Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED
36,647 views ・ 2021-06-01
Fare doppio clic sui sottotitoli in inglese per riprodurre il video.
00:00
Transcriber:
0
0
7000
Traduttore: Morena Agnoletti
Revisore: Gabriella Patricola
Oggi, parlerò di un
argomento che causa vergogna.
Questo è successo a molti di noi,
ed è imbarazzante,
00:13
Today, I'm going to talk about
a shameful topic.
1
13063
3667
ma se non ne parliamo,
niente cambierà mai.
Riguarda essere hackerati.
00:17
This has happened to many of us,
and it's embarrassing,
2
17463
4034
Alcuni di noi hanno cliccato
su link phishing e scaricato un virus.
00:21
but if we don't talk about it,
nothing will ever change.
3
21530
3367
Altri hanno subito un furto d’identità.
00:24
It's about being hacked.
4
24930
2067
E chi di noi è sviluppatore
di software
00:27
Some of us have clicked on a phishing link
and downloaded a computer virus.
5
27630
4600
potrebbe aver scritto un codice non sicuro
contenente bug di sicurezza.
senza rendersene conto.
00:32
Some of us have had our identities stolen.
6
32263
2434
00:34
And those of us
who are software developers
7
34730
2000
Come esperta in cybersecurity,
ho lavorato con innumerevoli aziende
per migliorarne la sicurezza informatica.
00:36
might have written insecure code
with security bugs in it
8
36763
3367
00:40
without realizing it.
9
40163
1400
Esperti in cybersecurity come me
hanno offerto consulenza alle aziende
00:42
As a cybersecurity expert,
10
42530
1700
00:44
I have worked with countless companies
on improving their cybersecurity.
11
44263
4334
sulle buone pratiche della cybersecurity,
strumenti di controllo
e corretta condotta degli utenti.
00:49
Cybersecurity experts like me
have advised companies
12
49063
3400
Ma in realtà vedo un problema molto più
grande che nessun strumento può risolvere:
00:52
on good cybersecurity practices,
13
52497
2600
la vergogna che deriva
dagli errori che facciamo.
00:55
monitoring tools
14
55130
1133
00:56
and proper user behaviors.
15
56297
1700
00:58
But I actually see a much bigger problem
that no tool can fix:
16
58030
4733
Ci piace pensare di essere
competenti ed esperti di tecnologia,
ma poi compiamo questi errori che
possono impattare negativamente
01:02
the shame associated with
the mistakes that we make.
17
62797
3300
su noi e le nostre aziende --
01:06
We like to think of ourselves
as competent and tech savvy,
18
66563
3867
in modi diversi: da semplice fastidio,
al richiedere molto tempo per risolverlo,
01:10
and when we make these mistakes
that can have a really bad impact
19
70463
3300
al costare a noi e ai nostri
datori di lavoro molti soldi.
01:13
on us and our companies --
20
73797
1400
01:15
anything from a simple annoyance,
21
75230
1867
Nonostante i miliardi di dollari che le
aziende spendono per la cybersecurity,
01:17
to taking a lot of time to fix,
22
77130
2167
01:19
to costing us and our employers
a lot of money.
23
79330
3633
i professionisti come me vedono
gli stessi problemi, ancora e ancora.
01:23
Despite billions of dollars
that companies spend on cybersecurity,
24
83630
4467
Lasciate che vi dia degli esempi.
L’hacking del 2015 delle utility ucraine
01:28
practitioners like me see the same
problems over and over again.
25
88130
4500
che ha sospeso la corrente
a 225.000 clienti
01:32
Let me give you some examples.
26
92663
1800
e che ha richiesto mesi per ristabilire
la piena operatività
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
è iniziata con un link phishing.
01:38
that disconnected power
for 225,000 customers
28
98397
3766
A proposito, 225.000 clienti significa
molto più di 225.000 persone.
01:42
and took months to restore
back to full operations
29
102197
3666
01:45
started with a phishing link.
