Il Buddha ha cominciato a impartire i suoi insegnamenti davanti a cinque adepti e oggi i buddhisti sono circa 490 milioni. C’è già un primo parallelismo tra il buddhismo canonico e il buddhismo SOC: ancora oggi le persone che seguono una corretta cyber igiene sono relativamente poche ma questo non significa che, con la formazione e la sensibilizzazione continue, un giorno potranno essere centinaia di milioni.

Il lascito del Buddha si riassume in tre insegnamenti fondamentali: la via di mezzo, le quattro nobili verità e il nobile ottuplice sentiero. Li abbiamo adattati per fare passare la dottrina della cyber security.

Un altro parallelismo: il buddhismo incita gli adepti a non aderire ciecamente a nessuna fede, disciplina o corrente filosofica, buddhismo incluso. La cyber security è l’attitudine a non credere ciecamente alla veridicità di un’email, di un link o di un qualsiasi contenuto. È il principio detto Zero trust del quale parleremo più avanti.

Cos’è il buddhismo SOC

È la traslitterazione del buddhismo in una serie di lemmi e di principi di cyber security che possono trovare posto nei Security Operation Center (SOC), in tutte le unità di una qualsiasi organizzazione pubblica o privata ma anche tra i singoli utenti.

Così, in punta di penna, abbiamo declinato i precetti del buddhismo nella speranza che siano più facilmente ricevibili da chi non è avvezzo al digitale e la cui soglia di attenzione viene decimata ogni qualvolta incontra termini tecnici.

Tutto ciò tenendo presente che sia il buddhismo sia la cyber security sono cose serissime.

Il mezzo nel buddhismo SOC

Il mezzo, nel buddhismo, si può riassumere ricorrendo al latino: in medio stat virtus. Qualsiasi cosa si faccia, va fatta né troppo né troppo poco.

Così, quando si usa un dispositivo elettronico, non è necessario temere sempre il peggio ed evitare di aprire link o email perché terrorizzati da eventuali frodi ma, nello stesso tempo, occorre non essere leggeri ed evitare delle verifiche perché il messaggio, l’email o l’invito sembrano provenire da persone conosciute.

La poca consapevolezza porta ad atteggiamenti inconsulti e, sul lato opposto, la conoscenza approfondita delle minacce può portare a un’esasperante mania del controllo e della verifica, togliendo fluidità al lavoro e inducendo a spendere energie e risorse non necessarie. Insomma, la virtù sta nel mezzo.

Le quattro nobili verità del buddhismo SOC

Il Buddha si è concentrato sulla sofferenza insita nella vita, considerandola necessaria e inevitabile ma non insuperabile. Con le opportune declinazioni, ciò vale anche per le minacce a cui siamo esposti nella nostra vita digitale.

La prima nobile verità del buddhismo è la verità del dolore che si manifesta per il semplice fatto di essere vivi.

Nella cyber security è il plagiato adagio secondo cui qualsiasi dispositivo è esposto alle minacce per il semplice fatto di essere connesso alla rete.

La seconda nobile verità indaga l’origine del dolore. Argomento vasto che si riassume nell’assenza di consapevolezza dell’essere umano, imbrigliato nei desideri e nelle bramosie lungo l’intero arco della sua vita.

Nella cyber security ciò si traduce nelle attività che svolgiamo nella nostra vita digitale. Il riferimento è ampio e vi rientrano i social che ci profilano vendendo informazioni di ogni tipo ad aziende non sempre trasparenti e che ci espongono alla mercé di malintenzionati che le usano per fare social engineering, così come ne fanno parte gli atteggiamenti sconsiderati che ci fanno reagire a comunicazioni aziendali sensibili senza farci le adeguate domande, arrivando così a cliccare su link malevoli, a istallare software non autorizzato sui pc aziendali o a navigare su siti poco raccomandabili direttamente dalla postazione di lavoro.

L’elenco è sterminato e include anche il desiderio di prelevare software illegale e contenuti protetti dal diritto d’autore, che non di rado istallano sui nostri dispositivi virus di diversa natura congegnati con diversi scopi, tra il furto di credenziali personali e finanziarie, l’uso del dispositivo come parte integrante di una botnet gestita da criminal hacker oppure l’uso delle risorse del pc al servizio del mining di criptovalute.

Qualsiasi attività digitale svolta senza l’opportuna consapevolezza apre potenzialmente le porte al cyber crimine e questo vale tanto per gli utenti privati quanto per quelli aziendali.

La terza nobile verità dice che alla sofferenza si può porre fine. Allo stesso modo, parlando di cyber security, è possibile esporsi il meno possibile ai pericoli latenti di internet.

Questione di consapevolezza e di approccio: così come per il buddhismo il mondo cambia se cambiamo il modo in cui lo guardiamo, anche nella cyber security la consapevolezza non fa diventare la rete meno pericolosa, fa sì che chi ne fa uso sappia a quali rischi si espone e sappia riconoscerli da lontano.

La quarta nobile verità indica la via per porre fine alla sofferenza. Insomma, il nirvana digitale può essere raggiunto e, per farlo, è necessario percorrere il nobile ottuplice sentiero.

Il nobile ottuplice sentiero SOC

Otto sentieri da percorrere per liberarsi dalla sofferenza o, in ambito della cyber security, per liberarsi dai rischi a cui siamo esposti nel corso della nostra vita digitale.

