Senza nemmeno guardare il tema ufficiale dell'edizione di quest'anno della campagna, la scorsa settimana ho elencato a un collega i soliti consigli – usa password forti e uniche, abilita l'autenticazione a più fattori (MFA) e evita di cliccare su link di phishing – e, come previsto, ho coperto quasi tutti i punti principali del tema ufficiale di quest'anno, "Proteggiamo il nostro mondo" (Secure Our World).
Ora, vista l'abbondanza di questi consigli ben intenzionati che circolano ogni ottobre, si potrebbe pensare che questo dovrebbe essere sufficiente per creare un cyberspazio sicuro. Ma lo è davvero? Questi consigli sono stati efficaci nel promuovere un cambiamento comportamentale significativo e nell'aiutare a mitigare i crescenti rischi di sicurezza di oggi e di domani? Forse è il momento di esaminare criticamente l'approccio attuale – e ammettere che i consigli da soli non bastano.
Oltre i consigli pratici
Dopo un decennio a promuovere le stesse linee guida (la campagna stessa celebra quest'anno il suo 21º anniversario), è ora che l'industria faccia una riflessione radicale e, oltre a parlare, legiferi e faccia rispettare migliori pratiche di cybersecurity, specialmente quando sono in gioco informazioni personali identificabili (PII) o altri dati di valore. Di solito non sono un sostenitore di risolvere i problemi con leggi e regolamenti, ma la realtà è che non stiamo vedendo progressi al ritmo necessario. Ad esempio, molti servizi e applicazioni online popolari non offrono ancora l'MFA, e anche quando lo fanno, non è abilitato di default. La campagna del prossimo anno potrebbe essere priva di questo argomento se tutte le aziende che archiviano PII fossero obbligate a implementare MFA per impostazione predefinita su tutti gli account utente. È vero che potrebbero esserci preoccupazioni legate all'accessibilità con l'MFA abilitato di default, e se le persone che ne hanno davvero bisogno devono disattivarlo, dovrebbero poterlo fare. Tuttavia, per il resto delle persone, abilitare l'MFA di default dovrebbe essere la norma. Proprio come molti siti web oggi nascondono quasi l'opzione di abilitare l'MFA, dovrebbero fare lo stesso con l'opzione per disattivarlo.
Apple è stata una delle poche aziende coraggiose a imporre l'MFA per tutti gli utenti nel 2017. Hanno perso utenti? Il loro prezzo delle azioni è sceso? Ovviamente no. Quando non c'è altra alternativa, gli utenti adotteranno una pratica di sicurezza migliorata che protegge i loro dati. Se gli dai una scelta e/o fai in modo che l'impostazione predefinita sia disattivata, molte persone prenderanno la via più facile, anche se ciò potrebbe significare compromettere la loro sicurezza per comodità.
Un altro vantaggio di abilitare l'MFA di default per tutti è che ridurrebbe significativamente i rischi associati al riciclo delle password; in altre parole, una password riutilizzata protetta dall'MFA è meno probabile che causi problemi. Tuttavia, ciò non significa che sia accettabile usare password deboli o riutilizzarle su più siti. Quello che sto dicendo è che l'enfasi su password forti e uniche diminuirà, poiché lo strato aggiuntivo dell'MFA contribuirà notevolmente a prevenire il furto di credenziali. Infatti, quando un problema come il furto di credenziali persiste da così tanto tempo, è il momento di ripensare l’approccio. Abbiamo visto precedenti efficaci in questo senso, il più notevole è il Regolamento generale sulla protezione dei dati (GDPR). L'Unione Europea (UE) si è resa conto che senza una regolamentazione rigorosa, le aziende avrebbero continuato a seguire la via della minima resistenza: raccogliere dati e conservarli senza crittografia, in quello che era sostanzialmente un approccio da Far West alla protezione dei dati. Proteggere i dati costa denaro, quindi i direttori finanziari avrebbero dato priorità ai profitti a breve termine rispetto alla sicurezza a lungo termine. Tuttavia, il GDPR ha cambiato questa dinamica, poiché le pesanti multe regolamentari giustificano il budget per misure adeguate di sicurezza dei dati.
La legislazione al salvataggio
Ora immagina il Mese della Sensibilizzazione sulla Cybersecurity del prossimo anno senza le lezioni sulle pratiche di sicurezza di base, come password forti e uniche e MFA. Dopo anni in cui si è martellato su questi punti, la conversazione potrebbe finalmente evolversi. L'attenzione potrebbe spostarsi sulle truffe dilaganti che derubano le persone dei loro soldi duramente guadagnati. Mi rendo conto che alcune di queste cose vengono trattate oggi, ma troppo spesso si perdono nel caos. A tutti i legislatori là fuori: è il momento di cambiare questa conversazione e legiferare su ciò che parte dell'industria non è riuscita a implementare, in modo che l'educazione cruciale sui veri problemi della cybersecurity possa diventare il tema principale.