Imparare la sicurezza informatica, giocando
Numerose ricerche confermano che i comportamenti inconsapevoli e imprudenti delle persone sono la causa principale di molti attacchi informatici. I malfattori sfruttano la poca dimestichezza con la tecnologia digitale, da parte di chi usa un apparecchio informatico, per creare situazioni di pericolo normalmente impensabili. Di conseguenza le persone sono sempre più vulnerabili agli inganni per l’ignoranza dei rischi inaspettati, l’indifferenza e l’ingenuità verso nuovi pericoli o la negligenza nell’uso dei programmi.
La componente umana è il problema più critico per la sicurezza informatica ed è importante spiegare e far conoscere i possibili rischi di questo nuovo mondo. Questo per evitare di avere reazioni errate, con conseguenze gravi e danni importanti sia a livello personale che per un’intera organizzazione.
Pertanto sono fondamentali l’informazione, per permettere alle persone di conoscere e identificare i possibili rischi, e la formazione per dare loro tutte le competenze necessarie per affrontarli e gestirli.
Ma quando si ha a che fare con gli aspetti umani della sicurezza dobbiamo considerare la differenza tra conoscenza e intenzione, nel senso che la mente umana è predisposta alla pigrizia e alle scorciatoie. Ecco quindi che, pur conoscendo i rischi, reagiamo istintivamente a un messaggio di posta elettronica senza verificarne i contenuti oppure utilizziamo in modo superficiale l’accesso ai sistemi con password deboli o condivise. Questi sono solo alcuni esempi in cui la fretta e l’indolenza possono portare a situazioni disastrose, difficilmente immaginabili a priori.
Non basta quindi far conoscere i rischi ma bisogna influenzare i comportamenti e il sistema di valori, in modo da avere reazioni efficaci per contrastare le minacce e acquisire risposte automatiche e prudenti come nella vita quotidiana.
Nella nostra vita reale le reazioni alle minacce sono il frutto dell’esperienza umana ormai codificate nella nostra cultura in decine, e centinaia di anni di esperienze se non addirittura nel nostro codice genetico.
Come fare ad ottenere le giuste risposte alle minacce in un mondo come quello digitale, che conosciamo solo da pochi lustri e oltretutto è in continuo cambiamento?
Non potendo imparare dalla pratica diretta, perché in alcuni casi potrebbe essere un’esperienza distruttiva, si può provare a prendere confidenza e familiarità con i nuovi rischi e le giuste reazioni attraverso i giochi di simulazione.
Un esempio è Cyber Survival Game (www.cybersurvivalgame.ch) un gioco da tavola ideato da ated–ICT Ticino che, attraverso elementi pratici e didattici presentati in chiave divertente, si rivolge a privati, scuole e aziende per sensibilizzare le persone sulle principali minacce informatiche e su come proteggersi.
Durante il gioco, i partecipanti si devono difendere da rischi informatici presentati dalle “carte minaccia”, che mirano ad attaccare quattro aspetti legati alla sicurezza informatica: protezione dei sistemi, delle informazioni, delle comunicazioni e verifica dell’autenticità. Attraverso le carte “power-up” i giocatori potranno difendersi dalle minacce informatiche, e a fine partita vincerà il giocatore che sarà riuscito a preservare il maggior numero di punti.
Attraverso un codice QR presente su ogni carta, il giocatore può accedere a pagine internet in cui si possono avere maggiori informazioni sul tipo di minaccia in questione, e capire i relativi aspetti di sicurezza.
Anche il Team di educazione e sensibilizzazione alla cyber sicurezza dell’esercito svizzero ha sviluppato Cyber Shield, un gioco di simulazione che si propone, a partire da 2023, di far conoscere in seno all'amministrazione della Difesa i termini e le esigenze relative alla sicurezza informatica, per informare sulle conseguenze di una loro mancata osservanza e ottenere un cambiamento comportamentale dell’individuo per una migliore sicurezza dell’intera organizzazione.
Come soluzione si propone un gioco di carte collezionabili in cui ogni giocatore, simbolicamente il responsabile della sicurezza di un’azienda, riceve lo stesso mazzo di carte iniziale, che riassume gli asset, le minacce e gli eventi del mondo informatico. L’obiettivo è costruire la propria rete sicura e allo stesso tempo indebolire quella dell’avversario. Per questo vengono assegnati punti bonus e/o malus. Il vincitore viene decretato quando un giocatore guadagna un certo numero di punti, o quando l’avversario raggiunge un punteggio negativo, oppure non ha più carte nel mazzo.
Il gioco prevede lo scambio di carte con altri giocatori oppure attraverso la partecipazione alle misure di sicurezza in cui i punti sicurezza sono la “moneta” per l’acquisizione di nuove carte. Il modo di giocare è relativamente comune e intuitivo: si estraggono nuove carte all’inizio del gioco, poi si gioca la mano. Il testo della carta spiega le regole del gioco e in modo didattico fornisce anche le informazioni sui diversi aspetti della sicurezza informatica.
Silvano Marioni, Content Curator e docente in Sicurezza informatica e Business Continuity