività di marketing e pubblicità. Il Twitter su cui oltre dieci milioni di account fake pro-Trump avrebbero viziato il dibattito politico in occasione delle presidenziali americane del 2016, alimentando il dubbio dell’ingerenza sovietica sulla vittoria repubblicana è, cioè, lo stesso Twitter su cui ogni giorno migliaia di utenti si ritrovano per fare second screen, aziende e altri soggetti business investono in Twitter Ads, giornalisti e altri professionisti dell’informazione vanno alla ricerca di fonti, ecc.

Le piattaforme social, in altre parole, sono diventate  luoghi e «asset» – così si esprime l’esperto – attraverso cui i criminali digitali si combattono tra di loro. Impossibile non immaginare quindi gli effetti, concreti e a largo spettro, di tutto questo. Il caso Associated Press rimane ancora uno dei più significativi: nel 2013, quando quelli che poi si rivelarono degli attivisti pro-Assad, hackerarono l’account Twitter ufficiale dell’agenzia di stampa dando l’annuncio, ovviamente fake, di un attentato in cui era stato ferito Barack Obama, il Down Jones perse in borsa oltre 150 punti.

Perché l’intervento normativo non basta e la cybersecurity sui social media è innanzitutto una questione culturale

Intervenire per favorire la cybersecurity sui social significa allora, certamente, individuare regole e buone pratiche che mettano al sicuro chi frequenta gli ambienti digitali. Due importanti passi avanti sono stati fatti, con riferimento al panorama europeo e italiano in particolare, con l’adozione e l’entrata in vigore del GDPR  e soprattutto con il recepimento della NIS, una direttiva che dovrebbe rafforzare sicurezza e protezione dei sistemi IT più critici come quelli utilizzati nel settore bancario e finanziario, nelle infrastrutture, in sanità, ecc. Come sottolineato anche dal Libro Bianco sul futuro della Cybersecurity, del resto, almeno il 45% delle aziende nostrane è stato vittima tra il 2015 e il 2016 di un cyberattacco e la spesa per difendersi oscillava allora tra i 4 e i 19mila euro, valori minimi se rapportati al rischio in questione.

Più che una «sicurezza passiva», però, servirebbe una «visione proattiva». Oggi, del resto, «il digitale è la sola industria che non è responsabile dei difetti dei suoi prodotti», sottolinea ancora Andrea Zapparoli Manzoni al #SMMdayIT. Tradotto significa che costi e rischi – quando in gioco ci sono informazioni e dati sensibili per esempio – sono ancora «esternalizzati sull’utente finale» – a cui spetta il compito, per rimanere all’esempio precedente, di leggere, comprendere e capire le singole informative dei singoli servizi di cui usufruisce. Il problema è allora innanzitutto culturale e, come tale, richiede anche una soluzione che non può non partire da un approccio soft e, come è stato rimarcato da più parti, di educazione civica digitale. «Sebbene accettiamo, infatti, che qualunque tecnologia possa avere sia effetti benefici che rischi – continua l’esperto – siamo ancora convinti che l’IT abbia solo un’armatura benefica e degli effetti positivi».

Il corollario sono comportamenti tramite cui da utenti mettiamo a rischio la nostra stessa sicurezza online. Il 2017 Norton Cyber Security Insights Report dà delle indicazioni molto interessanti in materia: lo scorso anno oltre un terzo della popolazione adulta italiana è stata vittima di attacchi informatici e, in parte a sorpresa, si è trattato soprattutto di utenti con una certa familiarità con gli ambienti digitali, che utilizzano la Rete su base quotidiana e convinti di proteggere adeguatamente i propri dati e le proprie informazioni personali  e di essere a basso rischio cyberattack.

Tutte le occasioni in cui mettiamo a rischio la nostra sicurezza online (e i possibili rimedi)

I comportamenti più a rischio? Riguarderebbero la scelta delle password: il 47% di chi è stato vittima di un attacco informatico, che si trattasse di ransomware o phishing poco importa, ha utilizzato la stessa password per più account diversi o, anche quando non lo ha fatto, ha salvato i codici di sicurezza in un file sul proprio dispositivo (è successo nel 22% dei casi, mentre c’è addirittura un 40% di italiani che avrebbe scritto su pezzi di carta le proprie password, ndr). Combinare parole random e cifre sarebbe, così, secondo gli esperti, una delle prime regole per creare password funzionali e, per fortuna, la maggior parte delle piattaforme mette a disposizione oggi strumenti come l’autenticazione a due fattori che dovrebbero garantire una maggior protezione.

Tanti altri comportamenti, però, mettono a rischio la propria cybersecurity sui social media. Basta considerare la quantità d’informazioni che chiunque condivide, consapevolmente o meno, all’interno dei social network: dal ristorante preferito alla meta per le vacanze, passando per la routine quotidiana, dati come questi esattamente come vengono sfruttati dalle aziende per comunicazioni mirate e sartoriali possono essere utilizzati dai cybercriminali per operazioni di social engeneering e, cioè, per arrivare meglio e con certezza al propria target eletto. Si pensi, in questo senso, all’opportunità di tarare, perché risulti credibile e convinca all’azione, oggetto e testo di una email di phising.

Una soluzione unica e certa non esiste: bisognerebbe sensibilizzare gli utenti a un atteggiamento più responsabile ed è quello che ha fatto, per esempio, sull’onda lunga dello scandalo Cambridge Analytica, Facebook implementando gli strumenti per il controllo della privacy.

Nella lotta al crimine virtuale, però, la componente analogica è più importante di quanto si è disposti a immaginare: a livello zero, quando si nota l’attività anomala del profilo di un amico o di un collega — overposting, link sospetti, ecc. — non c’è niente più facile per esempio di chiedere, dal vivo e faccia a faccia, delle spiegazioni in merito. È soprattutto in ambito aziendale, comunque, che la lotta per la cybersecurity sui social media assume una rilevanza particolare: vulnerabili come hanno mostrato di essere, i sistemi informatici delle aziende — italiane e non solo — possono essere violati infatti con estrema facilità e il rischio, come si è visto, sono perdite concrete e consistenti anche a livello economico. Alcuni punti cruciali su cui servirebbe lavorare, oltre all’implementazione delle infrastrutture e al già citato approccio culturale? La reale convenienza dei sistemi BYOD, per esempio: come spiegava già qualche anno fa “La sicurezza nei social media”, una guida in materia di Clusit, infatti, l’utilizzo da parte dei dipendenti dei dispositivi personali potrebbe peggiorare la vulnerabilità dei sistemi aziendali. Ancora, una gestione centralizzata degli account social: che succederebbe, infatti, se a essere violato fosse il profilo dell’amministratore? E il ricorso ad API terze, infine, che potrebbero presentare falle o sistemi di trattamento di dati e informazioni malevoli.

© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti
Iscriviti alla newsletter!

Ricevi gli aggiornamenti settimanali delle notizie più importanti tra cui: articoli, video, eventi, corsi di formazione e recensione libri
Potrai anche usufruire di offerte esclusive per libri, eventi e corsi.
Cosa aspetti?!

Iscriviti