Stringere il cerchio, anzi il mirino, sulla cybersecurity. Individuando le priorità d’azione in grado di tutelare in primis le infrastrutture critiche, ma non solo. La pervasività del digitale non consente più di definire rigidi confini e quando si parla di sicurezza, di cybersicurezza l’“ombrello” si fa ampio. In ballo ci sono milioni di dati quelli “sensibili” ma anche quelli che passano attraverso gli smartphone e presto si aggiungeranno quelli degli oggetti connessi grazie all’avvento della sensoristica avanzata figlia dell’Internet of things. Questo il tema a cui il Quadrato della Radio ha dedicato la convention 2018 andata in scena a Cividale del Friuli, in provincia di Udine, sponsorizzata da Eurotech e Calzavara.
“Il lato oscuro della rivoluzione digitale: la cybersecurity”, il titolo dell’evento – organizzato anche con il supporto della Banca popolare di Cividale del Friuli – che ha visto a confronto rappresentanti delle istituzioni e delle aziende ma anche docenti universitari ed esperti. Ecco cosa è venuto fuori
Tramite i dati si stanno generando fortissimi monopoli
Stefano Pileri, presidente del Quadrato della Radio e Ad di Italtel
Non fronteggiare il tema della cybersecurity significa inibire l’evoluzione verso il digitale di tutti i settori dell’economia mondiale, e mettere il freno alla trasformazione digitale che rappresenta la strada verso la competitività. Tramite i dati si stanno generando fortissimi monopoli e bisogna fare attenzione a ciò che sta accadendo e tutelare al meglio le informazioni. Peraltro di cybersecurity si parla da anni e ci sono metodologie molto precise che consentono di mitigare le criticità.
Un’Authority Nis per un lavoro sinergico
Rita Forsi, direttore Iscom
Big data e nuove tecnologie abilitanti ci vengono in aiuto anche per analizzare panorami complessi, quindi questa probabilmente sarà la strada per la messa in sicurezza dei dati. Fra qualche giorno arriverà in Gazzetta ufficiale la Direttiva Nis. Ora però c’è bisogno di un’autorità Nis, non si può lasciare l’azione ai singoli ma bisogna garantire effettivo adeguamento fisico e logico e crescita della consapevolezza. La Direttiva Nis vuole proprio l’innalzamento comune. A livello europeo siamo fra i primi stati membri ad approvare la direttiva, in ritardo notevole ma poi colmato con una volata finale. I Cert faranno ora un percorso comune e si unificheranno per garantire un risultato sempre più sinergico ed effettivo e misure per Agid e per le PA che potranno poi costituire la base per gli altri. Nel Dcmp Gentiloni è previsto poi a carico del Mise la creazione di un centro di valutazione e certificazione nazionale cioè si è deciso di proteggere di più e meglio le nostre infrastrutture critiche strategiche. Si tratta quindi di costruire un altro schema nazionale, individuando standard specifici. Le attività ci sono, ma la consapevolezza deve crescere. E riguardo al problema pmi è bene dire che esiste in Italia ma anche in altri paesi. Insomma c’è grande lavoro da fare per tutti. E bisogna credere nel fatto che con la ricerca e tanta formazione si riesca a domare una “bestia” che ha molte teste e molta vitalità.
Non solo Gdpr, l’Italia si prepari a un nuovo 25 maggio
Cosimo Comella, direttore del dipartimento tecnologie digitali e sicurezza informatica del Garante della Privacy
Siamo reduci dalla notte bianca del Gdpr e abbiamo accompagnato la compliance con una serie di iniziative. Inizia dunque una nuova era per la protezione dati. Ma in Italia ci sarà un altro 25 maggio quando sarà approvato definitivamente il regolamento europeo sulla privacy. Si cita sempre l’Estonia quando si pensa alle eccellenze, ma è un Paese con una popolazione nazionale di poco più di 1,4 milioni di abitanti dunque è un confronto che non sta in piedi. E peraltro la società tecnologica per eccellenza è andata essa stessqa incontro a catastrofi tecnologiche, originate da problemi di sicurezza. La posta in gioco è elevata altrimenti non si spiegherebbe la necessità di risorse computazionali.
