L’elevata crescita delle problematiche legate alla sicurezza delle reti informatiche aziendali, unita alle evidenti difficoltà nel fronteggiare tali minacce, portano ad un costante sviluppo in tutti i settori inerenti all’IT ed alla Cyber Security: Cyber Intelligence, Cyber Security Operations, Identity Management, IT Security Engineering, Vulnerability Assessment, Penetration testing. Le preoccupazioni suscitate dalle crescenti minacce informatiche stanno infatti portando le organizzazioni pubbliche e private ad implementare unità altamente specializzate nella guerra cibernetica. Le reti informatiche continuano ad essere messe sotto attacco da parte di utenti malintenzionati ed exploit ben sviluppati e le organizzazioni necessitano sempre più di proteggere le infrastrutture connesse alla rete.
La rapida evoluzione delle tecnologie ha avuto un profondo impatto sulla nostra società e sulle nostre vite. La presenza di reti wireless a cui si può accedere praticamente ovunque ha incoraggiato la diffusione capillare di dispositivi in grado di connettersi alla rete: dai tablet ai cellulari fino ai più recenti wearable devices, oggetti tradizionali come l’orologio o gli occhiali che possono connettersi al web.
Ma collegarsi alla rete, oltre a permettere l’accesso a una mole enorme di informazioni e possibilità rende anche i nostri dispositivi potenzialmente vulnerabili, con tutto quello che contengono, dai dati personali, ai profili sui social network, fino agli accessi ai servizi di online banking. Questo accade sia per i singoli che per le grandi realtà aziendali, come le banche, le società energetiche o gli ospedali, che usano la rete per scambiare informazioni, organizzare la fornitura dei servizi, coordinare le attività.
In altre parole l’accesso a internet ci apre al mondo, ma rende le persone, le aziende e le istituzioni potenzialmente esposte a rischi di truffa, furto di informazioni o sabotaggio. Il pericolo non va sottovalutato. La vulnerabilità dei sistemi informatici consente di accedere in pochi secondi a segreti industriali, brevetti e innovazioni che hanno richiesto anni di ricerca. Il crimine informatico può decretare il fallimento di aziende e quindi danni economici enormi. Per le imprese, che puntano sull’innovazione come elemento di sviluppo, il danno potenziale può essere enorme. Non sono a rischio solo le persone e le aziende, anche la sicurezza nazionale può potenzialmente essere messa in pericolo. Si pensi alle conseguenze che potrebbero derivare dall’alterazione dei sistemi che regolano il trasporto, le reti energetiche o i sistemi di comando e controllo militari.
Una simulazione recente ha stimato che, in caso di attacco alla rete elettrica, un black-out energetico che duri qualche settimana, determinerebbe un collasso totale producendo danni inimmaginabili. Non si tratta di un futuro remoto o di uno scenario da saga fantascientifica. Il cyber crimine è già oggi una realtà e cresce nel mondo a ritmo sostenuto. A essere prese di mira dai criminali informatici sono sempre più spesso le infrastrutture critiche, come ad esempio le reti di distribuzione dell’energia e quelle di telecomunicazione. In sintesi, tutti noi siamo esposti al rischio di intrusioni, che possono avere effetti devastanti sulla vita personale, sulla vita economica dell’intero paese. Si tratta quindi di pericoli reali che non possono più essere sottovalutati. Sviluppare nuove capacità e nuovi strumenti per migliorare la sicurezza cyber rappresenta quindi una sfida di grande importanza per la crescita, il benessere e la sicurezza dei cittadini, che non può più essere rimandata.
Hanno partecipato all’incontro:
Carlo Del Bo
Executive Security Advisor di STE SpA Roma
Roberto Lipari
Managing Director di BFK HR Consulting SA
Massimo Vanotti
Avvocato Studio legale Baer & Karrer
Guido Travaini
Professore in Criminologia presso Università Vita-Salute San Raffaele Milano
Lorenza Bernasconi Moser
Direzione Gruppo Sicurezza SA
Angelo Consoli
Responsabile Laboratorio Sicurezza della SUPSI
Eduardo Grottanelli de’Santi
responsabile editoriale di Ticino Welcome.
