La cultura della sicurezza

Indice

La realtà della sicurezza, o della cyber security è spesso distorta a vista esclusivamente come un problema di natura tecnica. Si legge spesso la frase: bisogna far crescere la cultura della cyber security ma in realtà si dovrebbe parlare di altro, si dovrebbe parlare semplicemente di cultura della sicurezza.

In questo articolo parleremo di un fenomeno sociale dilagante: la totale mancanza di cultura nella gestione delle informazioni e per farlo, esamineremo delle situazioni piuttosto comuni

Le comunicazioni verbali

Fin dalle prime luci del mattino, quando ciascuno di noi cammina per strada, prende i mezzi pubblici, o è nel traffico, può ascoltare telefonate e conversazioni. Molte di queste sono di poco conto ma altre sono chiaramente riservate, o così dovrebbe essere. L’importanza di un discorso è dato dalle informazioni che comunicate, quando un avvocato parla di un cliente al telefono, all’interno in un mezzo pubblico, facendo nome e cognome senza alcun riserbo, sta esponendo se stesso e il cliente a rischi che neanche immagina. La discrezione, quella che oggi chiamiamo impropriamente privacy, è la capacità di sapere cosaquandoa chicome trasmettere determinate informazioni. Problemi familiari, sessuali, sanitari, professionali, vengono discussi ad alta voce e resi disponibili a tutti, anche a chi non vuole ascoltare.

L'(in)violabile diritto di farsi i fatti propri

E questo aspetto è quello a cui pochi pensano. Ciascuno di noi ha il diritto di non essere messo al corrente dei fatti degli altri cosa che, invece, avviene obbligatoriamente quando qualcuno non rispetta la privacy. Questo forse è il problema più serio perché, se da una parte vi è la libertà della persona di parlare al telefono, dall’altra viene leso il diritto di privacy di chi non vuole ascoltare e diviene parte in causa della discussione. Entra a conoscenza di fatti di cui vorrebbe ignorare l’esistenza e la cosa, estremizzata, potrebbe renderlo complice di prospettive illegali. Qualche mese fa un amico riferì di aver ascoltato una conversazione assurda in metropolitana: lui, un uomo sulla cinquantina, si vantava di aver picchiato la moglie al telefono. Le persone, lentamente, cominciarono a girarsi verso questo individuo e il mio amico si sentì moralmente coinvolto. Avrebbe forse dovuto segnalare quella persona? Improvvisamente si era trovato nella condizione di dover “affrontare” un qualcosa che non lo riguardava e che non aveva neanche gli strumenti adatti per affrontare. La faccenda lo turbò parecchio. La privacy diventa un diritto violato benché dovrebbe essere inviolato.

Scelta terminologica

Lo storico Eric Hobsbawm identificò questo secolo con l’appellativo “secolo breve” poiché tutto ciò che facciamo viene temporalmente compresso. Anche la scrittura ed il linguaggio sono cambiati, andando ad accelerare una realtà che, probabilmente, andava lasciata scorrere più lentamente. Nei messaggi, nelle conversazioni vocali, la scelta terminologica si è molto ridotta. Un sociolinguista direbbe che il livello diastratico si è abbassato: significa che vi è una riduzione di “spessore” nella complessità dei termini usati e questo va ad intaccare un importante elemento delle conversazioni, la non ambiguità del messaggio. I discorsi che vengono che si ascoltano nei luoghi pubblici sono scarsamente ricchi di sfumature ma sono proprio quelle sfumature a rendere più sostenibile la privacy. È una forma di linguaggio che, soprattutto nelle professioni legali (notai, avvocati), permette di esprimere notevoli livelli di sfumature con una precisione considerevole. Si tratta di linguaggi che non hanno bisogno di “arrivare alle conclusioni” perché l’interlocutore che li ascolta, essendo competente e a conoscenza dei fatti, è in grado di trarre le corrette conclusioni.

Oggi la scelta terminologica è diventata così povera che il dichiarante effettua esplicitamente tutte le considerazioni del fatto svelando anche le parti che dovrebbero rimanere segrete. Vediamo qualche esempio. Il primo nella branca legale, un avvocato è al telefono con collega e, per urgenza deve comunicare un’informazione:

Il cliente M.R. è sotto 589 con l’aggravante del 186 e del 235.

