La cybercriminalità ha da tempo manifestato una preferenza, quasi maniacale, verso le aziende e le organizzazioni. Realtà percepite come potenzialmente più redditizie per il crimine, tecnicamente più sfidanti e, in caso di successo, gratificanti. Principalmente per almeno due motivi. Il primo è legato spesso all’assenza di protezioni inadeguate, all’implementazione di strategie di difesa fallimentari, piene di errori, non sostenute da opportune risorse, incapaci di generare una cultura della sicurezza, con azioni ripetute anche quando sperimentate nella loro incapacità nel produrre risultati tangibili. Il secondo nasce dalla natura sociale delle aziende e delle organizzazioni, con decine e/o migliaia di persone che operano e collaborano insieme all’interno di realtà complesse, con modalità, comportamenti, preferenze e abitudini facilmente interpretabili e sfruttabili a scopi criminali. Per esempio applicando tecniche di ingegneria sociale.
La cybercrimialità social
I cybercriminali sono sempre più spesso assimilabili a sociologi e psicologi. Persone attrezzate, culturalmente e professionalmente, per comprendere dinamiche e meccanismi relazionali di realtà sociali complesse, così come di intercettare, analizzare e interpretare i comportamenti delle potenziali vittime per poterle più facilmente manipolare
Tra i comportamenti da analizzare, interpretare e sfruttare quelli abitudinari giocano un ruolo particolare, perché spesso non percepiti come tali, poco visibili a chi li pratica nel loro essersi consolidati in consuetudini e pratiche quotidiane.
La forza dell’abitudine
La forza dell’abitudine, riconosciuta da psicologi e filosofi come parte organica della natura umana, sta nell’essere un veicolo potente per la vita quotidiana di ognuno, basata sulla pigrizia, sul fare affidamento a automatismi che semplificano la vita, la rendono più stabile e ordinata, tranquilla e sotto controllo. Le abitudini fanno risparmiare tempo e forze, rasserenano in situazioni di vita mai ferme e sempre in costante mutamento. Esempi di comportamenti abitudinari sono le scelte di consumo, i punti vendita frequentati, i media utilizzati, ecc. Tra queste abitudini vanno oggi considerate anche le modalità diffuse di interazione con i gadget tecnologici e le loro applicazioni, il grado di cieco affidamento e fiducia che ci lega ad essi.
La forza dell’abitudine riferita al mezzo tecnologico è facilmente riscontrabile in una serie di comportamenti diffusi nella navigazione del Web e nella frequentazione delle piattaforme digitali sociali. Il facile accesso all’informazione si è tradotto in una serie di gesti abitudinari che molto spesso si manifestano nella loro concretezza prima ancora che una scelta venga fatta. Sono comportamenti abitudinari, legati alla caratteristica binaria di scelte basate sulla velocità di impulsi e reazioni, che non lasciano spazio al pensiero e alla riflessione, alla razionalità e al ragionamento logico. Un semplice tocco o gesto tattile su un display permette di soddisfare istantaneamente un bisogno e le motivazioni che lo hanno originato. Con effetti e conseguenze non sempre immediatamente percepibili.
Il cambiamento di mentalità richiede un adattamento al quale non tutti sono pronti o disponibili. Richiede tempo, soprattutto quando le abitudini si sono irrigidite e solidificate, trasformandosi in formule ritualistiche che comportano la passività nei comportamenti. L’abitudine rimane sullo sfondo, ma penetra ovunque trasformando anche ciò che è nuovo in una nuova consuetudine, il cambiamento in pratiche standard e ripetitive.
Smartphone in azienda e abitudini
Il senso della vita
La sicurezza aziendale è sempre più un problema di mobilità aziendale, legato all’uso che in azienda viene fatto del mezzo tecnologico Mobile, sia esso uno smartphone, un tablet o un laptop. Tre dispositivi diversi ma accomunati dall’avere un display tattile con una forza magnetica e attrattiva in grado di trasformare ogni interazione in una magia, un’emozione, una passione capace di accecare, impedire ogni forma di razionalità umana, attivando comportamenti da cervello rettiliano simili a quelli di ogni altro mammifero. Una specie di infermità mentale momentanea che si traduce in gesti ripetitivi, automatici, anche laddove sarebbe necessario praticare la lentezza, la capacità riflessiva e la possibilità di fare delle scelte.
Tutto ciò ha i suoi effetti che si manifestano in vulnerabilità nei confronti di malintenzionati pronti a sfruttare abitudini e automatismi, anche procedurali, per superare in velocità le barriere di difesa. La forza dell’abitudine, unitamente alla velocità che caratterizza l’interazione con il mezzo tecnologico, sono le cause prime di attacchi phishing, malware, ransomware riusciti. Spesso molto più determinanti di quanto non lo siano dispositivi o infrastrutture informatiche, spesso non opportunamente aggiornate o adeguate al rischio e alle nuove sfide cybercriminali.
