mercoledì 10 febbraio 2016

Difendersi dall'ingegneria sociale

di Isabella Corradini

Tra le predizioni per il 2016 relative alle minacce in tema di cyber security (vedi ad esempio questo articolo pubblicato online su Cor.Com) viene anche annoverato l'aumento dell’ingegneria sociale, ovvero il cosiddetto social engineering (qui la pagina di Wikipedia). Con tale termine si intende una tipologia di attacco che, in ambito informatico, sfrutta tecniche e principi psicologici per manipolare le persone e indurle a fornire informazioni o a compiere determinate azioni, il tutto nel solo interesse dell'attaccante. L'ingegneria sociale è spesso il preludio ad attacchi informatici veri e propri. Si tratta di una sorta di hacking di tipo cognitivo, dal momento che l’efficacia dell’attacco richiede che si agisca sulla percezione dell'utente, influenzandone il comportamento.
Allo scopo, alcune disposizioni e tratti comportamentali tipicamente umani vengono sfruttati a vantaggio dell'ingegnere sociale. In genere si dice che si tende ad approfittare della disponibilità altrui. Ma la disponibilità può essere anche essere un modo per entrare in relazione con un’altra persona, ed è quello che ad esempio fa l’ingegnere sociale. Offrendo qualcosa a qualcuno, anche se non si trova in difficoltà, pone quest’ultimo nella condizione di dover ricambiare (soprattutto se accetta l’aiuto). Tale condizione di necessità-obbligo, indicato con il principio di reciprocità (una delle famose tecniche di acquiescenza di cui parla lo psicologo statunitense Robert Cialdini), è talmente radicata che anche in ambito sociologico gli studiosi ritengono che non ci siano società che si sottraggono a questo principio.
E’ chiaro però che abitudini e norme comportamentali possono essere sfruttate a proprio vantaggio, se si conoscono - almeno in parte - i meccanismi umani. E questo l'ingegnere sociale lo sa bene. Per di più li usa con determinazione e motivazione.
Di conseguenza l’attività di prevenzione risulta essere complessa e articolata: addestrare gli esseri umani alla percezione, a valutare in modo diverso le situazioni di pericolo, non è un qualcosa di realizzabile con un software. La complessità dell'essere umano è tale proprio perché comprende un groviglio dinamico di elementi di natura cognitiva, affettiva, culturale, di atteggiamento - solo per citarne alcuni – che si influenzano reciprocamente.
Nella prevenzione della minaccia dell’ingegneria sociale occorre procedere con un insieme coordinato di strumenti, metodologie e soprattutto con un gruppo di esperti in grado di coniugare un approccio sociale e tecnologico; da non trascurare l'importanza delle metodologie da adottare in campo formativo (simulazioni, giochi di ruolo, risoluzione di problemi, ecc.). Non basta, infatti, mettere le persone in aula ed elencare loro le cose da evitare o quella a cui prestare attenzione. Il tutto va inserito in un percorso di cultura del rischio e della sicurezza che non può esaurirsi in una singola attività.
In ogni caso, qualunque sia il percorso che si intende intraprendere, gli esseri umani, bersaglio e strumenti dell'ingegneria sociale, possono costituire un'importante barriera difensiva di qualsiasi organizzazione, anche quando si parla di sicurezza informatica.



Pubblicato su Bancaforte

lunedì 8 febbraio 2016

Negli USA Obama propone l'informatica per tutti

di Enrico Nardelli

Gli Stati Uniti vogliono fare davvero sul serio in tema di formazione informatica a scuola. Dopo che sia la Camera che il Senato hanno pochi mesi fa approvato con sostegno bipartisan l’ "Every Student Succeeds Act", che riconosce che l’informatica (computer science) è un soggetto fondamentale per l’educazione scolastica, il Presidente Obama ha proposto un piano da 4 miliardi di dollari affinché “tutti gli studenti americani dall’asilo al liceo imparino l’informatica e acquisiscano la competenza di pensiero computazionale necessaria per essere creatori, e non semplici consumatori, nell’economica digitale, e cittadini attivi di una società sempre più tecnologica”.

Dopo aver sottolineato, qualche settimana fa, nel suo discorso sullo Stato dell’Unione, l’importanza della formazione degli studenti in informatica e matematica per un miglior successo lavorativo, Obama ha proposto il 30 gennaio un piano multi miliardario per intervenire in modo concreto in un settore vitale per il futuro dell’economia americana. In dettaglio si tratta di 4 miliardi di dollari di fondi destinati agli stati, che verranno distribuiti nel corso di 3 anni per accompagnare piani quinquennali di formazione all’informatica in tutte le scuole. A questi si aggiungono 100 milioni di dollari direttamente ai distretti scolastici (l’analogo dei nostri Uffici Scolastici Regionali) e 135 milioni di dollari assegnati alla National Science Foundation e alla Corporation for National and Community Service, finalizzati alla formazione e supporto degli insegnanti ed alla realizzazione di materiale didattico.