L’incontro si è tenuto giovedì 20 ottobre 2016 presso il Teatro per Eventi Metamorphosis – Palazzo Mantegazza – Lugano-Paradiso
Il tema della Cyber Security è diventato un protagonista chiave sulla scena politico-economica. Ma perché è così importante e a cosa serve?
Lorenza Bernasconi Moser:
«Come è noto la Cyber Security costituisce la più recente evoluzione della sicurezza intesa in senso tradizionale e definisce il processo che consente la protezione delle informazioni attraverso attività di prevenzione, rilevazione e risposta ad attacchi provenienti dal ‘Cyberspazio’. Dunque, non solo protezione delle informazioni aziendali, ma anche tutto ciò che, attraverso l’utilizzo delle tecnologie ICT, può essere esposto a rischi; ad esempio, la reputazione aziendale legata alla comunicazione tramite i canali dei social network rappresenta un contesto molto sensibile. La Cyber Security è un processo e non una soluzione tecnologica. I frame work di Cyber Security, ovvero i modelli che guidano le aziende nella gestione del rischio informativo, sono un insieme di attività, ruoli e responsabilità, approcci e metodologie, e tecnologie, che supportano ogni organizzazione a definire, implementare e migliorare costantemente la strategia di protezione adeguata. Bisogna tener conto del fatto che si lavora in un mondo, quello virtuale, che per sua natura non ha confini, è quindi particolarmente difficile localizzare e sventare la provenienza degli attacchi. In ogni caso, in un numero assai rilevante di casi sono le e-mail le chiavi di accesso degli attacchi. Alla base di tutto ci sono quindi l’educazione e la consapevolezza della necessità di fare prevenzione».
Carlo Del Bo:
«Bisogna partire da un fatto inequivocabile: dal momento in cui una persona scrive qualcosa su un social o parla al telefono, la notizia non è più privata ma diventa di dominio pubblico. Sul pianeta siamo già 7 miliardi, nel 2019 saranno 25 miliardi i devices e 5 miliardi le macchine che trasmetteranno dati senza interruzione e senza intervento umano. Dunque, è facile comprendere quanti siano gli attacchi che possiamo subire ogni giorno. Paradossalmente, per non correre rischi bisognerebbe rinunciare completamente a comunicare, ma questo è chiaramente impossibile. Occorre allora concentrarsi soprattutto sull’elemento umano perché è proprio nei suoi comportamenti che si annidano le falle che possono aprire la strada ad attacchi informatici».
Massimo Vanotti:
«Parlando di violazione della sicurezza informatica ci riferiamo molto spesso alle aziende o alle organizzazioni. Ma il problema si pone anche per i singoli individui. Quella che con un termine ormai entrato nell’uso comune è indicata come privacy è il diritto alla riservatezza delle informazioni personali e della propria vita privata, cioè uno strumento posto a salvaguardia e a tutela della sfera privata del singolo individuo, da intendere come la facoltà di impedire che le informazioni riguardanti tale sfera personale siano divulgate in assenza dell’autorizzazione dell’interessato, o anche il diritto alla non intromissione nella sfera privata da parte di terzi. Tale diritto assicura all’individuo il controllo su tutte le informazioni e i dati riguardanti la sua vita privata, fornendogli nel contempo gli strumenti per la tutela di queste informazioni. Pensiamo solo alle conseguenze che la violazione di tale diritto può avere nei confronti delle persone, in particolare dei giovani che tendono a sottovalutare il problema, con tutte le conseguenze anche drammatiche che ne possono derivare, come la cronaca ci insegna tutti i giorni».
Guido Travaini:
«Bisogna considerare che i crimini informatici sono sostanzialmente dei crimini vecchi con dei vestiti nuovi. Il furto, ad esempio, è lo stesso da secoli ma i ladri oggi utilizzano anche le tecnologia. Questo vuol dire che da se da un lato abbiamo un criminale dall’altro possiamo trovare un qualcuno che può rendere più facile il compiere il crimine magari perché la vittima a non si tutela e non si protegge.Questo è molto evidente per i crimini informatici anche a causa della poca conoscenza del fenomeno da parte di molte persone. Si pensi, ad esempio, al rischio di divulgare con i telefonini informazioni o immagini. È impressionante la mole di fotografie anche intime che le persone sovente anche i minorenni si trasferiscono sui social e chat.