Nelle aziende la security deve essere by design
Rocco Mammoliti, responsabile della funzione Sicurezza delle Informazioni di Poste Italiane
All’interno di un ecosistema complesso come quello di Poste la sicurezza è una questione pervasiva e spesso dipende dal livello di sicurezza dei dispositivi anche del cliente finale. Non è facilissimo avere tutto sotto controllo. Il tema dell’impatto della trasformazione digitale per un soggetto come Poste che storicamente ha nell’ufficio postale il suo valore, si sta sempre più trasformando in componenti di servizio che vengono erogati online e via rete. Questo implica che oltre a esserci grandi opportunità di business bisogna ragionare in ottica di security by design altrimenti si mina tutta la catena a valle. Il cambio culturale determinato in particolare dall’uso estensivo del mobile implica un’attenzione molto forte alla sicurezza. I vertici aziendali sono ormai consapevoli della tematica security e la considerano strategica, mentre fino a qualche anno fa era difficile persino farsi approvare un budget. Quindi la questione non è stabilire un budget di investimento annuale per rispondere alla minaccia x o y ma istituire un piano permanente. E per fare ciò bisogna lavorare sui processi e servono presidi operativi di personale adeguato. La cybersecurity poi è una grande opportunità di business considerato che c’è bisogno di competenze adeguate e che si apre la possibilità di un mercato locale.
Con il cybersocial engineering i software si spacceranno per persone reali
Davide Gallino, head of unit digital infrastructure and services development internet governance di Agcom
Sono gli Stati che devono tutelare la sicurezza delle imprese e dei cittadini. Se non c’è coerenza di sistema tutto il sistema di vigilanza è indebolito. Nel diritto d’autore ad esempio i file piratati servono poi per ingenerare reati. Nella cybersecurity molte operazioni sono di contesto, bisogna definire cos’è un’azione criminale e agire di conseguenza. La PA ha problemi di risorse ma anche di personale. Il social engineering diventerà cybersocial engineering, avremo persone che saranno raggiunte da software che fingeranno di essere umani per acquisire dati a scopo criminale.
Ma il principio “follow the money” non basta, bisogna ragionare anche in ottica “follow the data”. Sono i dati che interessano non tanto la disruption del servizio. Come Agcom vorremmo spiegare come funzionano gli algoritmi facendo un lavoro divulgativo. “L’algoritmo è un incantesimo che attraverso un testo scritto fa accadere delle cose”, è una definizione che ben incarna la percezione dell’utente medio. Quindi il compito dell’Autorità può essere di creare più trasparenza sugli algoritmi.
I big data bisogna saperli maneggiare
Sandro Dionisi, Head of security- Ict Risk Management di Tim
La necessità di proteggere le comunicazioni viene da lontano. La strategia della cybersecurity fonda su tre pilastri: garantire la riservatezza, l’integrità e la disponibilità del dato. Poi si aggiungono l’autenticità e l’autorizzazione. Internet ha sconvolto il paradigma Tlc aprendo i sistemi all’esterno. Le debolezze insite in sistemi vecchi si sono dunque svelate e ciò ha contribuito ad aumentare i rischi per la sicurezza dei sistemi stessi. Le tlc forniscono comunicazioni anche ad infrastrutture molto critiche. Per la sicurezza delle infrastrutture occorre tenere conto di tre diversi contesti: IT, network, devices. Bisogna partire dall’assunto che la rete Ip è per sua natura aperta e che deve essere assicurata la neutralità del trasporto dei dati e la privacy delle informazioni. La cybersecurity include ruoli e responsabilità, approcci, metodologie e tecnologie. Bisogna assicurare l’integrità e la difesa dalle minacce interne ed esterne con un approccio olistico che miri a un livello di rischio ritenuto accettabile. I big data bisogna saperli maneggiare.
La Rai fa gola ai cyberterroristi. E in ballo c’è anche la profilazione degli utenti
Stefano Ciccotti, Cto Rai
Da una Rai che gestiva 3 canali generalisti e dava informazioni “da uno a molti” si è passati nel 2012 a una produzione di contenuti dalle caratteristiche significative grazie alle maggiori disponibilità di spazi in termini di capacità trasmissiva offerta dal digitale terrestre. Per poi arrivare ad aprirsi oltre la tv con una presenza su Internet che comincia ad essere significativa. Il nostro ecosistema è drammaticamente cambiato con l’avvento degli OTT che si stanno posizionando e ibridando velocemente e generando un flusso di informazioni bidirezionali nei confronti dei clienti/abbonati. Ci si muove molto sulle piattaforme social per riagganciare persone giovani, le piattaforme tv si specializzano e si modificano nel tempo. L’evoluzione del mercato ha determinato una trasformazione della Rai in media company. La tutela del servizio pubblico dal punto di vista cyber non va sottovalutata. Siamo un’ottima platea per il cyberterrorismo non perché abbiamo dati preziosi ma per la visibilità che otterrebbero i cybercriminali nell’utilizzare le nostre piattaforme. Poi si potrebbero rubare dati significati di profilazione dei nostri utenti anche in maniera anonima. E si possono attaccare le nostre nuove piattaforme. Last but not least bisogna considerare anche la questione device: chi può accedere ai nostri sistemi?