30
105897
2100
I clienti possono essere di vario tipo:
da un condominio
ad un impianto industriale
01:48
By the way, 225,000 customers
is a lot more 225,000 people.
31
108030
5567
o un centro commerciale.
La violazione dei dati del 2017 di Equifax
01:53
Customers can be anything
from an apartment building
32
113630
2700
che ha svelato informazioni
personali identificabili
01:56
to an industrial facility
33
116363
1400
di 140 milioni di persone
01:57
to a shopping mall.
34
117797
1433
01:59
The 2017 data breach of Equifax
35
119263
3100
e che alla fine è costata ad Equifax una
cifra intorno a 1,4 miliardi di dollari:
02:02
that exposed personally
identifiable information
36
122363
2834
02:05
of 140 million people
37
125230
2433
questa è stata causata dallo sfruttamento
di una ben nota vulnerabilità
02:07
and may ultimately cost Equifax something
on the order of 1.4 billion dollars:
38
127663
6334
nella sezione reclami dei consumatori
del sito dell’azienda.
In sostanza, si tratta
di tecnologia e innovazione.
02:14
that was caused by an exploitation
of a well-known vulnerability
39
134030
3500
02:17
in the company's customer
consumer complaint portal.
40
137563
2934
L’innovazione è cosa buona;
migliora le nostre vite.
Gran parte delle auto di oggi
sono computer su ruote, in sostanza.
02:21
Fundamentally, this is about
technology and innovation.
41
141563
4100
02:25
Innovation is good;
it makes our lives better.
42
145697
3000
Ci dicono come evitare il traffico,
quando effettuare la manutenzione
02:28
Most of the modern cars we drive today
are fundamentally computers on wheels.
43
148697
6033
e poi ci offrono ogni sorta
di comfort moderni.
02:34
They tell us where to go to avoid traffic,
when to take them in for maintenance
44
154763
4834
Molti usano dispositivi medici
connessi in rete come pacemaker
e glucometri con microinfusori d’insulina.
02:39
and then give us all kinds of
modern-day conveniences.
45
159630
3200
Questi dispositivi migliorano
la vita delle persone
02:42
Many people use connected
medical devices like pacemakers
46
162863
3434
e, a volte, addirittura la prolungano.
Ma tutto ciò che può essere connesso
in rete può anche essere hackerato.
02:46
and glucose monitors with insulin pumps.
47
166330
2300
02:49
These devices make
these people's lives better
48
169197
2533
02:51
and sometimes even extend their lives.
49
171763
2534
Sapevate che l’ex vicepresidente
degli Stati Uniti Dick Cheney
02:54
But anything that can be interconnected
can be hacked when it's connected.
50
174297
5533
ha scollegato il pacemaker dal Wi-Fi prima
di sottoporsi ad un trapianto di cuore?
Vi lascio immaginare perché.
03:00
Did you know that the former
US Vice President Dick Cheney
51
180230
3067
In un mondo interconnesso, i rischi
informatici sono letteralmente ovunque.
03:03
kept his pacemaker disconnected from Wi-Fi
before he received a heart transplant?
52
183330
4500
03:07
I will let you figure out why.
53
187863
2134
Per anni, io e i miei colleghi
abbiamo parlato di questo
03:10
In a digitally interconnected world,
cyber risks are literally everywhere.
54
190830
5033
concetto elusivo della
cultura della cybersicurezza
La cultura della cybersicurezza è
quando tutti nell’organizzazione
03:16
For years, my colleagues and I
have been talking about
55
196230
2800
credono che la cybersecurity
sia il loro lavoro,
03:19
this elusive notion
of cybersecurity culture.
56
199063
2467
sanno cosa fare e cosa non fare
e fanno la cosa giusta.
03:22
Cybersecurity culture is when
everybody in the organization
57
202030
3367
Sfortunatamente, non posso dirvi
quali aziende lo stanno facendo bene,
03:25
believes that cybersecurity is their job,
58
205430
2733
perché così facendo, metterei sulle loro
schiene un bersaglio allettante
03:28
knows what to do and what not to do
59
208197
1900
03:30
and does the right thing.