Produttività e cultura
L’attenzione rivolta alle abitudini associate all’uso di un dispositivo mobile si focalizza prevalentemente sui risvolti negativi legati alla produttività. Tema rilevante soprattutto se si pensa a quanto tempo venga dedicato dalle persone, anche per motivi personali, all’interazione con il dispositivo, uno strumento che genera dipendenza, richiede attenzione costante e produce distrazione. Uno smartphone può impedire la concentrazione durante un meeting o evento, favorisce comportamenti passivi e compulsivi, può avere impatti indiretti negativi sull’umore personale.
Mentre il tema della produttività è costantemente in agenda, scarsa attenzione è posta alle abitudini e ai loro effetti sulla stessa oltre che sulla sicurezza. Al contrario dovrebbero diventare oggetto di riflessione, individuale e organizzativa. Tutte le scelte che vengono compiute sono spesso ritenute il frutto di scelte ponderate, ma non è così, sono semplici abitudini, gesti routinari e ripetitivi, inconsapevoli, la cui frequenza può avere impatti enormi sulla vita personale così come su quella lavorativa: produttività, salute, sicurezza economica, felicità. Secondo molti psicologi sono abitudini il 40% delle azioni quotidiane, scelte quasi mai frutto di decisioni ma fatte senza pensare e che si continuano a fare, spesso ogni giorno, anche dopo averne verificato in passato gli effetti negativi.
Grazie alle molte discipline che se ne occupano (neurologia, psicologia, ecc.) oggi delle abitudini sappiamo molte cose, si conosce come insorgono, come funzionano, come cambiano e i loro meccanismi. Trasformare o eliminare un’abitudine non è però facile, anzi è maledettamente complicato. Il cervello è sempre alla ricerca di modi per risparmiare energia. Una volta che l’abitudine è attivata, il cervello può pensare ad altro, ma risparmiare energie mentali a volte può essere molto pericoloso. Quando si forma un’abitudine il cervello non si presta più al processo decisionale, anche quando dovrebbe. Rilassarsi nel momento sbagliato infatti potrebbe lasciar sfuggire qualcosa di rilevante, un tempo un animale feroce in agguato, oggi un cybercriminale altrettanto feroce ma soprattutto affamato in attesa di costante di nuove vittime da sbranare. Con conseguenze, in entrambi i casi, nefaste!
Sicurezza e ingegneria sociale
Le abitudini fanno parte di ogni cultura aziendale ma non sono un destino a cui ci si deve piegare. Le abitudini possono essere ignorate, modificate o sostituite con buone abitudini, note anche come buone pratiche. Per trasformare le cattive abitudini in buone pratiche bisogna smontarle, scomporle nelle loro parti per poi riscostruirle nella loro struttura nella forma di buone pratiche.
Agire sulle abitudini è un modo per arginare i molteplici attacchi cybercriminali che si manifestano in azienda, soprattutto quelli di ingegneria sociale (Social Engineering) che prendono di mira gli atteggiamenti e comportamenti delle persone, in particolare quelli sociali. Sono attacchi mirati a penetrare negli account riservati degli utenti per carpire la loro fiducia e/o manipolarli in modo che facciano da tramite per la violazione o manipolazione degli account di altre persone, colleghi di lavoro, dirigenti, ecc.
Lo studio delle abitudini e interventi formativi e culturali sull’organizzazione, finalizzati a richiamare l’attenzione sulle stesse, sono attività oggi fondamentali per contrastare attacchi di ingegneria sociale.
Il cybercriminale ingegnere sociale parte dallo studio delle abitudini della vittima per trovare argomenti, approcci, modi per acquisire la sua fiducia, abbassare le sue difese e carpire informazioni riservate. Gli attacchi possono durare settimane, sono in genere molto subdoli ma sempre efficaci. Non per nulla oggi preferiti, negli attacchi alle aziende, rispetto ad altri come il phishing o il malware, spesso usati in congiunzione con essi.
La difesa individuale passa dal non fidarsi di nessuno che non sia una persona conosciuta, non cliccare link, non scaricare file o programmi, ma soprattutto dal riflettere sulle proprie abitudini cercando di capire quali siano e quanta dipendenza abbiano creato.
L’azienda può affiancare ai normali corsi di formazione sulla sicurezza, momenti di formazione ad hoc, più culturali, filosofici e psicologici, sul tema delle abitudini, sul loro ruolo nella vita di ogni giorno e su come modificarle o trasformarle lasciando spazio ad abitudini buone capaci di diventare, anche in tema di sicurezza aziendale, buone pratiche.