Questo articolo vuole essere una riflessione e più che fornire risposte, suscita un insieme di interrogativi che, chi si occupa di Information Security, deve porsi nel breve e lungo periodo.
L’Information Security viene definita come quell’insieme di processi e metodologie che sono disegnati e implementati per proteggere informazioni private, confidenziali, sensibili, siano esse elettroniche, stampate o di qualsiasi altra natura, dall’accesso non autorizzato, dall’uso, dal cattivo uso, dalla divulgazione, distruzione, modifica, o danneggiamento.
Spesso l’Information Security viene identificata con la sicurezza informatica, che è solo una parte delle attività che devono essere poste in essere, in quanto l’informazione viaggia attraverso diversi strumenti, non solo attraverso le reti informatiche.
La valutazione del rischio sull’informazione non deve basarsi solo sulle considerazioni di tipo meramente “elettronico” ma deve essere un processo che valuta tutti gli aspetti anche relativi a luoghi e persone. Lo illustra chiaramente Kevin D. Mitnick nel “L’arte dell’Inganno” del 2001, dove presenta una serie di casi in cui si riesce a recuperare informazioni utili ai propri scopi, semplicemente parlando con le persone e raccogliendo porzioni di informazioni che assieme creano una base solida di credenziali con cui avere accesso a ulteriori informazioni ancora. Per questo, in alcune realtà, si parla di Tutela delle Informazioni, appunto per indicare quei processi e metodologie previste nell’Information Security con un perimetro più ampio rispetto la sicurezza informatica.
Nella maggior parte dei casi, le informazioni tutelate sono quelle aziendali. Lo sguardo è rivolto all’interno: informazioni su clienti, su contratti, su strategie, su brevetti e così via. II primo interrogativo che sorge riguarda il perimetro di competenza. È sufficiente monitorare l’uso e la custodia delle informazioni interne? Probabilmente no, per tutelare la propria azienda è necessario guardare anche all’esterno, a quelle minacce che comunque ledono la reputazione del nostro brand o del nostro business. Alcuni esempi sono i siti di phishing o i profili di consulenti fasulli che si spacciano per dipendenti dell’azienda per carpire informazioni o credenziali dal cliente. Tutti gli istituti finanziari monitorano il web per segnalare e bloccare siti di phishing, cioè guardano fuori dal perimetro per bloccare informazioni nocive per l’azienda.
Ma è sufficiente monitorare e verificare solo l’utilizzo improprio o fraudolento del marchio? Oppure ci sono altri aspetti da considerare?
Negli ultimi anni, la cronaca è stata inondata da articoli, discussioni e dichiarazioni sul fenomeno delle “fake news”, utilizzate per la disinformazione, soprattutto politica o per meri ricavi economici.
L’endorsement di Papa Francesco per Donald Trump è stato condiviso e commentato circa 960.000 volte su Facebook. Chissà se ha influito o no sulla sua elezione…
A tutti noi è capitato di incappare in un amico o collega che ci ha riportato una notizia falsa. Presumibilmente, pure noi siamo stati vittime e veicoli inconsapevoli di almeno una notizia fasulla, letta sui social network, velocemente fra un morso al cornetto e un sorso di caffè.
La disinformazione si può manifestare attraverso un’incompleta rappresentazione dei fatti, una rappresentazione dei fatti fasulla o una rappresentazione dei fatti manipolata. L’obiettivo dell’agente disinformatore è di spingere la notizia quanto più possibile su più canali di comunicazione portando il lettore ad una convinzione precisa.
La disinformazione ha un obiettivo semplice quello di indirizzare il lettore su una determinata posizione sia essa a favore sia essa a sfavore di un argomento.
È creata per suscitare un sentimento di empatia o avversione. Il sentimento a sua volta può portare a delle azioni come proteste, boicottaggi, dimostrazioni.
Rimanendo alle recenti elezioni americane, il caso di una nota bevanda analcolica americana può essere un esempio. A metà novembre 2016 viene riportata da un blog di conservatori statunitensi una intervista al CEO dell’azienda produttrice della bevanda, in cui avrebbe dichiarato (condizionale d’obbligo) “CEO Tells Trump Supporters to Take Their Business Elsewhere”. La notizia era stata totalmente distorta dalla fonte e da chi ha reinoltrato la notizia, ma l’impatto sembra si sia ripercosso sull’azienda in termini di gradimento nei confronti dell’azienda stessa e in termini di valore azionario. Ora potrebbe essere stato un caso, ma il giorno stesso della notizia riportata, il punteggio del gradimento (sentiment) nei confronti dell’azienda sembrerebbe crollato di circa il 35%. Il prezzo dell’azione lo stesso giorno è crollato del 3,75% e per la restante parte del mese è sceso di oltre il 5%. Le due cose potrebbero non essere associate ma è stato comunque un caso discusso dagli analisti di brand reputation e comunicazione.