60
210097
1333
per hacker ambiziosi.
03:32
Unfortunately, I can't tell you
which companies do this well,
61
212063
3500
Ma ciò che posso fare è rendere
la cybersecurity meno misteriosa,
03:35
because by doing so, I would put
a juicy target on their backs
62
215597
3500
portarla alla luce
e parlarvene.
03:39
for ambitious attackers.
63
219097
1933
Non dovrebbe esserci alcun mistero o
segreto all’interno di un’organizzazione.
03:41
But what I can do is make
cybersecurity less mysterious,
64
221030
4267
03:45
bring it out into the open
and talk about it.
65
225297
2900
Quando qualcosa è invisibile
e funziona,
03:48
There should be no mystery or secrecy
within an organization.
66
228763
4600
non sappiamo che è lì
finchè non c’è più.
Un po’ come la carta igienica.
03:54
When something is invisible
and it's working,
67
234197
3800
Quando è iniziata l’epidemia di COVID-19,
03:58
we don't know that it's there
until it's not there.
68
238030
3467
ciò che è sempre stato lì d’improvviso
è diventato importantissimo
04:01
Kind of like toilet paper.
69
241530
2333
perché non riuscivamo più a trovarlo.
04:04
When the COVID-19 pandemic began,
70
244663
2734
La cybersecurity funziona così:
quando sta funzionando non lo sappiamo
e non ci interessa.
04:07
what has been there all of a sudden
became super important
71
247430
3167
Ma quando non sta funzionando
04:10
because we couldn't find it anywhere.
72
250597
1800
può essere davvero, davvero terribile.
04:12
Cybersecurity is just like that:
73
252830
2167
La carta igienica è un esempio
abbastanza immediato.
04:15
when it's working, we don't know,
and we don't care.
74
255030
3067
La cybersecurity è misteriosa e complessa.
04:18
But when it's not working,
75
258130
1533
04:19
it can be really, really bad.
76
259697
2600
E in realtà penso che cominci
con la nozione di sicurezza psicologica,
04:22
Toilet paper is pretty straightforward.
77
262797
2766
nozione divulgata da una specialista
del comportamento organizzativo,
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
04:28
And I actually think it starts
with the notion of psychological safety.
79
268630
3867
Amy Edmondson.
Ha studiato i comportamenti di team medici
in situazioni rischiose come in ospedale,
04:33
This notion was popularized
by an organizational behavior scientist,
80
273297
3900
dove errori possono essere fatali.
04:37
Amy Edmondson.
81
277230
1733
Ed ha scoperto che le infermiere
si trovavano a disagio
04:38
Amy studied behavior of medical teams
in high-stakes situations like hospitals,
82
278963
5167
a dare suggerimenti ai medici
per paura di contestare
la loro autorità.
04:44
where mistakes could be fatal.
83
284163
1734
04:45
And she found out
that nurses were not comfortable
84
285930
2700
Amy ha contribuito a migliorare
l’équipe medica
rendendo le infermiere più a loro agio
nel dare ai medici suggerimenti sul
04:48
bringing up suggestions to the doctors
85
288630
2267
04:50
because of the fear
of questioning authority.
86
290897
2233
trattamento dei pazienti
senza la paura di essere
sgridate o sminuite.
04:53
Amy helped improve medical teams
87
293797
2600
A tal fine, i medici avevano bisogno di
ascoltare ed essere ricettivi --
04:56
to make nurses more comfortable
bringing up suggestions to the doctors
88
296430
3700
senza giudicare.
05:00
for patient treatment
89
300130
1200
05:01
without the fear of being
scolded or demeaned.
90
301330
3067
La sicurezza psicologica è quando tutti
sono a proprio agio a parlare liberamente
05:04
For that to happen, doctors needed
to listen and be receptive --
91
304397
3566
e far notare le cose.
