Questa è la prima parte di una serie in due parti.
Mentre la pandemia COVID-19 devasta il sistema sanitario americano, i centri medici sottofinanziati stanno lottando per fornire cure adeguate. E i pazienti nelle contee più povere, che potrebbero non avere accesso a opzioni migliori, stanno sperimentando tassi di mortalità più alti della media.
Ora si aggiunge a questo la crescente paura che gli attacchi informatici possano colpire uno di questi ospedali o cliniche vulnerabili. Naturalmente, le stesse lotte economiche che impediscono agli operatori sanitari di assumere più medici o investire in nuove apparecchiature mediche impedisce loro anche di formare il proprio team di sicurezza e rafforzare le proprie difese informatiche. E ancora una volta, è il paziente che alla fine ne subisce le conseguenze.
Ma questo cyber "divario digitale" che separa gli "abbienti" dai "non abbienti" nel settore sanitario è solo un microcosmo per una realtà molto più ampia che ha invaso praticamente ogni settore: le imprese e le istituzioni nelle regioni più povere o svantaggiate sono meno attrezzati per combattere gli attacchi informatici rispetto alle loro controparti ben finanziate nelle città ricche.
In parole povere: “Le comunità povere sono più a rischio. Sul serio ", ha affermato Michael Hamilton, Chief Information Security Officer di CI Security ed ex CISO di Seattle.
Un problema del settore pubblico e privato
Il collega di Hamilton Drex DeFord, stratega esecutivo dell'assistenza sanitaria per CI Security, teme che un incidente informatico per alcuni dei sistemi sanitari più vulnerabili possa fare la differenza tra la vita e la morte. Potrebbe anche essere l'evento che spinge una struttura medica oltre il limite, facendola chiudere, forse in modo permanente. È già successo .
"E quando accade qualcosa del genere, dai un pugno nello stomaco ai poveri, quando sono già giù", ha detto DeFord a SC Media.
"Il bello delle grandi emergenze sanitarie nazionali come COVID è il modo straordinario in cui espongono i problemi con il sistema – sfide sottostanti che esistono da anni e anni", ha continuato DeFord. "E questa è una mancanza di sistemi sanitari robusti … E all'interno di quei sistemi sanitari c'è una mancanza di specialisti della sicurezza informatica altamente qualificati in grado di proteggere quell'infrastruttura critica in quelle comunità più piccole, in un momento in cui è più necessaria".
Consideriamo ora i comuni, che Hamilton descrive come "appesi a un filo" – sottofinanziati e senza accesso a professionisti informatici in regioni in cui i professionisti non sono inclini a vivere.
Il governo locale copre "la purificazione dell'acqua, il trattamento dei rifiuti, la gestione del traffico, le comunicazioni per le forze dell'ordine, la sicurezza pubblica" e molto altro, ha continuato Hamilton. Sfortunatamente, i sistemi governativi sono "super facili da rovesciare, e il suo impatto è che il tuo gabinetto non scarica, non puoi fidarti della tua acqua, tutti i semafori lampeggiano in rosso, la polizia non arriva al tuo casa in tempo "e altri scenari disastrosi.
Anche questa spaventosa realtà non si perde sugli avversari. Per ogni Baltimora o Atlanta infettata da ransomware, ci sono molte altre città più piccole come Leeds, Alabama e Lake City, Florida attaccate, che fanno affidamento su trattative di riscatto e assicurazioni informatiche per mantenere il danno finanziario di un pagamento il più minimo possibile.
I budget informatici ei livelli di consapevolezza sono particolarmente irrisori tra i distretti scolastici americani. Un nuovo rapporto basato su un sondaggio di Morphisec afferma che solo il 27% degli educatori K-12 negli Stati Uniti utilizza software antivirus e solo l'11% utilizza una rete privata virtuale. Più della metà, il 52%, afferma che le proprie scuole non li hanno avvertiti dei pericoli del ransomware.
La tendenza si estende anche alle piccole e medie imprese, che spesso si trovano al di sotto di quella che Wendy Nather – capo dei CISO consultivi per Duo Security presso Cisco ed ex direttore della ricerca di Retail ISAC – chiama la "soglia di povertà informatica".
Ma "la povertà della sicurezza è più che una semplice questione di soldi", ha detto Nather a SC Media. “Come la povertà socioeconomica, entrano in gioco una serie di dinamiche: budget, competenza, capacità e influenza. Anche se tutta la tecnologia di sicurezza fosse disponibile gratuitamente, è necessaria l'esperienza per configurarla e mantenerla. Anche se sai cosa devi fare, potresti non avere la capacità o la capacità se, ad esempio, non puoi eseguire la tua rete o apportare modifiche al software che stai utilizzando. Infine, le organizzazioni più piccole, o quelle con meno fondi, non possono sempre influenzare i loro fornitori per soddisfare gli standard di sicurezza necessari ".
