"Evidentemente ci sono ancora in giro troppi computer che non sono al passo con le release di sicurezza", ha scritto il nostro esperto di cybersicurezza, Giancarlo Calzetta, poche ore dopo l'attacco Ransomware dell'altro giorno. Già, perché se le macchine infettate fossero state adeguatamente protette, le dimensioni del raid globale sarebbero state di certo più contenute.Il problema è sempre lo stesso: mancanza di cultura della sicurezza informatica e di investimenti adeguati. Grave se si tratta di utenti privati, gravissimo se parliamo di aziende e organizzazioni pubbliche o private.
Per spiegarmi meglio userei la metafora del vaccino, affidandomi alle parole del prof. Roberto Burioni, medico, docente di virologia e microbiologia, specialista in immunologia clinica: "Non vaccinare vuol dire lasciare esposti i propri figli a malattie molto pericolose; inoltre si consente la circolazione degli agenti infettivi mettendo in pericolo sia i bambini che non si possono vaccinare sia gli adulti che stanno facendo determinate terapie".
Non vorrei banalizzare troppo, ma con i computer collegati alla rete si tratta in fondo della stessa cosa. Se la macchina non è vaccinata/aggiornata/difesa, i dati custoditi non sono al sicuro e il malware può dilagare impunemente. Non stupisce che ci siano utenti privati che hanno ancora a bordo Windows XP, sistema operativo ormai superato e rottamato da Microsoft, semmai privi di antivirus/antimalware.
Fa invece inorridire la superficialità di colossi come la spagnola Telefonica, Gas Natural (fornitore di gas), Iberdrola (Fornitore di energia elettrica), Banca Santander (uno degli istituti di credito più grandi del Paese) e la società di consulenza KPMG. E addirittura del servizio sanitario nazionale del Regno Unito, che custodisce i dati sensibili di milioni di cittadini.
Insomma, da una parte i delinquenti informatici diventano sempre più esperti e aggressivi, dall'altra sembra mancare la percezione del pericolo. In Italia nel 2016 - stima l'Osservatorio Information Security & Privacy del Politecnico di Milano - si è speso poco meno di un miliardo di euro per l'Information Security, con un tasso di crescita del 5%.
Troppo poco - afferma il direttore dell'Osservatorio, Alessandro Piva - per garantire soluzioni tecnologiche adeguate, modelli di governo allo stato dell'arte e iniziative di educazione nei confronti dei dipendenti. In Italia solo un'azienda su due ha una figura formalizzata preposta alla gestione delle problematiche di sicurezza informatica, infatti solo il 46% ha al proprio interno un CISO (Chief Information Security Officer) e molto spesso tale figura non siede nel CdA aziendale, a differenza di quanto avviene nei paesi più avanzati.
Per questo facciamo nostre le parole del capo della commissione del Parlamento Europeo per la sicurezza informatica, Andreas Schwab: "Un atto di negligenza o di ingenuità incredibile, da qualsiasi punto di vista la si voglia guardare. Conosciamo tutti i rischi che corriamo nel campo digitale e ora dobbiamo scoprire che ospedali e ministeri sono stati presi in ostaggio perché non avevano aggiornato il sistema operativo".