05:07
without judging.
92
307997
1200
Voglio che sia così anche la cybersecurity
05:10
Psychological safety is when everybody
is comfortable speaking up
93
310363
4134
Voglio che gli esperti in cybersecurity
si sentano a loro agio a dare suggerimenti
05:14
and pointing things out.
94
314530
1700
agli alti dirigenti
o sviluppatori di software,
05:17
I want cybersecurity to be the same.
95
317097
2733
senza essere liquidati come quelli
che parlano in continuazione di
05:19
And I want cybersecurity practitioners
to be comfortable bringing suggestions up
96
319863
4034
orrori ed errori,
05:23
to senior executives
or software developers,
97
323930
2867
e dicono di no.
Non farlo è davvero difficile
05:26
without being dismissed as those people
who continue to talk about
98
326830
3900
per gli individui che sono responsabili
della creazione di prodotti digitali
05:30
horrors and errors,
99
330763
1334
05:32
and say no.
100
332130
1267
perché, in sostanza, è una questione di
orgoglio e gioia delle loro creazioni.
05:33
Not doing so is really hard
101
333963
3100
05:37
for the individuals who are responsible
for the creation of digital products
102
337097
4100
una volta ho provato a parlare con un
responsabile sviluppo software
05:41
because fundamentally, it's about
their pride and joy in their creations.
103
341230
4800
sulla necessità di una migliore sicurezza.
Sapete cosa ha detto?
“Insinui che stiamo sviluppando
codici non sicuri?”
05:46
I once tried talking to a senior
software development executive
104
346597
3433
In altre parole, quello che ha recepito
è stato: “Tuo figlio è brutto.”
05:50
about the need to do better security.
105
350063
2034
E se piuttosto che concentrarci su
cosa non fare,
05:52
You know what he said?
106
352097
1233
05:53
"Are you telling me
we're developing insecure code?"
107
353363
2534
05:56
In other words, what he heard
was, "Your baby is ugly."
108
356263
3434
ci concentrassimo su cosa fare?
Ad esempio, come possiamo sviluppare
un software migliore
06:00
What if instead of focusing on
what not to do,
109
360330
4400
e allo stesso tempo proteggere
le informazioni dei nostri clienti?
06:04
we focused on what to do?
110
364763
2267
O come possiamo assicurarci che la nostra
organizzazione sia in grado di gestire
06:07
Like, how do we develop better software
111
367063
3567
06:10
and protect our customer
information at the same time?
112
370663
3534
le crisi, gli attacchi
o le emergenze?
E se premiassimo in qualche modo le buone
pratiche della gente nella cybersecurity
06:14
Or how do we make sure
that our organization is able to operate
113
374230
4433
e le incoraggiassimo a farlo,
06:18
in crisis, under attack
or in an emergency?
114
378697
2766
ad esempio segnalando
incidenti di sicurezza,
06:21
And what if we reward good things that
people do in cybersecurity in some way
115
381863
4067
segnalando potenziali email pishing,
o trovando e correggendo bug
di sicurezza del software
06:25
and encourage them to do so,
116
385963
1600
06:27
like reporting security incidents,
117
387597
2166
nei software che sviluppano?
06:29
reporting potential phishing emails,
118
389797
2566
E se vincolassimo le buone pratiche di
sicurezza alle valutazioni di prestazioni
06:32
or finding and fixing
software security bugs
119
392363
3500
per renderle davvero importanti?
06:35
in the software that they develop?
120
395897
1866
Mi piacerebbe che trasmettessimo queste
buone pratiche di cybersecurity
06:37
And what if we tied these good security
actions to performance evaluations
121
397797
3800
e le incoraggiassimo in una specie di
comunicazione aziendale
06:41
to make it really matter?
122
401630
1633
come newsletters, blog,
siti web, micrositi --
06:43
I would love for us to communicate
these good cybersecurity things
123
403763
4267
qualsiasi cosa usiamo per comunicare
con la nostra organizzazione.