Tali lotte sono comuni tra le entità più piccole. Sebbene piuttosto obsoleto, un sondaggio del 2017 condotto da Vistage, in collaborazione con Cisco e il National Center for the Middle Market, ha rilevato che il 62% delle piccole e medie imprese non disponeva di una strategia di sicurezza informatica aggiornata o attiva. Ma quando le organizzazioni operano anche in regioni economicamente depresse, che si tratti di un'area rurale priva di infrastrutture tecnologiche o di una città interna che necessita di rivitalizzazione e sviluppo commerciale, le sfide sono esacerbate.
Ma la domanda è: di quanto esattamente?
La ricerca significativa è scarsa
È possibile misurare statisticamente e quantificare la causa-effetto tra lo stato socioeconomico e l'igiene della cybersecurity? In molti casi sono direttamente proporzionali?
Purtroppo, è qui che i dati empirici sono gravemente carenti.
Michelle Mazurek, professore associato di informatica presso l'Università del Maryland, College Park, con una specializzazione in sicurezza informatica incentrata sull'uomo, ha spiegato a SC Media perché la correlazione tra socioeconomia e sicurezza informatica non è stata ampiamente studiata per approfondimenti.
"È ancora, in un modo strano, molto presto", ha detto Mazurek. "L'informatica nel suo insieme non esiste da così tanto tempo rispetto a qualcosa come la fisica." E lo studio della sicurezza informatica all'interno dell'informatica è ancora più nascente e presenta le sue sfide.
Per cominciare, la sicurezza è difficile da misurare, ha detto Mazurek. Ma anche la cooperazione delle organizzazioni o dei comuni è fondamentale e le istituzioni in generale sono state riluttanti a parlare della loro posizione sulla sicurezza.
La paura è questa, ha spiegato Mazurek: "'Ne parleremo e poi le persone si renderanno conto che abbiamo un problema e poi verranno e cercheranno di sfruttarci". Quindi è davvero difficile, in realtà, ottenere dati realistici su come funzionano queste cose in natura ".
Diversi esperti che hanno parlato con SC Media hanno convenuto che uno studio di ricerca che esamina la relazione tra lo stato socioeconomico e la sicurezza informatica sarebbe uno sforzo prezioso e utile. Semplicemente non è chiaro come procedere per condurne uno.
Phil Reitinger, presidente e CEO della Global Cyber Alliance – un'organizzazione senza scopo di lucro focalizzata sull'eliminazione dei rischi sistemici per la sicurezza informatica – ha suggerito che un metodo potrebbe essere quello di esaminare quali regioni all'interno di una data nazione includono le più alte concentrazioni di organizzazioni che utilizzano software obsoleto. Hamilton, nel frattempo, ha detto che i ricercatori potrebbero cercare "un aumento del tasso di incidenti [cyber] eventi nelle organizzazioni che potresti dimostrare come povere". Potrebbero anche monitorare le attività che hanno chiuso a seguito di attacchi informatici e cercare tendenze economiche, ha osservato.
Un sondaggio commissionato dalla National Cyber Security Alliance e condotto da Zogby Analytics ha rilevato che il 30% delle piccole imprese intervistate ha subito una violazione della sicurezza ufficiale nel 2019; di queste attività, il 25% ha dichiarato bancarotta e il 10% ha cessato l'attività.
Ma quello studio, come la maggior parte, ha esaminato le piccole imprese in generale. Non ha tenuto conto della socioeconomia. Un altro studio ha classificato le aree geografiche in cui le piccole imprese hanno maggiori probabilità di subire un attacco informatico, ma la classifica si è concentrata esclusivamente sulle aree metropolitane, che sono in genere più solide dal punto di vista finanziario.
Nel 2017, Mazurek è coautore di un documento di ricerca accademico che esamina se lo stato socioeconomico influisce sulla consapevolezza informatica dei singoli utenti e sulla loro probabilità di segnalare un incidente di sicurezza.
Utilizzando i risultati raccolti da un sondaggio telefonico di 3.000 intervistati, Mazurek e i suoi due co-ricercatori hanno scoperto che gli utenti di uno stato socioeconomico inferiore (SES) tendono a contare su diverse fonti di consulenza sulla sicurezza rispetto agli utenti più abbienti. Secondo lo studio, gli utenti con un basso SES fanno più affidamento sui loro amici per l'educazione alla sicurezza e meno su fonti più affidabili come colleghi e siti web. Ciò è forse dovuto al fatto che i loro lavori potrebbero essere più ruoli di colletti blu che non richiedono l'accesso a computer o formazione, ha suggerito Mazurek.
Eppure, gli utenti con SES basso hanno riferito di aver sperimentato lo stesso numero di incidenti informatici personali negativi rispetto alle loro controparti con SES alto. Le ragioni di questo risultato sono sconosciute.
