Leggendo tra i vari post e articoli nel mondo della cybersecurity, noto un silenzio assordante. Siamo concentrati nel costruire cattedrali di codice inattaccabile, barriere con algoritmi di cifratura inviolabili (ancora per poco, vedi la PQC), firewall con features sempre più sofisticate e intelligenze artificiali difensive. Ci dimentichiamo, però, che la chiave di volta (o l’anello debole della catena, come vuole lo stereotipo) del nostro castello non è fatta di solido silicio o di pietra. È fatta di carne e ossa, o meglio, di un sistema neurale biologico che custodisce istinti vecchi di millenni.

Se analizziamo l’architettura della vulnerabilità umana, notiamo senza difficoltà che il nostro cervello si trova a navigare sulle velocissime autostrade digitali odierne utilizzando un “sistema operativo” vecchio di cinquantamila anni. E questo sistema operativo non lo aggiorniamo da allora: è un cervello plasmato per la sopravvivenza nell’era pleistocenica, ben distante dalle astrazioni e dalle velocità di elaborazione attuali.

È in questo gap tra la nostra biologia antica e la tecnologia futuristica che si fa strada il “Cognitive Hacking”. Questa tecnica è sfruttata dai moderni hacker perché, analizzando la situazione, hanno compreso benissimo (meglio di noi) che per effettuare un attacco non è più necessario scassinare o sfondare la porta d’ingresso dei nostri server; è infinitamente più economico ed efficiente persuadere i guardiani o le persone che abitano il nostro castello.

Le statistiche sull’origine degli attacchi informatici odierni mostrano percentuali impietose, quasi “bulgare”. La stragrande maggioranza non deriva da bug software, ma da un bug del “pensiero”.

Iniziamo da una triste visione, quasi “fantozziana”: quella del dipendente (e non solo) che ha un’innata predisposizione a obbedire all’autorità. Non parlo di una debolezza, ma di un collante sociale che ci ha permesso di costruire la civiltà; senza di esso non esisterebbero eserciti, organizzazioni, infrastrutture sociali o governi. Tuttavia, questa condizione è stata fatale all’azienda austriaca del mondo aerospaziale FACC AG. Questo istinto le è costato 50 milioni di euro. Un dipendente ha ceduto all’inganno non per incompetenza, ma perché la sua mente ha reagito sentendosi obbligata a eseguire un ordine proveniente dal “grande capo”, rendendosi succube di un’inconscia sottomissione automatica. È un comportamento progettato durante la nostra evoluzione per evitare i conflitti e mantenere l’ordine gerarchico. L’hacker non ha violato il suo computer. Ha violato la nostra paura ancestrale di disobbedire. Questa può essere più o meno accentuata a seconda del carattere, ma non sarà mai pari a zero.

Possiamo anche esaminare lo studio condotto presso l’Università dell’Illinois, dove sono state sparse per il campus 300 chiavette USB con il solo scopo di verificare quante sarebbero state raccolte e aperte. Quasi tutte sono state raccolte (98%) e quasi la metà (45%) è stata inserita in un computer per esaminarne il contenuto. L’opportunità di scoprire un’informazione nascosta genera un’attrazione spasmodica così forte che neanche la consapevolezza del rischio riesce a frenarla. È la vittoria del sistema impulsivo su quello analitico.

Rispolverando un ransomware tristemente famoso come WannaCry, notiamo che non si limitava a cifrare i dati, ma generava ansia con un conto alla rovescia verso la distruzione totale e irreparabile dei file. Quel contatore induce in noi una “visione a tunnel”: non realizziamo nulla al di fuori di esso, tutto il resto è nero e non viene preso in considerazione. Abbiamo solo quel conto alla rovescia che catalizza la nostra attenzione. L’impellente necessità di fermare l’ansia dell’immediato ci spegne ogni altro pensiero razionale. Veniamo tenuti in ostaggio dalla nostra stessa fretta di risolvere il problema.

Possiamo concludere che la difesa non può essere solo tecnica. Dobbiamo comprendere che chi ci attacca conosce molto bene la psicologia umana e il nostro sistema operativo vecchio di 50.000 anni. Occorre cambiare approccio: smettere di biasimare il comportamento e trattare l’essere umano per quello che è, ovvero una creatura complessa, emotiva e prevedibilmente irrazionale. Bisogna iniziare a pensare a un approccio umanistico alla cybersecurity, capace di proteggerci dalla nostra natura, facendoci rallentare quando vorremmo irrazionalmente correre e facendoci dubitare quando vorremmo credere ciecamente.

La vera sicurezza informatica non sta nel costruire muri e fortezze più solide, ma nel comprendere meglio la macchina umana e il suo firmware obsoleto.