06:48
and encourage them in some sort of
company-wide communications
124
408063
2934
E se un’azienda bandisse un concorso
per chi trova più bug di sicurezza
06:51
like newsletters, blogs,
websites, microsites --
125
411030
2700
06:53
whatever we use to communicate
to our organization.
126
413763
3267
e li risolve in uno sprint di sviluppo
di due settimane
06:57
What if a company announced a competition
for who finds the most security bugs
127
417063
5467
e annunciasse il vincitore del trimestre
in un grande consiglio virtuale,
07:02
and fixes them in a two-week
development sprint
128
422530
3267
e poi premiasse queste persone, questi
vincitori, con qualcosa di significativo
07:05
and then announces the winner
of the competition for the quarter
129
425830
3333
come una settimana di ferie o un bonus.
07:09
at a large company virtual town hall,
130
429197
2766
Altri vedranno
la celebrazione e il riconoscimento,
07:11
and then rewards these people,
these winners, with something meaningful,
131
431963
4234
e vorranno fare lo stesso.
Nell’industria dell’energia,
07:16
like a week's vacation or a bonus.
132
436230
2167
c’è davvero una forte
cultura della sicurezza.
07:18
Others will see
the celebration and recognition,
133
438763
2834
Le persone tengono a questa cultura,
sono orgogliosi di essa,
07:21
and they'll want to do the same.
134
441630
1933
e c’è un rafforzamento collettivo
di questa cultura per
07:23
In the energy industry,
135
443563
1400
07:24
there is a really strong
culture of safety.
136
444997
2833
assicurarsi che nessuno si faccia male.
07:27
People care about this culture,
are proud of it,
137
447830
2967
Uno dei modi in cui esibiscono e rendono
manifesta questa cultura della sicurezza è
07:30
and there is a collective
reinforcement of this culture
138
450797
3466
contare e tenere esposti i giorni passati
dall’ultimo incidente di sicurezza.
07:34
to make sure that nobody gets hurt.
139
454297
1933
07:36
One of the ways they exhibit and keep
this safety conscious culture going
140
456230
4533
E poi tutti lavorano duramente
per non far tornare il conteggio a zero
07:40
is by counting and visibly displaying days
since the last safety incident.
141
460797
6233
perché significa che
qualcuno si è fatto male.
La cybersicurezza equivale a sicurezza.
07:47
And then everybody works really hard
not to have that count go back to zero
142
467663
4367
E se tutti fossimo d’accordo
a contare i giorni trascorsi
dall’ultimo incidente di cybersicurezza
07:52
because that means
that somebody did get hurt.
143
472063
2500
07:54
Cybersecurity is the same as safety.
144
474597
3133
per sempre
e quindi lavorare molto duramente
per non farli azzerare?
07:57
What if we all agree
145
477763
1634
07:59
to keep that count of days
since the last cybersecurity incident
146
479430
3267
E poi certe cose sono da evitare,
e dobbiamo comunicare chiaramente
alla nostra organizzazione quali sono
08:02
going on forever
147
482730
1333
08:04
and then work really hard
not to have it reset to zero?
148
484097
3200
in maniera facilmente assimilabile
e magari anche divertente,
08:08
And then certain things are a no-no,
149
488097
2033
come la gamification o la simulazione,
08:10
and we need to clearly communicate
to our organizations what they are
150
490163
3434
per essere certi ce le persone
possano ricordarselo.
08:13
in an easily digestible
and maybe even fun way,
151
493630
2867
E se qualcuno fa qualcosa
che non dovrebbe fare,
08:16
like gamification or simulations,
152
496530
2667
dovrebbero esserci
delle conseguenze.
Così, per esempio, se un dipendente compra
un equipaggiamento su Amazon o eBay
08:19
to make sure that people
can remember this.
