Uffizi bucati. Se chi lavora lì clicca su link a caso, non c’è cybersicurezza che tenga!
Primo febbraio. Qualcuno agli Uffizi naviga su siti che con l’arte hanno poco a che fare. Le voci che circolano nei corridoi parlano di più di una “frivolezza” su siti poco seri. Un trojan entra nel sistema. Gli hacker si infilano nella rete di videosorveglianza. La Procura di Firenze apre un fascicolo per tentata estorsione e accesso abusivo.
Il museo smentisce molto: nessun furto, nessuna password rubata, sistemi a circuito chiuso. Va bene. Ma il fatto è che sono entrati lo stesso.
E parte il rito. Si cerca il colpevole istituzionale. Il governo. L’ACN. Il responsabile IT. Qualcuno da mettere alla gogna. Il problema quasi sempre sta altrove.
Un dipendente. Un computer aziendale. Un sito sbagliato. Un clic. Fine. Il 95% delle violazioni informatiche nel mondo ha un elemento umano. Altro che bug sofisticato. Una persona che ha cliccato dove non doveva, magari annoiata, magari convinta che tanto non succede niente. L’8% dei dipendenti è responsabile dell’80% degli incidenti.
Puoi avere il miglior firewall del mondo, team dedicati, procedure certificate. Se un dipendente visita il sito sbagliato su una macchina connessa alla rete interna, hai perso. James Bond stesso non ti salva.
Prendersela con l’ACN o con il ministro è comodo. Sposta il problema, non lo risolve. La cybersicurezza istituzionale serve. Solo che non può fare niente contro qualcuno che usa il computer di lavoro per navigare dove non dovrebbe.
Serve formazione continua. Non il corso annuale da due ore con il certificato alla fine. Quella roba serve a far sentire l’azienda a posto con la coscienza. Serve ripetizione, esempi concreti ogni mese, abitudine. Se nel frattempo non si lavora sulle persone, la prossima intrusione troverà la stessa porta aperta. Magari su un altro sito poco serio.
Voi cosa ne pensate?
