“Molte aziende ancora non capiscono che rispettare i requisiti di sicurezza rappresenti un valore aggiuntivo per far sì che il proprio business sia più competitivo sul mercato di riferimento”. Lo dice in un’intervista a CorCom Michele Onorato, security office manager di Hitachi Systems Cbt, il system integrator italiano del gruppo Hitachi, intervenendo sul dibattito aperto dal mese europeo della sicurezza informatica.
Onorato, Qual è il polso della situazione in Italia, dal punto di vista della PA e da quello delle imprese? Quanto è stato fatto e quanto c’è ancora da fare?
Il tema della sicurezza informatica è sempre molto delicato: nell’ultimo periodo, grazie anche all’entrata in vigore del Gdpr, sono stati fatti importanti passi avanti. Tuttavia il decreto di maggio è legato solo al trattamento dei dati personali gestiti dalle aziende e lascia scoperti numerosi altri aspetti legati alla sicurezza informatica. Ciò che differenzia le PA dalle imprese è che le prime hanno un organo superiore – AgID – che ha pubblicato delle linee guida con i requisiti di sicurezza a cui esse devono obbligatoriamente attenersi, le seconde invece hanno carta bianca, ad eccezione di quanto previsto dal Gdpr e dalle normative di settore. Anche da questo è facile notare come manchi una cultura sul tema. Sicuramente nel prossimo futuro ci sarà molto da fare non solo perché gli attacchi hacker sono in forte aumento, ma soprattutto perché l’Owasp – Open Web Application Security Project – ha appurato che la top 10 delle vulnerabilità maggiormente sfruttate nel 2017 siano sostanzialmente le stesse del 2013: questo vuol dire che stiamo agevolando gli hacker, invece di ostacolarli”.
Quali sono le priorità secondo cui dovrebbero muoversi le realtà che oggi hanno bisogno di rimanere al passo con i tempi e non correre rischi?
Innanzitutto le aziende dovrebbero ragionare in maniera integrata tra chi fa il business, chi si occupa della parte infrastrutturale e chi di quella gestionale. Questo perché troppo spesso le misure di sicurezza studiate da una sola business unit, che per sua natura non ha il quadro aziendale completo, si dimostrano lacunose, rivelandosi troppo leggere o troppo pesanti. Al contrario, un sistema di gestione dei rischi studiato complessivamente fa sì che se l’azienda evolve, anche il sistema si aggiorni, monitorandola e proteggendola senza lasciare gap. In secondo luogo dobbiamo considerare il fatto che sia cambiato il modo di lavorare: smart working, utenti mobili che lavorando da aeroporti o punti internet o con smartphone anche privati dai quali accedono a dati aziendali complicano notevolmente il quadro. Bisogna quindi conoscere e avere una salda consapevolezza degli asset, del loro valore, e stabilire di conseguenza le misure di sicurezza più adeguate.
Nel campo delle tecnologie per la sicurezza informatica si parla sempre più di intelligenza artificiale e machine learning. Sono davvero una difesa efficace contro gli attacchi sempre più sofisticati del cybercrime?
Diciamo di sì, ma non bisogna dimenticare il fatto che oggi il cybercrime sia diventato un’industria, con un conseguente amento del numero di attacchi e delle modalità con cui si presentano. È’ quindi importante che si sfruttino l’intelligenza artificiale e il machine learning in modo mirato, con l’obiettivo di mettere a punto strumenti automatizzati che possano analizzare e verificare quel flusso di dati imponente e sempre in aumento che si sta creando e che l’uomo, da solo, non riuscirebbe a gestire.
Al di là dell’aspetto tecnologico, però, rimane il fattore umano. Spesso attacchi semplici e datati riescono a fare breccia a causa dell’impreparazione del personale aziendale e degli utenti. Cosa si può fare per aumentare l’awareness?
Noi di Hitachi Systems CBT puntiamo molto sul fattore umano: quotidianamente ascoltiamo notizie di data e security breach in società che dovrebbero essere all’avanguardia in questo settore, salvo poi scoprire che il 15% di loro negli ultimi due anni ha subito incidenti riconducibili a una debolezza nelle proprie applicazioni. Lo stesso Wannacry sarebbe stato evitabile se fossero state implementate dalle aziende quelle patch già da tempo disponibili.
Ciò che manca è una corretta expertise su come prevenire, individuare e agire in modo efficace e tempestivo contro gli attacchi hacker. Abbiamo quindi ideato un programma di security awareness per far sì che le persone acquistino consapevolezza sui loro comportamenti in rete: oltre alla parte teorica, abbiamo pensato a una parte più “pratica”, studiando giochi di ruolo o interattivi che facciano provare agli utenti un’esperienza specifica in modo diretto, così che possano più facilmente applicarla anche all’interno dell’ambiente di lavoro.
Oltre alla formazione degli utenti, un altro tema di attualità è quello della formazione degli esperti. Quanto si sente la mancanza di skill adeguate nella cybersecurity?
La mancanza di skill è un altro tema di fondamentale importanza, che sta molto a cuore a Hitachi Systems CBT: all’interno delle aziende ancora non esistono – o sono molto rari – esperti che sappiano prevenire, individuare e agire in modo efficace e tempestivo contro gli attacchi mirati. Per questo motivo stiamo partecipando a master post-universitari dedicati alla cybersecurity e studiati per preparare figure professionali competenti alle quali affidare una business unit preposta alla gestione del cybercrime.
È’ un primo passo per sopperire a questa mancanza, ma le aziende dovrebbero capire quanto sia fondamentale investire in questo tipo di docenze e dotarsi di professionisti in cybersecurity.