E questo è molto diverso dal dire:

Il cliente Mario Rossi è stato accusato di omicidio colposo perché guidava ubriaco e con la macchina ha travolto e ucciso più persone.

Nel primo caso non avete capito “chi” e “cosa” ha fatto. Anche se foste avvocati, l’identità della persona rimarrebbe inviolata come il diritto dei presenti di non conoscere l’informazione. Nel secondo caso tutto verrebbe a conoscenza di tutti, ledendo anche i diritti di privacy dello stesso ipotetico signor Terzi.

Un altro esempio lo si può fare nella vita di tutti i giorni e riguarda la quotidianità.

…purtroppo ci sono stati dei problemi di cui ti parlerò a voce perché li ritengo abbastanza delicati e richiedono l’intervento dello specialista.

invece di

…questa notte non ha dormito per il cancro al cervello che, secondo me sta aumentando. Devo sentire il dottor Tal dei Tali.

Nel primo caso non si accenna alla natura del problema, né si esplicita la professione del fantomatico specialista. Si comunica l’urgenza e la delicatezza della situazione senza urtare la privacy delle persone.

Nel secondo caso si fanno nomi e cognomi, si comunicano patologie e identità dello specialista. Eppure non si aggiunge niente che l’interlocutore non sappia già: ossia che il problema è urgente e si richiede l’intervento di uno specialista.

Cultura della sicurezza prima di tutto

Ecco perché si dovrebbe parlare di cultura della sicurezza prima ancora che di cyber security. Anche perché la maggior parte degli attacchi informatici trova breccia nella (dis)organizzazione delle procedure umane e non nei meccanismi informatici di difesa. La cultura della sicurezza e della privacy passa innanzitutto dal rispetto per gli altri e poi dal rispetto delle informazioni. Nell’informatica degli anni ’90 si era sviluppato un concetto molto importante, ossia quello della consapevolezza. Essere consapevoli del potenziale delle informazioni in proprio possesso è il primo passo per imparare a gestire la privacy.

Tra vanità, manie di protagonismo e solitudine

Molti sociologi sostengono che l’interconnessione massiccia che ha caratterizzato gli ultimi anni, abbia creato anche un irrefrenabile processo di isolamento. Ciascuno ha il suo mondo, la sua sfera, composto prevalentemente dal proprio cellulare ed il suo mondo virtuale. Su questo aspetto si è imperniato il concetto di social network, di condivisione illimitata dei propri pensieri, delle proprie azioni. Spesso dietro la violazione della privacy pubblica vi è proprio questo: l’intenzione di continuare a condividere forzando gli altri ad ascoltare realtà che non sono di loro competenza e interesse.

Il rischio si annida nella mancanza di equilibrio sociale, per cui è sufficiente iniziare a far parlare quella persona di sé, per ottenere in breve tutte le informazioni che occorrono. È la base dell’ingegneria sociale con cui, nel tempo, sono stati perpetrati i più pericolosi ed efficaci attacchi di cyber security della storia (incluso Stuxnet). È quindi importante capire alcune regole fondamentali:

  • Non tutte le informazioni possono essere dette in ogni luogo.
  • Non tutte le persone devono essere informate del fatto.
  • Un’informazione riservata ha impatti sulla sicurezza personale, della persona interessata e degli ascoltatori.
  • Gli effetti collaterali della divulgazione di un’informazione sono difficilmente calcolabili e imprevedibili: per questo motivo si dovrebbe fare attenzione a come si parla, dove e con chi.
  • Le parole sono importanti, vanno soppesate con cura.

Il futuro

La condivisione massiccia rientrerà con l’avvento del prossimo secolo. Le persone cercheranno nuovamente una privacy che oggi sembra quasi utopica, forse perché saranno stanche delle conseguenze della condivisione, ossia del giudizio di terzi. Oggi tutto è sotto i riflettori di tutti e questo spingerà le persone a cercare riparo da opinioni, critiche e quanto altro. La speranza è che in questo processo di normalizzazione, i provider facciano un lavoro etico e realmente importante. In tal senso anche le scuole e le famiglie possono svolgere un ruolo fondamentale, insegnando l’etica della comunicazione ai giovani che, domani, rappresenteranno l’intera società.