153
499230
2467
08:21
And if somebody does something
they're not supposed to do,
154
501730
2833
oppure usa il suo Dropbox personale
per le questioni aziendali,
08:24
they should face some sort
of consequences.
155
504597
2133
08:26
So, for example, if an employee buys
equipment on Amazon or eBay
156
506763
4734
allora dovrebbero esserci
delle conseguenze.
Quando accade, i dirigenti
dovrebbero subire lo stesso trattamento
08:31
or uses personal Dropbox
for their company business,
157
511530
3400
dei normali impiegati,
perchè se non accade,
allora la gente non crederà che sia reale
08:34
then they should face
some sort of consequences.
158
514963
2467
e tornerà a comportarsi come prima.
08:37
And when this happens, executives
should get the same treatment
159
517463
3134
Va bene parlare degli errori,
08:40
as regular employees,
160
520630
1667
ma è come un adolescente che viola
le regole e ce lo confessa,
08:42
because if they don't,
then people won't believe that it's real
161
522297
3000
08:45
and will go back to their old behaviors.
162
525330
1933
noi apprezziamo che ne abbia parlato,
08:47
It's OK to talk about mistakes,
163
527297
2500
ma dovrebbe comunque esserci
qualche conseguenza.
08:49
but just like a teenager who violates
the rules tells us about it,
164
529830
4033
La cybersecurity è un viaggio.
08:53
we appreciate that they told us about it,
165
533897
2066
Non è una destinazione,
08:55
but there should still be
some sort of consequences.
166
535997
2433
e dobbiamo continuare a lavorarci.
Mi piacerebbe che celebrassimo
chi si occupa della cybersecurity
09:00
Cybersecurity is a journey.
167
540263
2134
come gli eroi che sono.
09:02
It's not a destination,
168
542430
1500
Se ci pensiamo,
sono vigili del fuoco,
09:03
and we need to keep working on it.
169
543930
1933
medici e infermieri di pronto soccorso
09:06
I would love for us to celebrate
cybersecurity people
170
546297
3133
forze dell’ordine, risk executive
e business strategist
09:09
like the heroes that they are.
171
549430
1933
09:11
If we think about it,
they are firefighters,
172
551363
2967
tutti nello stesso individuo.
E ci aiutano a proteggere la vita moderna
che ci piace così tanto.
09:14
emergency room doctors and nurses,
173
554330
1833
09:16
law enforcement, risk executives
and business strategists
174
556197
3766
Proteggono le nostre identità,
invenzioni, la proprietà intellettuale,
09:19
all in the same persona.
175
559963
1900
09:21
And they help us protect our modern life
that we like so much.
176
561897
3800
la nostra rete elettrica,
dispositivi medici,
auto connesse e una miriade di altre cose.
09:25
They protect our identities,
our inventions, our intellectual property,
177
565697
4333
Mi piacerebbe essere in quel team
Quindi stabiliamo che questa faccenda
è con noi per rimanere,
09:30
our electric grid, medical devices,
178
570063
2400
09:32
connected cars and myriad other things.
179
572497
3500
creiamo un ambiente sicuro
per imparare dai nostri errori,
09:35
And I'd like to be on that team.
180
575997
1600
ed impegniamoci a migliorare le cose.
09:38
So let's agree that this thing
is with us to stay,
181
578097
4266
Grazie.
09:42
let's create a safe environment
to learn from our mistakes,
182
582363
3600
09:45
and let's commit to making things better.
183
585963
2367
09:48
Thank you.
184
588363
1267
New videos
Original video on YouTube.com
A proposito di questo sito web
Questo sito vi presenterà i video di YouTube utili per l'apprendimento dell'inglese. Vedrete lezioni di inglese tenute da insegnanti di alto livello provenienti da tutto il mondo. Fate doppio clic sui sottotitoli in inglese visualizzati su ogni pagina video per riprodurre il video da lì. I sottotitoli scorrono in sincronia con la riproduzione del video. Se avete commenti o richieste, contattateci tramite questo modulo di contatto.