Lo scambio può apparire intimo e innocuo. Ma se qualcuno dovesse avere illegalmente accesso a tali immagini e iniziasse a conservarle? Non è difficile immaginare un uso criminale di tale archivio. Spesso immaginiamo l’attacco informatico come proveniente dall’esterno, ma, a rifletterci bene, le maggiori minacce arrivano proprie dai nostri comportamenti che creano opportunità criminali per gli altri. Questo vale non solo per le persone ma anche per le aziende».
Roberto Lipari:
«La digitalizzazione dei processi e delle attività sempre più pervasiva, anche per il ricorso a canali e approcci innovativi offerti dalla tecnologia (mobile, cloud, ecc.) e la creazione di patrimoni informativi sempre più ampi da cui estrarre valore (big data e data analytics) stanno contribuendo alla rilevanza delle tematiche di Cyber Security. L’attualità riporta l’aumento delle minacce di sicurezza in termini sia numerici, sia di differenziazione delle tipologie di ‘attaccanti’ e delle modalità di attacco. Se fino alla metà del precedente decennio gli attacchi informatici erano principalmente imputabili ad individui ostili operanti in autonomia (o limitatamente organizzati) e, nella maggior parte dei casi, con competenze limitate, nell’ultimo decennio è stato rilevato un numero sempre più elevato di attacchi provenienti da vere e proprie organizzazioni strutturate, di natura criminale o di natura governativa ostile, in grado di fare leva su grandi risorse economiche e tecnologiche. Sono convinto che ormai le aziende non devono chiedersi se saranno o meno obiettivo di un attacco informatico, ma quando e attraverso quali modalità. La domanda più corretta che ogni azienda dovrebbe porsi è come rispondere a questo tipo di eventi. Pertanto assume grande rilievo la capacità di comprendere e valutare tutti i possibili impatti legati ad un attacco, in modo da adottare efficaci soluzioni di contrasto e di ripristino della normale operatività».
Il quadro che avete delineato risulta essere sicuramente molto preoccupante. Volendo pensare in positivo quali sono le misure che possono essere prese per contrastare i fenomeni delineati?
Lorenza Bernasconi Moser:
«Se si considera che ogni giorno sono perpetrati nel mondo circa 117.000 tentativi di violazione della sicurezza informatica abbiamo l’immediata percezione dell’ampiezza del fenomeno. L’anello più debole della catena della sicurezza informatica, troppo spesso trascurato da chi si concentra sugli aspetti tecnologici, è l’elemento umano, che ormai sta assumendo il ruolo di vettore inconsapevole degli attacchi oltre che di bersaglio. Molti attacchi informatici utilizzano infatti tecniche di social engineering. Varie sono tipologie di un attacco: l’aggressore può carpire le informazioni con il minimo contatto con il bersaglio, oppure stabilire un legame con la vittima e nutrirsi delle informazioni per un lungo periodo. Per contrastare meglio il problema, dobbiamo comprendere la natura degli attacchi d’ingegneria sociale. Ciò significa definire un profilo dei possibili attori, conoscere i loro metodi di attacco e le loro risorse e applicare i relativi controlli per ridurre il rischio di successo di un attacco adottando un approccio basato appunto su persone, processi e tecnologie. Il problema che dunque si pone alla base di ogni possibile difesa contro gli attacchi informatici è la formazione dell’elemento umano».
Roberto Lipari:
«Purtroppo molte aziende sono convinte del fatto che sia sufficiente avere un antivirus per essere totalmente protetti da attacchi informatici. Così pensando, non ci si rende conto dei rischi che si corrono attraverso l’uso di cellulari, personal computer e altre apparecchiature informatiche che mettono continuamente in contatto l’azienda con il mondo esterno. In molti casi il personale, e non solo quello addetto alla sicurezza ma ogni risorsa umana occupata, diventa un “operatore inconsapevole” che con i suoi comportamenti rischia di apportare gravi danni all’azienda».