Esulando dal contesto elettivo, un altro caso che ha fatto storia è un caso di un’azienda farmaceutica, che chiameremo XY. Nel gennaio del 2012, un articolo apparso su Seeking Alpha, un sito specializzato in finanza, dichiarava che l’azienda XY, quotata a Wall Street, stava lavorando allo sviluppo di un trattamento sperimentale per il cancro, più economico e competitivo dei concorrenti. Le azioni della società nel giro di 5 mesi avevano totalizzato un aumento del valore azionario pari al 263%, forse merito anche della notizia pubblicata. Solo dopo circa due anni, a fronte del report sul nuovo trattamento, si scoprì che in realtà era una delusione. La stessa SEC (Security & Exchange Commission) scoprì che l’articolo era stato commissionato dalla stessa società farmaceutica XY attraverso una commissione indiretta. Il risultato è stato un tonfo del valore azionario della società.
La tecnica, in passato, era conosciuta come “Pump & Dump” cioè pompare e scaricare. Il titolo azionario viene pompato attraverso notizie fasulle che lasciano intravedere ampi aumenti di valore, per poi essere scaricato (venduto) una volta raggiunto il valore voluto. È un esempio di frode finanziaria in cui i soggetti mal informati ne subiscono le conseguenze.
Altro caso nel 2013 ha avuto un impatto sistemico. Il tweet uscito da due account dell’Associated Press (AP) relativo ad un attentato in cui era rimasto ferito il Presidente Obama, fece “bruciare” più di 130 miliardi di dollari in Borsa. Gli account AP erano stati hackerati.
Supponiamo, ipoteticamente, di essere un’azienda Beta appetibile sul mercato perché presente in diverse aree geografiche, con infrastrutture consolidate, con accordi commerciali solidi e posizione sul mercato monopolistica. Il valore del titolo è elevato e potenziali scalate risulterebbero onerose al valore azionario attuale. Se l’azienda Alpha fosse interessata a Beta, fosse sleale e volesse acquisire quota parte delle mie azioni per influire sulle strategie o per consolidare la sua presenza all’interno di Beta, potrebbe utilizzare la disinformazione per far abbassare il valore azionario e acquisirne quota parte?
Le attività disinformative possono essere di breve o lungo periodo. Probabilmente se parlassimo con un dirigente di azienda anglosassone o con uno asiatico, anche sul breve e lungo periodo ci potrebbero essere degli interrogativi.
Opzione 1: Se fossi l’azienda Alpha potrei far pubblicare da più fonti una falsa dichiarazione del CEO dell’azienda Beta, come il caso della bevanda analcolica di cui sopra. Questa iniziativa potrebbe portare ad un abbassamento del valore azionario della società Beta. La società Alpha potrebbe approfittare per acquistare quota parte delle azioni ad un prezzo inferiore di circa il 5%, attraverso acquisti indiretti e frammentati nel tempo.
Opzione 2: Se fossi sempre la società Alpha, potrei anche far pubblicare informazioni sull’azienda Beta, similari a quelle dell’azienda farmaceutica di cui sopra. In questo caso, l’obiettivo finale sarebbe sempre quello di acquisizione ma attraverso un processo di screditamento della azienda target. Si potrebbe far perdere fiducia agli investitori attraverso il rilascio di notizie false sulle future strategie vincenti dell’azienda per poi smentirle e quindi fare esplodere la bolla speculativa. Ci sono i controlli delle varie commissioni di vigilanza, ma scommetto che con i dovuti accorgimenti e, se ben pianificato, i modi per acquisire anche indirettamente le quote senza farsi scoprire ci sono, soprattutto se alle spalle ci sono governi a supporto.
Opzione 3: Questa attività di disinformazione potrebbe essere effettuata anche nel lungo periodo affidandosi a profili fasulli. Supponiamo di poter avere un numero ingente di profili fasulli di qualche social media e supponiamo che questi profili inizino a condividere informazioni non proprio gradevoli sulla società Beta: disservizi, scarsa qualità dei prodotti, inaffidabilità dei dipendenti, scandali sul management. Le informazioni false, come tante piccole gocce cinesi, verrebbero riversate massivamente in un mare di informazioni, inquinandolo. Queste informazioni sono difficilmente scremabili. Si pensi alla sentiment analysis che potrebbe essere impattata da notizie fasulle che fanno crollare la fiducia e le vendite dei prodotti. I prodotti venduti sui siti di eCommerce sostengono tutti la prova delle “recensioni” del cliente. Sfido chiunque a non porsi il dubbio sull’acquisto nel momento in cui vede apparire due recensioni positive e una negativa o viceversa. La recensione negativa influenzerà molto di più la psiche rispetto quelle positive.
