Tutto giusto ma attenzione che la modellazione delle minacce fornisce uno specchietto sintetico utile e comprensibile ai decisori in modo che finanzino gli investimenti necessari, ma non esaurisce assolutamente l'analisi dei rischi cibernetici.
Anche perché le minacce sono fuori del tuo controllo e molto spesso anche della tua consapevolezza.
Quindi limitarsi al threat modeling significa assumere una prospettiva fatalista: in sostanza c'è poco da fare.
E non è affatto così, anche se il tuo avversario dovesse essere la CIA.
Il rischio di un sistema cibernetico è determinato da tre fattori che possono essere analizzati indipendentemente ed in maniera integrata nonché monitorati nel tempo per minimizzare tale rischio cibernetico:
1) vulnerabilità presenti
2) minacce
3) impatti
Sulle minacce si può fare poco più che elencarle, valutarne la probabilità e prepararsi ad identificarle il prima possibile quando si presentano.
È quello che fai con un sistema d'allarme perimetrale in casa, ad esempio: funziona bene se sei circondato da amici e parenti e contro il ladro che cerca di forzare la porta di notte. Ma non funziona contro il finto esattore delle tasse, o il finto collega del marito che si presenta a casa con una scusa.
Analogamente se sai di essere un bersaglio di interesse della CIA puoi prepararti ad identificare i loro accessi, a disseminare i tuoi storage di informazioni false ed honeypot etc...
In questo modo riduci o elimini certi tipi di impatto in caso di attacco portato a termine con successo, ma non elimini la minaccia.
La minaccia però per essere attuata deve SEMPRE sfruttare delle vulnerabilità.
Minimizzare le vulnerabilità di un sistema cibernetico è sempre possibile anche se azzerarle può essere impossibile.
Talvolta però si tratta di applicare semplice buon senso, come evitare di mettere tutte le uova in un paniere: non riutilizzare le password o evitare servizi centralizzati (come #Telegram, #Signal o #WhatsApp) o personal assistants (come #Alexa, #GoogleAssistant o #Cortana) etc... sono tutte ovvie applicazioni di questo principio generale.
Poi si può minimizzare l'impatto di un attacco: ad esempio non mischiando le attività (o i contatti) personali e quelle professionali sullo stesso dispositivo si sottrae ciascun gruppo in caso di compromissione dell'altro. Cifrando il disco di un PC, lasciandolo spento quando non in uso e memorizzando una password sicura, si riduce l'impatto di un furto del PC stesso e così via.
La minimizzazione del rischio cibernetico non lo azzera, ma lo può ridurre enormemente, aumentando notevolmente il costo e la complessità di un attacco.
E molte delle pratiche da mettere in atto proteggono tanto dalla CIA quanto dal marito geloso.
@fatualux @miriamgreco@mastodon.uno