Particolare attenzione in questo sforzo è rivolta all’incremento della partecipazione femminile e delle minoranze. Il problema è sentito negli Stati Uniti (e non solo): fra tutti gli studenti che nel 2015 negli USA hanno manifestato l’intenzione di seguire percorsi universitari relativi all’informatica solo il 22% è di sesso femminile e solo il 13% appartiene alle minoranze. Questo squilibrio si riflette nella forza-lavoro delle aziende ad alta tecnologia informatica che si trovano di conseguenza ad avere a disposizione meno talento di quanto è naturalmente disponibile.

Il Presidente ha fatto appello sia ai politici statali e locali che ad aziende, professionisti e filantropi affinché sostengano ed espandano gli sforzi in questa direzione. E molti hanno già risposto (p.es. Apple, Facebook, Google, Microsoft, tra le aziende high tech) o stanno annunciando la loro adesione.

Le motivazioni per spingere così fortemente in questa direzione sono molteplici: per gli Stati Uniti come nazione avere lavoratori ben formati sull’informatica è un elemento essenziale, in una società sempre più digitale, per continuare ad essere l’economia di riferimento per tutto il mondo ed il paese tecnologicamente più avanzato. Ma l’iniziativa è benefica anche in un’ottica occupazionale e di soddisfazione lavorativa. Uno studio del 2012 del Bureau of Labor Statistics (l’istituto che produce le statistiche ufficiali relative al mercato del lavoro americano) ha stimato (sulla base della situazione economica di allora – ma la tendenza è sostanzialmente confermata dai dati più recenti, ne parlerò prossimamente) che, tra il 2010 e il 2020, mentre i lavoratori aumenterebbero in media del 14% (cioè circa 20,5 milioni, con un salario medio annuo di 34.000 dollari) invece il numero di quelli che lavorano nell’informatica si incrementerebbe del 22% (circa 780.000 – salario medio di 78.000 dollari).

Un impulso fondamentale per far compiere gli USA a questo passo è stata la nascita 3 anni fa di Code.org, l’organizzazione no-profit che ha come motto “Ogni studente di ogni scuola dovrebbe avere l'opportunità di imparare l’informatica”. Nel 2014 il suo fondatore, Hadi Partovi, è riuscito a far diventare Obama il primo presidente americano ad aver mai scritto una linea di codice informatico. Come rappresentanti in Italia di Code.org abbiamo accolto Hadi Partovi a Roma nel settembre 2015, con la Ministra Stefania Giannini, ospiti della Camera dei Deputati, per l’apertura del secondo anno del progettoProgramma il Futuro”. Siamo in attesa che anche il nostro “Coder-in-Chief” scenda in campo.

In Italia (e in altri paesi europei) insistiamo di meno sulle ricadute economiche e tecnologiche di tale percorso formativo, anche se ci sono e sono altrettanto rilevanti che negli Stati Uniti. Tendiamo, invece, a sottolineare maggiormente che l’informatica è un’abilità fondamentale per fornire a tutti gli studenti un’educazione bilanciata e adeguata al 21-mo secolo. Per questo riteniamo che essa debba rientrare, a pari merito di discipline più tradizionali (quali la madrelingua, la matematica, le scienze, solo per citarne alcune) nell’insieme delle materie scolastiche di base per tutti gli studenti. Proprio per questo motivo previlegiamo, al posto dell’usatissimo coding (cui va però riconosciuta la pregnanza mediatica), il termine pensiero computazionale, e considerandolo un’abilità necessaria per la risoluzione di problemi in qualunque disciplina o settore. La capacità di suddividere un problema in problemi più semplici, di riconoscere le relazioni tra il problema in esame e quelli già risolti, di concentrarsi in ogni fase solo sugli aspetti più rilevanti, di identificare e programmare i passi necessari per risolverlo, di coordinare in modo chiaro e preciso il lavoro dei collaboratori: si tratta di capacità che il pensiero computazionale aiuta a sviluppare. Ho discusso recentemente su queste colonne della sua importanza dal punto di vista formativo.

È per questa sua valenza formativa, e non certo per far diventare tutti gli studenti italiani dei programmatori che anche in Italia il Piano Nazionale Scuola Digitale (PNSD), presentato dal Ministero dell’Istruzione, Università e Ricerca (MIUR) a fine Ottobre 2015, ha indicato l’insegnamento del pensiero computazionale come essenziale per la formazione degli studenti nell’era digitale. In particolare, l’Azione 17 del piano si propone di condurre ogni studente, nel corso dei prossimi tre anni, a svolgere 10 ore annuali di educazione al pensiero logico-computazionale.

A Dicembre 2015, nel corso della Settimana Internazionale di Educazione all’Informatica, l’Italia è stato il primo paese al mondo, a parte gli Stati Uniti, sia per numero che per densità di eventi relativi al pensiero computazionale. Dall’inizio dell’anno scolastico abbiamo sinora coinvolto più di 600.000 studenti italiani, in ogni ordine di scuola e regione italiana.


Insomma, ancora una volta, in Italia diamo prova di essere capaci di agire alla pari con i migliori al mondo.

Pubblicato il 1 febbraio 2016 su Il Fatto Quotidiano