Tuttavia, gli esperti di sicurezza non hanno bisogno di dati concreti per vedere le prove aneddotiche che si manifestano davanti ai loro volti: le organizzazioni più povere lottano per acquisire le risorse di sicurezza disperatamente necessarie.
"È ovvio", ha detto DeFord, suggerendo che qualsiasi risultato di questa ricerca ufficiale avrebbe probabilmente provocato la risposta: "Non lo sapevamo già?"
Forse una domanda più pratica, quindi, sarebbe chiedersi dove le organizzazioni in difficoltà economiche stiano vivendo la maggiore disuguaglianza informatica. In altre parole: dove sono più carenti?
Tecnologia mancante
Hamilton, per esempio, ha affermato che le organizzazioni aziendali con pochi soldi da investire nella sicurezza informatica tendono a fare eccessivo affidamento su controlli preventivi come firewall, filtri URL, soluzioni di sicurezza e-mail e software antivirus. Nel frattempo, non dedicano fondi sufficienti al rilevamento e alla risposta agli incidenti che potrebbero "ridurre al minimo l'impatto di ciò che è essenzialmente un evento prevedibile".
“Le comunità povere sono più a rischio. Davvero."
Michael Hamilton, CISO, CI Security
"Stai per ottenere malware sulle workstation. Succederà ", ha detto Hamilton. Ma “non devi perdere i tuoi record, non devi essere rinchiuso ed estorto. Quelle cose non devono accadere. E il modo in cui lo eviti è monitorando la tua rete. Assicurandoci di tenere d'occhio i registri, indagare sugli eventi e spegnere piccoli fuochi prima che diventino grandi ".
Un altro problema comune condiviso tra entità più piccole e con difficoltà fiscali è la preponderanza di dispositivi obsoleti, legacy "o sistemi più vecchi che non sono più supportati o che ricevono aggiornamenti delle patch con la stessa rapidità … È molto probabile che ci siano vulnerabilità di sicurezza che stanno andando senza indirizzo ", ha detto Mazurek.
È un problema molto familiare a Jerry Huff, membro del CyberRisk Alliance's Cybersecurity Collaborative advisory council e CISO della Kansas Independent College Association, un consorzio di 11 college e università indipendenti, senza scopo di lucro, che condividono collettivamente le risorse IT.
"La cosa numero uno che vedo è il vecchio materiale in esecuzione sulla rete", ha detto Huff a SC Media. “E probabilmente le due vulnerabilità che emergono di più sono il vecchio Adobe Reader e il vecchio Adobe Flash. Queste due cose sono in giro da secoli. "
Anche le vecchie versioni dei sistemi operativi Windows, Linux e Unix sono all'ordine del giorno, ha affermato Huff, che è stato anche direttore delle operazioni per Kan-Ed, un programma che ha fornito connettività Internet a scuole, college, biblioteche e ospedali K-12 in tutto il Kansas. . In effetti, a volte è impossibile aggiornare il sistema operativo, ha spiegato Huff, perché alcuni sistemi, ad esempio un sistema HVAC locale, potrebbero funzionare solo su versioni precedenti e il produttore "non ha provveduto ad aggiornarlo".
Le condizioni di lavoro a distanza indotte dal coronavirus hanno solo peggiorato le cose, ha aggiunto DeFord.
"Quel nuovo modello richiede molte attrezzature e infrastrutture che molte di queste piccole comunità, organizzazioni più piccole, non sono disposte a supportare", ha affermato. Quindi mandano a casa i desktop aziendali e consentono alle persone di utilizzare i propri personal computer per lavorare a casa … Aggrava questa potenziale minaccia informatica su tutte queste organizzazioni più piccole e meno finanziate ".
Questi sono seri problemi di manutenzione informatica, ha detto Huff. Ma quando i soldi scarseggiano, i responsabili delle decisioni aziendali che controllano il budget possono avere altre priorità.
"La manutenzione è sempre facile da rinviare, perché non ci sono conseguenze immediate", ha detto. “'Il tetto non perde, quindi possiamo rimandarlo per un altro anno. Non ci sono problemi sulla rete, non siamo stati hackerati o altro, quindi sai cosa … possiamo rimandarlo per un altro anno. '
Ma alla fine, raggiunge un punto in cui le cose iniziano a rompersi.
"All'improvviso, boom", ha detto Huff. “'Abbiamo bisogno di un nuovo firewall, abbiamo bisogno di nuovi server, non possiamo più lavorare su Windows 7 perché non è più supportato. Dobbiamo aggiornare tutto. Oh mio Dio.'"
