Si continuano a leggere statistiche sul rapporto fra utenti e sicurezza e sull’incidenza degli attacchi, del phishing in particolare, sugli utenti domestici. Nel complesso sembra che si dica tutto e il contrario di tutto. Qualche esempio: Heise cita un rapporto (non specifico) dal quale si dedurrebbe che gli utenti si sentono relativamente tranquilli e non subiscono gravi danni. Heise lo considera però “unrealistic attitudes to internet security”. Un altro rapporto commissionato da Microsoft dice invece che “one in five US based Internet users has fallen victim to an online scam”. Credo che se un utente su cinque avesse avuto un danno effettivo da un “Internet scam” (a meno che questo numero non comprenda le infezioni da virus), Internet non la userebbe nessuno. Gli studi di settore purtroppo, per “fare numero”, tendono a includere nel “fallen victim” qualsiasi cosa. Quello che servirebbe invece è una misura del danno effettivo subito, ad esempio, da quel 2% che dichiara nel primo rapporto di aver subito un furto di credenziali bancarie. Se l’eventuale danno se l’è magari accollato la banca, come succede ad esempio spesso nel caso delle clonazioni, l’utente ne esce oltretutto con un impatto minimo o nullo.
Credo che questi rapporti, o posizioni come quella di Heise nei confronti del rapporto dell’Oxford Internet Institute, siano uno dei motivi ci sono spesso problemi nel fare sensibilizzazione sul tema della sicurezza, cosa che poi si traduce in poco mercato, in clienti scettici e in un ambiente nel complesso meno sicuro di quanto potrebbe essere. Chi si occupa di sicurezza (sto generalizzando in modo grossolano, lo so, ma mi includo comunque nel gruppo) tende spesso ad avere un approccio del tipo: “Io so che i problemi di sicurezza ci sono; se mi dici che non ne hai, vuole dire che non te ne sei accorto”. Naturalmente la cosa ha un fondo di verità: sappiamo che un furto di dati è una cosa che può facilmente passare inosservata, che il tempo perso a causa di attacchi (ripristino dei sistemi, supporto agli utenti) è un costo spesso trascurato, sappiamo per esperienza che la sicurezza della maggior parte dei sistemi informativi può essere violata con relativa facilità e sappiamo che un sistema connesso a Internet viene attaccato con tale frequenza che un sistema domestico appena installato ha ottime probabilità di essere attaccato prima ancora di aver finito di scaricare gli aggiornamenti di sicurezza. Facciamo due più due, o almeno riteniamo di farlo, e ne deduciamo che chi non dichiara di essere sotto assedio non sta vedendo quello che gli succede. In realtà, anche se capita di esaminare dei sistemi informativi e scoprire che sono stati compromessi, quanto spesso capita di scoprire che effettivamente c’è stato un furto di dati aziendali? Intendo dire furto, con conseguenti danni all’azienda, non una generica “compromissione” data dal fatto che c’è stato un accesso non autorizzato al sistema (di nuovo facciamo due più due…). Di fatto, statistiche affidabili sappiamo che non ce ne sono: è uno dei grossi problemi della valutazione del rischio. Di conseguenza, trasformiamo spesso il rischio in certezza, mentre l’utente/cliente al contrario trasforma il rischio in assenza di problemi. È chiaro che così non ci si può incontrare.
Tuttavia, quando si parla di utenti domestici le cose dovrebbero essere più semplici. L’utente domestico non ha chissà quali informazioni riservate. Le sue informazioni riservate sono di solito le password di accesso a siti più o meno critici (da quella dell’home banking alla registrazione su YouTube) ed eventualmente qualche informazione che può essere usata per inviargli spam. Nel complesso quindi, l’utente domestico può avere una percezione abbastanza chiara del “danno” che ha subito nel corso di un anno. Qualcuno gli ha preso soldi dal conto corrente? Qualcuno lo ha imbrogliato su un sito di commercio elettronico? Ha dovuto reinstallare qualcosa a causa dei virus, o non è riuscito a navigare perché la sua banda era utilizzata da qualcos’altro? Se nienete di tutto questo è avvenuto, l’utente può a ragione dire di non aver avuto danni, e non importa se il suo sistema era vulnerabile o è stato compromesso. Il rapporto di Oxford dice chiaramente: “Despite the objective scale of spam, mail scams and phishing, most users do not seem unduly concerned. Some 38-39 per cent of respondents in both 2005 and 2007 reported that they are not worried about email abuse overall, although the proportion concerned enough to take action has risen from 36 per cent in 2005 to 44 per cent this year. Spam, however, does not seem to loom large in this picture: only 24 per cent this year responding that they receive too much spam, and 26 per cent under the impression that they don’t receive any”. Tuttavia, Heise conclude: “Although security awareness is clearly increasing, it still appears poorly focused on the real issues”. Se l’utente non ha avuto danni, e i suoi amici non hanno avuto danni, è difficile che sia focalizzato sui “real issues”. Le persone che conosco io non hanno mai avuto danni reali (es. abuso dell’home banking) per intrusioni sul pc di casa, se non la seccatura una o due volte all’anno (i più polli) dover pagare 50 euro a qualcuno che gli reinstalla tutto. In compenso, molti hanno avuto il Bancomat clonato in un distributore o in un supermercato. Eppure, sono anni che gli diciamo che rischiano furti di credenziali sul pc… Sia chiaro, non sto dicendo che il furto di credenziali non è un rischio. Solo che dopo aver studiato la “percezione del rischio” dell’utente, bisognerebbe studiare la “percezione del rischio” del professionista. Il professionista infatti non fa altro che vedere disgrazie tutto il giorno: sistemi compromessi, notizie di nuovi attacchi ecc. e secondo me finisce, se non sta attento, per avere una visione distorta della realtà. Un po’ come farsi un’idea di com’è il mondo guardando il telegiornale: non ci sono altro che guerre e ammazzamenti. Ci dobbiamo ricordare ad esempio che lo spam esiste come tale proprio perché la percentuale di messaggi che vanno a segno è bassissima, e quindi sono necessari volumi enormi perché la cosa sia conveniente. Confrontiamo allora questa percentuale con la percentuale di successo che hanno truffatori e ladri che si presentano alle case facendosi passare per incaricati del Comune o dell’Enel, e ne dovremo dedurre che quelli che si fanno imbrogliare dallo spam sono i tonti fra i tonti. Esattamente come la maggior parte di noi si basa sulla propria educazione e buon senso per evitare le frodi nel mondo reale, molti lo fanno con le frodi online. Con successo. Possiamo davvero chiedere agli utenti domestici di avere comportamenti di cautela che vadano oltre una normale “attenzione”? Invece, ogni studio (anche qui) sembra mostrare regolarmente che gli attacchi sono facili da portare e che molti ci cascano. Ma quanti hanno avuto realmente problemi? Chi è che ha “unrealistic attitudes to internet security”, l’utente che, come i suoi amici, in molti anni non ha mai subito una frode via Internet, nonostante ogni studio mostri come sarebbe facile, e magari ne ha subite più di una nel mondo reale, o chi gli propone di spendere anche cento euro all’anno di prodotti per la protezione del Desktop? Quello che serve sono prima di tutto dei numeri che servano realmente per capire l’incidenza del problema, dove il problema e il “rischio” devono comprendere l’impatto reale sull’utente, non ipotetiche “esposizioni di credenziali” ( e per l’utente il rischio non c’è, se il danno se lo accolla la banca…). Su questi dati reali si potranno poi correggere il rischio percepito dell’utente, magari troppo basso, e quello percepito del professionista, probabilmente invece troppo alto.