L’internet delle cose (Internet of Things), i social network e i sistemi ciberfisici, spesso interconnessi tra loro, hanno esteso enormemente i confini di internet come si intende tradizionalmente e gli ambiti raggiunti dal digitale. Questo cyberspazio espanso non è più una dimensione in cui si entra accendendo il nostro computer, ma è diventata la dimensione stessa in cui viviamo, continuamente. Di conseguenza la protezione e la sicurezza di questo cyberspazio sono un’esigenza e una necessità.
Proteggere il cyberspazio non è semplice e richiede un approccio che contempli processi, tecnologie e persone. In termini di processi, molto si è fatto e si sta facendo per trasformare o adattare processi già esistenti al nuovo contesto digitale. In termini di tecnologie la sfida è più complessa, perché l’insieme di tutti i sistemi che oggi sono connessi e connettibili con tecnologie di rete digitali è diventato un sistema enormemente complesso. Le sfide aperte su questo fronte sono moltissime, dal garantire la sicurezza di un’identità digitale al prevenire e rilevare software malevolo. Gran parte della moderna ricerca in tecnologie di sicurezza e privacy ha come obiettivo proprio il trovare soluzioni a questi problemi aperti.
La terza componente, quella delle persone e cioè il fattore umano, è invece largamente trascurata. Il fatto che lo sia, è testimoniato dal ruolo crescente che ha il social engineering nelle violazioni dei sistemi. Il social engineering, che in italiano è spesso tradotto con il termine ingegneria sociale, è l’insieme di quelle tecniche che hanno come scopo la manipolazione psicologica che porta la vittima a divulgare o rivelare informazioni sensibili, come la propria password, a uno sconosciuto. Informazioni che spesso sono cruciali per violare, appunto, il sistema informatico che appartiene alla vittima o che è connesso al suo ambiente lavorativo. Questi metodi, che fino a poco tempo fa erano spesso esercitati via telefono contattando direttamente la vittima e manipolandola, si sono ora evoluti grazie ai social network. Oggi infatti è possibile fare ingegneria sociale in modo indiretto senza neanche contattare la vittima, ma semplicemente raccogliendo e incrociando le molte informazioni private che le persone pubblicano su social network come Facebook, Linkedin, Twitter per citare solo i più noti. Correlando queste informazioni spesso si scoprono molte informazioni che la vittima stessa non credeva di aver esposto in pubblico.
Un esempio dell’efficacia di questo tipo di attacchi è stato dimostrato durante l’evento che Ernst&Young Italia ha organizzato presso il Dipartimento di Ingegneria e Scienza dell’Informazione (DISI) dell’Università di Trento lo scorso 9 maggio. Gli studenti presenti hanno partecipato ad un Social Engineering Cyber Game che aveva lo scopo di simulare un attacco di ingegneria sociale tramite la raccolta delle informazioni utili dai social media e successivo utilizzo per eseguire un attacco.
Il DISI fa fronte a questa forte esigenza di competenze nel settore della cyber security proponendo già da alcuni anni il Master europeo EIT in Sicurezza e Privacy con lo scopo di formare persone in grado di identificare tecnologie appropriate e sviluppare soluzioni che garantiscano la sicurezza sia per enti e imprese che per il privato cittadino.