In effetti, che siano finanziate da profitti aziendali, investimenti, donazioni o contribuenti, le organizzazioni devono fare scelte difficili quando allocare i loro esigui budget. E spesso questo costringe le istituzioni a compromessi indesiderati, ha affermato Kiersten Todt, amministratore delegato del Cyber Readiness Institute e studioso residente con sede a DC presso l'Institute for Cyber Law, Policy e Security dell'Università di Pittsburgh.
"Quando hai un budget limitato … e all'improvviso ottieni un elemento pubblicitario critico, inevitabilmente dovrai capire a cosa rinunciare", ha detto Todt.
E spesso è il cyber a finire in cortocircuito.
"Non è che le aziende non apprezzino l'importanza del cyber, ma" hanno queste funzioni che devono supportare [prima] per sopravvivere. E non hanno ancora capito come ottenere quei soldi extra per le risorse di sicurezza informatica ", ha continuato Todt.
È anche questione di scegliere le risorse giuste per la tua organizzazione. C'è solo un problema: chi acquista l'attrezzatura non ha le competenze per sapere veramente cosa è richiesto. "E se hanno investito in modo errato, o non hanno ricevuto la guida giusta, allora sono bloccati in qualcosa per un lungo periodo di tempo", ha detto Todt.
Il che solleva un altro problema per le entità più piccole: una carenza di competenze e talenti interni.
Talento mancante
"Abbiamo visto in alcuni studi che l'esperienza è il fattore più importante per i professionisti della sicurezza in una varietà di contesti diversi", ha affermato Mazurek. “E questo non significa solo anni di pura esperienza, come quanti anni hai svolto sul lavoro, anche se questo aiuta. Significa anche cose come sperimentare un'ampia varietà di situazioni e problemi che potrebbero accadere, essere in grado di riconoscere vari tipi di problemi di sicurezza quando si presentano e sapere come risolverli rapidamente ".
Il divario di competenze informatiche continua ad aumentare e i candidati di un lavoro informatico di alto livello generalmente gravitano verso i principali hub tecnologici e le grandi società con tasche profonde che sono disposti a pagare profumatamente. Questa è una delle ragioni principali per cui il settore pubblico ha difficoltà a reclutare candidati.
"La proposta di valore per lavorare nel governo è ottenere Groundhog Day off", ha detto Hamilton. “Nel frattempo, Amazon ha enormi sacchi di denaro. Questo è il nostro problema proprio lì. "
E qualunque manodopera abbia un'organizzazione potrebbe essere rapidamente sopraffatta. "In un tipico ospedale rurale, potresti avere solo due o tre o quattro persone in un reparto IT", ha affermato DeFord. "C'è solo troppo da fare per loro e non abbastanza persone altamente qualificate per andare in giro." ha detto DeFord.
Huff ha affermato che alcuni dei college membri della Kansas Independent College Association avevano solo una persona IT che si occupava di tutto, dalla risoluzione dei problemi IP voiceover all'aggiunta di nuovi utenti alla rete.
"Non c'è tempo per quella persona di essere proattiva nell'affrontare i problemi di sicurezza sulla propria rete", ha aggiunto. "Il loro lavoro a tempo pieno è solo mantenerlo in funzione."
Terry Ocaña, un altro membro del consiglio consultivo della CyberRisk Alliance Cybersecurity Collaborative , ha affermato che, sebbene non ritenga che i fattori socioeconomici abbiano un impatto diretto sulla sicurezza informatica, possono indirettamente ostacolare la preparazione informatica nella misura in cui influenzano la mentalità della forza lavoro locale.
"Come generalizzazione di ampio respiro, essendomi trasferito da una regione metropolitana a una regione rurale, noto una netta differenza nella fluidità tecnologica", ha affermato Ocaña, direttore IT della contea di Chippewa, Minnesota. A partire dal censimento statunitense del 2010, la contea presentava una popolazione di 12.441 e un reddito familiare medio di $ 54.552, con l'8,8% della popolazione situata al di sotto della soglia di povertà.
"A causa delle differenze sociali / culturali nelle comunità rurali, i cittadini generalmente preferiscono le interazioni commerciali personali rispetto a quelle tecniche anche per compiti banali come rinnovi di licenze, permessi di combustione, permessi di costruzione, ricerca di titoli immobiliari, ecc." ha detto Ocaña. Ciò si traduce in una lenta adozione di servizi tecnologici a livello di contea, che a sua volta rallenta il ritmo di apprendimento per i dipendenti che adottano la tecnologia, riducendo la comprensione di come deve essere pratica la sicurezza informatica. Invece, la sicurezza informatica è vista come una funzione del dipartimento IT ".
Torna alla seconda parte di questa serie, in cui SC Media esaminerà i vari modi in cui le organizzazioni nelle comunità svantaggiate possono persino giocare al cyber-gioco.
Il post Stato socioeconomico e cyber: il nuovo "divario digitale" è apparso per la prima volta su SC Media .