Nel paradigma cloud la security by default
Feliciano Intini, Technology specialist cybersecurity di Microsoft
“Security by default” è già da tempo la linea Microsoft: ha pervaso l’evoluzione tecnologica dei prodotti e anche delle soluzioni cloud. L’impegno aziendale anche di proporsi come vendor di sicurezza attraverso una serie di acquisizioni, sebbene abbia subito delle oscillazioni nel tempo registra ora un’impennata della curva in alto grazie al paradigma cloud.
Prima o poi l’intelligenza sarà incorporata nel dato
Enrico Del re, Professore di Telecomunicazioni all’Università di Firenze
È necessario un modello information-centric security con la protezione interna dei dati. Incorporare l’intelligenza nel dato per consentire l’autodifesa nel contesto applicativo e la decisione autonoma, di volta in volta, e nel momento dell’accesso nel dare il consenso solo se coerente con la politica d’uso del dato stesso. È utopia? I microprocessori devono essere ripensati in modo che siano costretti a leggere la politica d’uso del dato. Il combinato fra il microprocessore e il dato può consentire questo. Intel, Amd e Amr stanno lavorando a processori di questo tipo.
Bisogna individuare il personale qualificato
Vittorio Trecordi, Ict Consulting Politecnico Milano
Bisogna introdurre modalità accattivanti per selezionare il personale qualificato: ci saranno 3,5 milioni di cybersecurity job openings secondo Cybersecurity Ventures. In Italia sono in aumento gli specialisti anti-hacker, e sono in crescita imprese e addetti stando alle rilevazioni di Unioncamere. La maggior parte degli addetti si concentrano in Veneto, Lombardia e Lazio; in quest’ultima regione si registra il fatturato più elevato d’Italia. Ma ci vuole una certa sensibilità a monitorare l’industria. Ci sono grandi gruppi e società specializzate che mettono a disposizione “taglie” per individuare problemi e vulnerabilità in determinati ambiti. La francese Zerodium ha un listino di prezzi per vulnerabilità di diversi prodotti, dunque ci sono soggetti che si cimentano in sfide attraverso l’individuazione di problemi, e che non possono essere considerati hacker malevoli. Importante poi il tema della security by design anche se stiamo andando verso la softwarizzazione totale. Quindi il tema vero è quello della gestione del ciclo di vita del software. Oggi si lavora a zero trust: il modello zero trust security assume che esistano per definizione attori non fidati all’interno e all’esterno dell’organizzazione. Insomma la cybersecurity non è più un elemento folkloristico: serve presidio delle piattaforme. Vertici aziendali e politici sono sensibilizzati ma bisogna lavorare sul fattore umano per diffondere il livello minimo che serve per irrobustire l’anello più debole.
Formiamo 8.000 ragazzi italiani l’anno sulla cybersecurity. E ora guardiamo anche alle startup
Agostino Santoni Ad di Cisco
Abbiamo l’ambizione di rivoluzionare il mondo delle reti. Ciò sta cambiando il modo di fare ricerca e sviluppo in Cisco. Quando si è diffuso Wannacry le aziende che avevano soluzioni Cisco non sono state attaccate, a dimostrazione che esistono soluzioni più sicure di altre. Al momento stiamo collaborando con Enel per le smart grid: se le cabine primarie e secondarie sono connesse a internet è evidente che scatta un tema di security. Abbiamo già fatto un progetto con Snam e stiamo lavorando con Eni, A2A e stiamo verificando con Acea come gestire la sicurezza dell’acqua. Altro contributo è il dialogo con i Cert della pubblica amministrazione (Mise) e delle banche. L’impegno di Cisco è molto forte anche nella formazione: siamo in grado di formare 7-8.000 ragazzi l’anno sulla cybersecurity. E stiamo guardando a una serie di startup sul mercato italiano, forse anche per acquisirle.
Per arginare il cyberspionaggio serve una strategia-Paese
Giorgio Mosca, direttore competitive analysis, strategy & Technology della divisione Security & information Systems di Leonardo
Il problema non è cyber ma cyberfisico. La vera sfida sarà quella di arginare il cyberspionaggio. I policy maker stanno cominciando a fare attenzione ma il maggior problema è riunire intorno a un tavolo i decisori politici e prendere una direzione tutti insieme. Nel momento in cui il digitale è pervasivo su tutto dobbiamo considerare anche spazi importanti di business: ci sono “giganti”, ma anche piccole aziende e meno piccole specializzate e tutti i soggetti sono necessari.