E se al posto di un’azienda ci fosse un Paese? Un Paese che dal punto di vista logistico potrebbe essere un trampolino di lancio per iniziative economiche o per il passaggio di importanti infrastrutture internazionali. Screditare l’affidabilità del Paese e dei suoi governanti potrebbe avvenire anche attraverso campagne di disinformazione sulle politiche fiscali, sul turismo di bassa qualità, su tutti quegli indicatori che potrebbero portare a destabilizzare il Paese stesso o a impoverirlo, permettendo un “saccheggio” delle risorse o delle infrastrutture. Il PIL cala a causa dei mancati introiti dal turismo o dal capitale investito internamente in attività produttive. Il calo del PIL porta ad un calo delle tasse versate, che porta ad una mancanza di copertura per la manutenzione di infrastrutture. Per sopperire alla mancanza della copertura ma mantenere l’infrastruttura il Paese è costretto a venderne quota parte o la sua totalità o indebitarsi ulteriormente. Tutto è ipotetico ovviamente.
Il mercato finanziario è soggetto alle informazioni che riceve e cerca di trasformarle in valore.
Si pensi, anche, ai sistemi di High Frequency Trading (sistemi di transazioni ad alta frequenza sui mercati che utilizzano algoritmi matematici). Alcuni di essi sono stati dotati anche di capacità di analisi quantitative di Big Data e di news parsing system per monitorare in tempo reale news e aggiustare i valori transati anche in base ad altre informazioni, oltre a quelle di pura analisi finanziaria.
La presenza di innumerevoli informazioni la cui attendibilità non è verificata e la cui fonte non è classificata per la sua affidabilità può portare in futuro a distorsioni sempre maggiori dei mercati, a politiche di espansione anche geoeconomica attraverso l’uso dell’informazione. I sistemi High Frequency Trading saranno potenziati e affideranno le proprie analisi e giudizi sempre più sui Big Data.
Se aggiungiamo in futuro anche di ampliare la possibilità dei singoli investitori ad investire con frequenze più alte, l’uso corretto dell’informazione diventa vitale per i mercati.
Come proteggersi? Questo è l’ultimo interrogativo che mi pongo nell’articolo. Certamente tutti dovrebbero ricoprire un ruolo a tutela del sistema finanziario. Colpevolizzare e perseguire chi pubblica “fake news” è una attività che seppur lodevole, richiederebbe tempistiche che poco si sposano con la volatilità dei mercati. Di certo si potrebbero imporre delle regole per la selezione delle fonti all’interno dei sistemi di transazione rapida, attraverso una certificazione di affidabilità in base all’attendibilità delle informazioni pubblicate nel tempo. In questo modo si eviterebbe il rischio di fonti inquinanti ma non si risolverebbe potenziali problemi di account compromessi come il caso Associated Press.
Lato azienda, una regola fondamentale da ricordare è “Comunicare per primi”. È la regola base per gestire le crisi ma in una società fortemente pervasa dall’informazione deve diventare una attività quotidiana. Nel saggio “Deception – Disinformazione e propaganda nelle moderne società di massa”,si esprime il concetto che “la velocità è un elemento essenziale, in quanto quello che conta è la prima affermazione: le smentite non hanno alcuna efficacia.”
Pertanto è il caso che le aziende inizino a dotarsi di strutture in grado di monitorare i social media, di analizzare le informazioni che pubblicano e di verificarne il potenziale impatto sulla propria azienda per muoversi con anticipo attraverso comunicati stampa in grado di definire chiaramente la posizione dell’azienda. Monitorare i social media, non significa ovviamente solo i classici social media. L’analisi va condotta anche a livello multi-dimensionale, verificando che non vi siano fili diversi che riconducono allo stesso bandolo, fonte ultima di un attacco disinformativo.
Non si deve inseguire la notizia per arginarla, per smentirla o correggerla. Una informazione mal gestita può trasformarsi in una Idra di Lerna. Una chiara posizione ufficiale dell’azienda, ben strutturata e largamente diffusa può dipanare dubbi e ridurre le incertezze degli stakeholder. Per questo è necessario mettere in piedi un impianto capillare di comunicazione che sia in grado di raggiungere più strati di stakeholder. La comunicazione deve essere semplice, lineare e di facile comprensione con livelli stratificati di dettaglio in base agli stakeholder che si vuole raggiungere: analisti finanziari, azionisti, associazioni di consumatori e consumatori, istituti di vigilanza e così via. Nell’era dell’informazione, è l’informazione stessa la miglior arma che si possa usare.
Ecco che il perimetro della tutela delle informazioni per le aziende potrebbe ampliarsi notevolmente. Potrebbe richiedere sforzi aggiuntivi e competenze sempre più trasversali con team rapidi di risposta non solo tecnica ma anche comunicativa, in grado di supportare gli uffici stampa e di comunicazione in operazioni di informazione a contrasto della disinformazione.