Per rimanere in un contesto metafisico, la vita digitale “non esiste“. Quando un cyber criminale riesce a deviare un pagamento effettuato sul web, ha sì alterato una transazione digitale ma le ricadute sono fisiche, avremo meno denaro e non riceveremo mai il prodotto per il quale lo abbiamo speso.

Otto sentieri che, a seconda della scuola buddhista di riferimento, vanno percorsi uno alla volta oppure insieme. Poco cambia, dal momento che gli atteggiamenti adottati lungo un sentiero si riverberano contemporaneamente su tutti gli altri.

Nel caso della cyber security, è opportuno usare questi otto approcci in modo contestuale. Ma andiamo con ordine.

Il sentiero della retta visione si traduce in un approccio salubre: qualsiasi dispositivo connesso alla rete è potenzialmente esposto a rischi. Niente di più che questo.

La retta intenzione (o retto pensiero), è il sentiero lungo il quale occorre agire sempre con scrupolo: mai evitare di fare le opportune verifiche anche nei momenti di stanchezza, di poca voglia oppure nelle giornate in cui si fa fatica a carburare. Restare vigili e fare gli interessi dell’azienda per la quale si lavora è sempre indice di buona professionalità.

Non di meno, sappiamo che i danni causati da un’incursione del cyber crimine hanno ricadute sull’economia reale, tant’è che alcune imprese sono state costrette a cassintegrare parte del personale per assorbire il colpo.

Il terzo sentiero, quello della retta parola, è da intendere in modo letterale: conoscere i termini della cyber security.

Criminal hacker, phishing, adware, virus, ransomware e tutte le parole che identificano minacce e pericoli. Dare un nome alle cose è il primo requisito per conoscerle. Se non si ha parvenza di cosa sia un virus, è fuori discussione l’ipotesi di potervi stare alla larga.

Anche la retta azione declinata in salsa cyber security è cosa semplice e chiara: verificare i link, non dare per scontato che la persona con cui si sta dialogando (a voce o per via telematica) sia davvero chi dice di essere.

A febbraio del 2024 a Hong Kong, dei cyber criminali, usando tecniche di deepfake, hanno indotto dei dipendenti di un’azienda del luogo a effettuare bonifici per oltre 23 milioni di euro.

Sarebbe stata sufficiente una telefonata di controllo per chiedere ai dirigenti conferma delle transazioni. Questo sarebbe bastato per comprendere che, i manager apparsi in video, erano dei fake riprodotti dai criminali.

La retta sussistenza, detta anche retto sostentamento, è il rispetto delle norme e delle regole. Mai prelevare software crackato e ciò non è utile solo per la tutela del diritto d’autore. Non è del tutto avulso dalla realtà che tali software possono contenere backdoor o comunque minacce che consentono ai criminali di portare a termine i propri intenti.

Il sesto sentiero, chiamato retto sforzo (o vigore) si declina nel non rendere pubblici dati non essenziali, mai scrivere in un’email informazioni sensibili e, anche, limitarsi a comunicare ciò che va detto, senza fronzoli.

La retta consapevolezza è la somma dei sei sentieri precedenti. Per riassumerla in una frase (che non è un precetto buddhista) si può asserire che: “ogni oggetto connesso fa gola ai criminal hacker e la rete è una giungla”.

L’ultimo sentiero, l’ottavo, è la retta concentrazione: mai abbassare la guardia. Una svista, un calo di attenzione o l’assenza del giusto guizzo possono avere conseguenze inimmaginabili.

Il buddhismo SOC per i professionisti della cyber security

Si traduce nella cultura del dubbio. Così come il buddhismo invita a mettere ogni cosa in discussione fino a quando non se n’è fatta un’esperienza diretta, la cyber security deve mettere in dubbio tutto ciò che non ha dimostrato di essere affidabile.

La filosofia Zero Trust non è semplicemente un modo di fare, è un modo di intendere la cyber security. Parallelamente, il controllo degli accessi e la gestione degli accessi non sono orpelli ma elementi cardine.

Non vanno dimenticati gli aggiornamenti dei sistemi hardware e software, così come va data la giusta enfasi alle garanzie offerte dai provider di soluzioni per la cyber security e di servizi cloud, la cui fruizione può necessitare di modifiche al networking aziendale.

Può giovare a qualsiasi organizzazione ispirarsi al modello di cyber security proposto da Microsoft che si erige sulla formazione continua al personale e sulla collaborazione di tutti i ranghi aziendali al fine di proteggere dati e infrastrutture.

Posologia

L’ipotesi che l’azione errata di un singolo apra le porte alle incursioni del cyber crimine è inutilmente allarmistica.

Però è una possibilità concreta e ciò deve essere sempre tenuto a mente. Rimanere vigili e non ossessionati è la via verso la consapevolezza, è quell’ “in medio stat virtus” che è possibile applicare solo avendo un’adeguata consapevolezza delle minacce e degli atteggiamenti digitali da adottare.

Del resto, si rimane vigili senza troppe pressioni quando si guida l’automobile, quando si viaggia sui mezzi pubblici o anche quando si passa qualche ora di relax in spiaggia.

Questi otto sentieri, questi otto elementi, se messi in pratica tutti insieme sono una barriera per ogni cyber criminale. Inoltre, insegna il Buddha, generano anche karma benevolo.