Le tecnologie cyber non funzionano: investimenti quintuplicati, danni aumentati del 500%

È dunque utile aiutare i professionisti della sicurezza a comprendere perché le tecnologie da sole falliscono e come riequilibrare l’approccio verso la dimensione umana, spesso trascurata ma sempre decisiva[1].

Boom degli investimenti

Il mercato cyber security ha vissuto una crescita esplosiva che nasconde un paradosso inquietante. Gli “unicorni” del settore – startup con valore superiore al miliardo di dollari – sono passati da appena 2 nel 2017 a 57 nel 2022, con un incremento del 3000% in cinque anni.

Non è facile reperire dati aggiornati, ma il trend è esponenzialmente rivolto verso l’alto.

Parallelamente, la spesa delle aziende americane in cyber security è lievitata da 101 milioni di dollari nel 2017 a 147 milioni nel 2022, registrando una crescita del 150%.

Cifre che testimoniano una fiducia incrollabile delle persone: è il cosiddetto “bias della delega tecnologica” di cui abbiamo già parlato.

La cruda realtà dei danni

Nonostante questa pioggia di investimenti, i danni provocati dai cybercriminali sono quintuplicati nello stesso periodo. L’autorevole report “Cost of a Data Breach” del Ponemon Institute rivela una verità scomoda: più tecnologia non significa automaticamente più sicurezza.

L’approccio tradizionale considera la sicurezza come servizio gestito da terzi.

Le organizzazioni la affidano a funzioni interne o fornitori esterni, mentre i privati cittadini la delegano all’amico esperto o alle Forze dell’Ordine: si tratta di una deresponsabilizzazione che crea le condizioni ideali per il fallimento.

Inoltre, se siamo costretti a rivolgerci alle Forze dell’Ordine, probabilmente significa che abbiamo già subìto un danno e speriamo di contenerlo.

Il framework ITIL, con il suo “Triangolo d’Oro” PPT (Persone, Processi, Tecnologie), offre da decenni una guida equilibrata. Tuttavia, nella pratica, l’attenzione si concentra quasi esclusivamente su processi e tecnologie, trascurando sistematicamente la componente umana.

Il fattore scatenante. I 10 principali vettori di attacco identificati hanno tutti un comune denominatore: il fattore umano necessario per premere il grilletto che innesca la Kill Chain. Almeno 7 di questi vettori derivano da errori cognitivi evitabili, spesso indotti da terzi attraverso tecniche di social engineering. E ogni anno il report DBIR di Verizon conferma questa percentuale: circa il 70% degli attacchi ha origine da errore umano. Una percentuale che dovrebbe orientare gli investimenti, ma che invece viene sistematicamente ignorata.

Il paradosso delle password. Tutti sanno che la password per l’online banking dovrebbe essere lunga, complessa e unica. Eppure, le password più usate al mondo rimangono sistematicamente “123456” e “password”. Un esempio paradigmatico di come la conoscenza teorica non si traduca in comportamenti sicuri.

Il nuovo positivismo digitale

Il marketing tecnologico ha alimentato un rinnovato positivismo che concede a scienza e tecnologia una fiducia cieca. Il nostro cervello tende a credere alle promesse dell’innovazione che spesso vengono mantenute solo parzialmente o a prezzi molto alti in termini di rischio.

Nessun consumatore ha capacità, competenze e tempo per analizzare ogni prodotto tecnologico che utilizza. Questo limite cognitivo ha creato aspettative irrealistiche verso le soluzioni automatiche.

La reazione dei criminali

I cybercriminali hanno compreso questa dinamica, concentrando gli sforzi sulla dimensione umana del triangolo PPT. Mentre tecnologie diventano meno vulnerabili e processi si evolvono insieme ai framework e alle buone pratiche, l’elemento umano rimane manipolabile.

Le organizzazioni criminali hanno così trovato il loro “Oceano Blu”: un mercato calmo che offre anonimato e relativa impunità, sfruttando proprio la sovraesposizione tecnologica delle difese.

La quinta rivoluzione industriale integra IoT, cloud computing e Intelligenza Artificiale per metterle al servizio dell’uomo e dell’ambiente. Dopo che l’Industry 4.0 aveva progressivamente marginalizzato la dimensione umana in favore di tecnologie sofisticate e processi strutturati, l’Industry 5.0 segna un ritorno consapevole al centro dell’attenzione per le persone.

La pandemia Covid-19 ha accelerato questa trasformazione digitale in tutti i settori, anche quelli tradizionalmente manuali come manifattura, logistica e artigianato.

L’intelligenza artificiale generativa ha completato questo processo, preparando una nuova rivoluzione che richiede equilibrio tra automazione e controllo umano.

Come osserva Lance Spitzner del SANS Institute: «Ad oggi, qualsiasi diagramma o documento che io abbia visto sfrutta la tecnologia per fermare gli aggressori, dai firewall agli antivirus, agli HIDS e SIEM». Questo approccio ignora sistematicamente il 74% delle cause reali di compromissione.

Il Ponemon Institute stima che identificare e contenere un furto di dati entro 200 giorni – invece dei 277 giorni medi – comporta un risparmio di 1,12 milioni di dollari. Eppure, le organizzazioni continuano a investire in detection tecnologica invece che in prevenzione comportamentale.

Ma quando la detection individua una minaccia, questo significa che la minaccia è già entrata in casa tempo addietro, e probabilmente ha già compiuto azioni e operazioni.

Il fallimento dell’approccio puramente tecnologico richiede una revisione strategica fondamentale.

Non si tratta di abbandonare la tecnologia, ma di riequilibrare gli investimenti verso la dimensione umana, quella che i criminali hanno già identificato come l’anello più debole e più redditizio da attaccare.

La cyber security del futuro dovrà necessariamente integrare competenze tecniche, psicologiche e comportamentali per creare difese realmente efficaci contro minacce che rimangono fondamentalmente umane nella loro origine e nel loro sviluppo.

[1] Per approfondimenti: “Manuale CISO Security Manager”. Per una guida completa alla compliance cyber security e alle competenze normative necessarie ai professionisti della sicurezza, il manuale offre un approfondimento dettagliato su normative nazionali ed europee, strategie di conformità e best practice operative.