CyberSec (S01 E12): Etica e prassi
Le migliori pratiche da seguire
Accanto alle migliori tecniche per garantire un ambiente informatico sicuro, spesso codificate nelle cosiddette “best practices” e, a volte, persino incluse (anche se spesso non aggiornate) come “appendice” a testi di legge (si pensi all’Allegato B alla nostra normativa sulla privacy), un aspetto interessante rivestono i temi dell’etica e della netiquette, soprattutto quando un soggetto novizio “entra” in rete o, comunque, inizia a usare strumenti informatici che non conosce a fondo.
L’idea di “etica” della rete o del computer e di netiquette è antica come l’uomo informatico: sono delle regole, a volte non scritte o semplicemente schematizzate per punti, che, nel corso dei decenni, sono state prese a modello come una sorta di “comportamento virtuoso” quando si opera in un ambiente che, per molti, è nuovo o poco conosciuto.
Ma non solo: come si diceva in esordio, il rispettare regole di netiquette e di galateo porta spesso, come conseguenza indiretta, ad anticipare o risolvere problemi di sicurezza, di interoperabilità documentale. Una specie di veloce analisi del rischio che, ad ogni buon conto, agevola il quieto vivere nell’ambiente elettronico.
Alcune regole di netiquette servono semplicemente a cercare di “regolamentare” la vita in comune in rete, lo stare in società. Sono, ad esempio, quei principi che suggeriscono di limitare il più possibile l’uso dei caratteri maiuscoli (che, sullo schermo, hanno un impatto molto forte e vengono equiparati all’atto maleducato di “urlare”), di evitare di coinvolgere i propri contatti in catene di S. Antonio o, comunque, di far circolare e-mail che siano chiaramente poco interessanti o false, di non impegnare le risorse di rete con azioni inutili che possano portare a una sofferenza del sistema (e, quindi, condizionare l’accesso e il lavoro di altre persone), di non inviare allegati troppo pesanti, e così via.
Ciò che ci interessa in detto ambito, nelle maglie larghe di queste regole, è che è facile individuare comportamenti virtuosi che possano, “di rimbalzo”, aumentare anche il livello di sicurezza dell’utente e del sistema. In particolare, interessanti sono i punti i) della gestione degli allegati, ii) del trattamento delle e-mail di phishing o contenenti virus e iii) della interoperabilità dei documenti che facciamo circolare.
Con riferimento al primo punto, la gestione degli allegati ai messaggi di posta elettronica, si tratta di un argomento abbastanza spinoso, dal momento che molti “incidenti” correlati a sistemi informatici derivano, proprio, da una cattiva gestione di questi documenti.
Ma procediamo con ordine, e uniamo le problematiche del primo punto al secondo (contenuti delle e-mail che riceviamo) analizzando l’ontologia di una tipica e-mail.
Una e-mail che riceviamo, o che inviamo, è nella maggior parte dei casi di tre tipi: i) composta da puro e semplice testo (a volte in HTML); ii) composta da testo con uno o più allegati; iii) composta da semplice testo con, però, dei link cliccabili che portano verso siti web esterni.
Le e-mail del primo tipo, con semplice testo senza link esterni, sono quelle meno pericolose. Il loro pericolo risiede unicamente nel contenuto, ossia in ciò che vi è scritto, ed è la mente di chi riceve questi messaggi a dover processare le informazioni per non essere ingannata. Di solito, queste e-mail vengono spedite a migliaia di indirizzi proprio per individuare, nel gruppo, chi possiede un livello di attenzione, o culturale, molto basso e crede immediatamente e senza difese a ciò che vi è scritto. Dette e-mail contengono, di solito, annunci di premi vinti, o richieste di strane procedure per entrare in possesso di una percentuale molto alta in caso di trasferimento di capitali, o toccano temi sentimentali, o correlati alla salute e ai medicinali. Il non rispondere, e il non far circolare questi tipi di e-mail sono i due modi di agire che annullano il pericolo.
Il secondo tipo di e-mail contiene invece un allegato, ossia un file (di un certo tipo) che viaggia insieme alla e-mail. Già l’antivirus, si è visto, si dovrebbe occupare dell’analisi di questi allegati e di un conseguente blocco di quelli infetti o sospetti. Occorre, però, prestare anche grande attenzione “umana”, e cancellare senza aprirli tutti quegli allegati che non abbiamo specificamente richiesto o che chiaramente siano stati inviati per convincerci ad aprirli. Tutti i virus degli ultimi anni, compreso il recente malware che cifra i contenuti del disco e prende “in sequestro” il computer, viaggiano con allegati. La massima attenzione, quindi, è indispensabile.
Il terzo tipo di e-mail contiene dei link. Anche in questo caso, opportuno sarebbe non cliccare sui link. Tali collegamenti potrebbero portare, infatti, o a un sito “clone” apparentemente reale di un sito ufficiale dove inserire dei dati personali che verrebbero, inevitabilmente, rubati, o a un sito web con codice malware che potrebbe interagire con il nostro sistema. Diciamo, semplificando, che allegati e link sospetti nei messaggi di e-mail dovrebbero, oggi, essere trattati allo stesso modo: non aprirli e non prenderli in considerazione in alcun modo.
Un buon comportamento in rete facilita anche la circolazione di documenti. Un approccio “etico” alla redazione di documenti può essere, infatti, finalizzato alla loro trasmissione. Prima di creare un documento, già ci dovremmo immaginare chi lo potrà ricevere e che sistema utilizzerà, e scegliere poi un formato del documento che sia il più diffuso possibile. Vi sono formati semplici, come il .txt (testo puro) per i documenti più piani e il PDF per documenti più articolati che, oggi, sono letti da tutti i dispositivi, anche mobili, senza, di solito, problemi di conversione. L’agevolare il lavoro di chi riceverà il nostro documento, e il non creargli, ad esempio, problemi di conversione o perdita di font, è considerato comportamento virtuoso.
Nella vita quotidiana, darsi delle regole di buon senso su questi primi tre punti – la gestione degli allegati, il come comportarsi di fronte a e-mail o messaggi strani e il valutare l’interoperabilità dei documenti che mettiamo in circolazione – è non solo un modo per essere apprezzati nell’ecosistema digitale ma anche un ottimo inizio per alzare il nostro livello di sicurezza.