Quando pensi a chi minaccia i tuoi dati su internet, puoi pensare a tre categorie di “nemici”.
Gli avversari della categoria 1 sono quelle parti che si impegnano in quello che viene popolarmente chiamato “capitalismo della sorveglianza“, ma che tecnicamente viene chiamato “data mining“. Operando prevalentemente nel settore privato, gli attori della categoria 1 sono quelli che raccolgono passivamente informazioni da voi come conseguenza del vostro utilizzo dei loro servizi.
Tuttavia, negli ultimi anni abbiamo appreso che le aziende superano questo patto implicito di raccogliere dati sui singoli individui anche quando questi non fanno esplicitamente affari con loro. In genere, questi avversari non cercano direttamente i vostri dati. Invece di venire da voi, aspettano che siate voi a venire da loro. Pertanto, possono essere ostacolati da scelte di consumo più accorte.
Gli avversari della categoria 2 sono quelli che utilizzano principalmente tecniche offensive per eseguire attacchi sia mirati che non mirati (cioè indiscriminati) contro gli utenti. Questa categoria comprende una gamma diversificata di aggressori, dai cappelli neri solitari alle sofisticate imprese criminali. Ciò che tutti hanno in comune è che i loro metodi sono intrusivi, violano attivamente le proprie difese e non sono assolutamente sanzionati legalmente.
La categoria 3 comprende i più formidabili avversari, nemici che possono far leva sulle risorse statali. In effetti, gli attori di questa categoria sono gli unici che si qualificano per il termine di consenso sulla sicurezza dell’informazione “minacce persistenti avanzate” o APT. Come gli avversari della categoria 2, conducono operazioni offensive invasive, ma lo fanno con le risorse finanziarie di una fazione politica o di un governo alle loro spalle e, in molti casi, anche con l’immunità legale di uno di essi.
Naturalmente, quel che devi fare è verificare nel tuo caso specifico chi siano i tuoi reali avversari. Se per esempio non consideri il tuo lavoro particolarmente sensibile e vuoi solo mitigare il fattore raccapricciante dei dettagli personali intimi che vengono costantemente e impietosamente memorizzati e analizzati, ti trovi di fronte a uno scenario di categoria 1. La maggior parte di voi si troverà probabilmente su questa barca, soprattutto se vi affidate in qualsiasi misura ai social network o ai servizi di comunicazione gestiti da aziende tecnologiche ad alto contenuto di entrate pubblicitarie.
Per chi è in possesso di informazioni di grande valore, come i dati finanziari a sei cifre e oltre, ci sono buone probabilità di doversi armare contro gli aggressori di categoria 2. La natura lucrativa delle informazioni da voi gestite significa che probabilmente attirerete attori che lavoreranno in modo specifico e attivo per violare le vostre difese per rubarvele.
Trattare dati veramente sensibili, del tipo che potrebbe significare la vita o la morte di certe persone, vi espone ad avversari di categoria 3. Se siete il tipo di persona che rischia di essere attaccata da un attore di livello statale, come un giornalista della sicurezza nazionale o un professionista del settore della difesa, lo sapete già. Se respingere gli aggressori di categoria 3 è la vostra realtà, avete bisogno di molta più sicurezza operativa di quanta io possa fornirvi. Il mio trattamento degli attori di categoria 3 sarà più per dipingere un quadro completo per i lettori in generale e per trasmettere un senso di scala delle possibili contromisure.