Josephine Wolff

Assistant professor of public policy and computing security, Rochester Institute of Technology

L’idea che gli esseri umani siano “l’anello debole” della sicurezza informatica è un concetto molto popolare tra gli informatici e le persone che lavorano sugli elementi tecnici della sicurezza informatica. Dopo tutto, se il vostro compito è quello di proteggere i sistemi informatici, è confortante sapere che i problemi non si trovano nei computer, ma sono provocati da fattori esterni ad essi.

E’ vero che molti incidenti di sicurezza informatica coinvolgono utenti umani che prendono decisioni sbagliate, come l’apertura di email o il download di file, nonostante abbiano ricevuto segnali di avvertimento; che utilizzano password ovvie e facili da indovinare, o che ignorano le indicazioni ricevute dal proprio browser o sistema operativo. Ma questo non è un buon motivo per i tecnologi di sentirsi compiaciuti per le loro realizzazioni. Infatti, è proprio l’opposto: questi tipi di errori sono la prova che la tecnologia sta fallendo verso i suoi utenti, e non il contrario.

La capacità di tecnologi di condannare in linea di massima stupidità umana come la radice di tutti i problemi di sicurezza informatica ha a volte qualcosa di sorprendente. Prendete, per esempio, il titolo su un pezzo del Wall Street Journal pubblicato all’inizio di questa settimana: “Come migliorare la Cybersecurity? Basta eliminare il fattore umano”. Ma certo: eliminiamo gli esseri umani! Perché non ci abbiamo pensato prima? Si tratta di un atteggiamento che sinistramente ricorda un certo tipo di bibliotecario ostile che dà l’impressione di preferire di gran lunga che non si debbano toccare, o anche solo respirare su uno dei libri preziosi affidati alle sue cure. L’obiettivo dei computer – e anche delle librerie, del resto – è quello di migliorare la vita delle persone, ma, stranamente, sono proprio queste che finiscono per essere dipinte come il vero problema.

Io sono più in sintonia con gli informatici (e anche con i bibliotecari) di quanto si possa probabilmente dedurre da questo articolo. Posso ben immaginare quanto sia frustrante l’avere dedicato tempo ed energie per progettare qualcosa che verrà poi temerariamente e scioccamente minato da idioti che pensano ancora che 123456 sia una grande password. Ma quando così tante persone cadono in preda a truffe di phishing o utilizzano delle credenziali deboli, è difficile (e non eccessivamente produttivo) definirli tutti come degli idioti, o addirittura a pensare a loro, come Christopher Mims ha scritto in un articolo sul Journal, come “una debolezza critica e irrimediabile.”

Mims elenca un sacco di punti sensibili nel suo pezzo sul ruolo del social engineering negli incidenti di sicurezza informatica, e di come la maggior parte di noi sia suscettibile a tentativi di phishing, e anche di come sia difficile educare le persone sulla sicurezza, un argomento che ha generato anche in me una crescente demoralizzazione.

Ad esempio, è difficile educare le persone su ciò che è SSL e come funziona. Così un approccio progettuale human-centered per la sicurezza suggerisce che, per esempio, vengano create le tecnologie che rendono più facile per le persone capire quando sono ingannate in linea e limitare il conseguente danno, come strumenti che ci avvertono quando gestiamo e-mail che ci arrivano da persone che non hanno mai interagito con noi in precedenza, o isolare i programmi appena scaricati dall’accesso al resto di una macchina e testarli per i loro eventuali effetti negativi. E questo approccio non è del tutto estraneo alla filosofia di “assumere che gli esseri umani falliranno, e costruire strumenti automatici attorno a loro”, che cita Mims. La differenza sta nel fatto che, da una parte, si assuma che gli esseri umani falliranno o, dall’altra, si assuma che le loro opinioni, idee e istinti dovrebbero aiutare a progettare gli strumenti che useranno.

Possono sembrare sottili distinzioni, e in qualche modo probabilmente lo sono. Se il risultato finale è quello di avere tecnologie di filtro sulle e-mail e di sicurezza migliori, che bloccano più email di phishing prima che sbarchino verso le caselle di posta dei destinatari, o sistemi di monitoraggio per il malware – tecnologie che Mims specificamente sostiene nel suo pezzo – è veramente importante se siano sviluppate da qualcuno che si infuria circa l’idiozia degli esseri umani? Io non ne sono del tutto certa. Penso che un sano cinismo su come facilmente le persone possano venire ingannate è probabilmente una buona cosa per un ingegnere della sicurezza. Allo stesso tempo, mi preoccupo che un ingegnere che si concentri sulla necessità di “patch” sul comportamento umano o eccessivamente incline a pensare degli esseri umani negli stessi termini di errori di codifica e problemi tecnici, corra il rischio di avere troppo poca comprensione e rispetto verso il comportamento umano per poter svolgere un supporto efficace.

L’ultimo paragrafo dell’articolo di Mims descrive il disagio provocato dalla frattura tra chi sostiene che i computer dovrebbero alla fine aiutare gli esseri umani e la percezione che proprio gli esseri umani siano in ultima analisi quelli che rovinano dei sistemi informatici perfetti con la loro incompetenza (e meritano di essere eliminat!). Egli scrive: “La storia ci ha dimostrato che non vinceremo questa guerra modificando il comportamento umano. Ma forse possiamo costruire sistemi così bloccati che gli esseri umani perdano la capacità di fare errori stupidi. Fino a quando non otteniamo la possibilità di aggiornare il cervello umano, è l’unico modo. ”

La prima frase è una sentenza: Non c’è nessun senso nel creare sistemi che causano problemi di costruzione, per poi chiedere che tutti capiscano come usarli meglio. D’altra parte, “bloccare” i sistemi in modo che la gente non possa fare “errori stupidi” non è la mentalità giusta per lo sviluppo di strumenti tecnici che rendano più difficile per le persone ingannare l’un l’altro o ricavare informazioni con sistemi fraudolenti. La tecnologia di sicurezza informatica potrebbe raggiungere il punto in cui si può tranquillamente dare la colpa delle violazioni alla stupidità delle persone che vengono frodate, ma prima dobbiamo essere sicuri che la tecnologia non faccia anche inciampare gente ragionevolmente brillante e competente, come sembra fare ancora. Ma non arriveremo a quel punto aggiornando o mettendo delle patch al cervello umano, ci arriveremo accettando che spetta ai progettisti della tecnologia di supportare – e non di bypassare – le decisioni e le scelte delle persone, fornendo loro i giusti segnali e indicazioni a farne di migliori rispetto alle attuali.

Josephine Wolff

Josephine Wolff

Assistant professor of public policy and computing security at Rochester Institute of Technology

Josephine Wolff è assistant professor of public policy and computing security al Rochester Institute of Technology, oltre che faculty associate al Harvard Berkman Center for Internet and Society. Seguitela su Twitter.