Carlo Del Bo:
«Nel corso della mia attività professionale ho avuto modo di occuparmi di problemi di sicurezza per conto di aziende operanti in ambiti diversi. Ebbene, devo dire che mentre alcuni settori hanno maturato una buona consapevolezza relativa alla sicurezza informatica, altri sono ancora all’anno zero e i propri sistemi presentano ampie falle che li espongono continuamente al rischi d ogni genere di violazioni e attacchi. Un aspetto che non è preso abbastanza in considerazione riguarda per esempio la vulnerabilità dei consulenti esterni e di altre figure professionali che interagiscono con l’azienda e che magari custodiscono sul proprio computer dati sensibili di grande importanza. Così, un’azienda che magari appare superprotetta in Europa subisce un attacco dal Giappone portato attraverso un’intrusione nel computer di un suo consulente che si trova in giro per il mondo.
Massimo Vanotti:
«Per uno studio di avvocatura come il nostro il problema della tutela dei dati acquisiti dai nostri clienti riveste un’importanza cruciale. Le società detengono una quantità enorme di informazioni riservate e sensibili e gli studi legali sono in prima linea, poiché particolarmente esposti alle minacce e ai “furti” in materia di sicurezza informatica. Sempre più spesso gli hacker prendono di mira società del nostro settore, al fine di attingere alla miniera d’oro di dati e informazioni in possesso. Gli hacker non colpiscono esclusivamente i colossi globali – le istituzioni finanziarie di tutto il mondo, le multinazionali dell’energia o le aziende farmaceutiche. La realtà è che più si è piccoli, più si è vulnerabili (agli occhi dei cyber criminali), in quanto meno preparati e con minori difese».
Guido Travaini:
«Se è vero che il mondo del crimine guarda con sempre maggiore interesse alla rete per compiere azioni delittuose non è che manchino le possibilità di intraprendere valide azioni di contrasto. Si pensi al commercio illegale di farmaci. Secondo le ricerche più recenti ha raggiunto un fatturato globale di 75 miliardi di dollari. In Europa questo mercato illegale è cresciuto moltissimo nell’ultimo decennio e si stima valga 10.5 miliardi di euro di fatturato. Tutto questo ha conseguenze non solo economiche ma anche sanitarie. Il rischio è di curarsi con finti farmaci che non hanno alcuna capacità di cura. Per difenderci dai criminali e per diffondere conoscenza e buone pratiche tra i cittadini si è appena concluso dopo tre anni di lavoro interdisciplinare che ha coinvolto criminologi, sociologi, giuristi, informatici il progetto europeo FakeCare guidato da Ecrime dell’Università di Trento. Un progetto di ricerca che ha vinto premi in Europa ed è considerato di fondamentale importanza nella lotta alla contraffazione farmaceutica on line.».
Angelo Consoli:
«La sicurezza dei nostri dati in rete e la lotta alla cyber criminalità sono due facce opposte dello stesso problema: garantire l’uso di Internet e delle tecnologie digitali senza abusi o soprusi, né da parte dei criminali informatici né da parte delle autorità di controllo. La SUPSI si sta muovendo da anni su queste tematiche con corsi e master che prevedono vari livelli di apprendimento. L’anno scorso abbiamo vinto un progetto europeo dedicato proprio al social engineering e al ruolo dell’elemento umano come soggetto attivo e passivo della sicurezza. Il 97% degli attacchi informatici ha infatti almeno un fattore legato all’uomo e ai suoi comportamenti.
Come sta cambiano a livello europeo la legislazione in materia di sicurezza informatica?
Massimo Vanotti:
«L’aspetto più interessante non riguarda tanto la repressione dei reati, che com’è stato detto all’inizio sono più o meno sempre gli stessi ma perpetrati con mezzi diversi, quanto piuttosto quello procedurale di assistenza e cooperazione internazionale. Un’altra tematica riguarda poi gli obblighi di comunicazione che spettano all’azienda che sia stata oggetto di un attacco».