La cybersecurity pensata per le piccole e medie imprese. Per le aziende cioè che sono mediamente poco difese dagli attacchi informatici, e che non hanno a disposizione né competenze né grandi mezzi economici per correre ai ripari o prevenire le minacce. È l’obiettivo del progetto Geiger, promosso dalla Commissione europea all’interno del programma di finanziamento per progetti di ricerca e innovazione Horizon 2020. A idearlo un consorzio di 18 organizzazioni da tutta Europa, tra le quali Kaspersky. A spiegare quale sia il ruolo di Kaspersky all’interno di questa iniziativa è in un’intervista a CorCom Amedeo D’Arcangelo, che all’interno della multinazionale specializzata in cybersecurity è “Enterprise Projects Technical Coordinator” per l’Italia, quindi coordinatore dei progetti in consorzi che vedono come partner grandi imprese, università, scuole e istituzioni pubbliche.
D’Arcangelo, in cosa consiste il progetto Geiger?
Un aspetto fondamentale è legato alla user experience: vogliamo elaborare uno strumento che sarà – e da questo abbiamo tratto ispirazione per il nome – una sorta di contatore Geiger per la cyberscurity. Se l’originale viene utilizzato per rilevare le radiazioni atomiche dove ci sono rischi per la salute delle persone, nel nostro caso si tratterà di uno strumento facile da utilizzare per la previsione, la valutazione e il monitoraggio della cybersecurity, e quindi la riduzione dei rischi per le piccole, medie e micro imprese, anche quelle composte da una sola persona, come potrebbe essere un coiffeur. Vogliamo riuscirci utilizzando strumenti di qualità e un programma educativo. Il risultato finale sarà una sorta di contatore geiger che esprimerà in un valore, un numero o un colore il livello di rischio a cui è esposta un’azienda. Rosso per un pericolo molto alto, arancione per un pericolo moderato e verde per un pericolo basso, se volessimo fare un esempio indicativo. Servirà per valutare in modo dinamico il livello di rischio e capire insieme alle singole imprese quali siano le misure necessarie per difendersi. Il tool potrà essere personalizzato in base al profilo aziendale, consentirà scambi di informazioni tra soggetti diversi, sarà nativamente conforme al Gdpr, strumenti inclusi. Includerà ovviamente la protezione per gli end point, i server, la rete, e guiderà gli utenti nel controllo degli accessi e per le pratiche di backup. Alla parte tecnologica aggiungeremo inoltre un ecosistema educativo, con un programma di formazione che sarà pensato per essere erogato in modo innovativo, anche grazie all’utilizzo della gamification, per adattarsi ai diversi livelli di competenza che incontreremo. Il progetto si svilupperà nella prima fase attraverso tre casi d’uso in Olanda, Svizzera e Romania.
A che punto è il progetto, e qual è la roadmap?
Al momento siamo soltanto agli inizi, abbiamo svolto i primi incontri preliminari, ma dopo una roadmap che durerà due anni e mezzo arriveremo a un prodotto pronto per l’industrializzazione e l’ingresso sul mercato. Siamo partiti da poco più di un mese, il 3 giugno, con l’analisi dei requisiti e con il confronto tra partner tecnici per una prima definizione dei parametri di rischio.
Come nasce l’idea di dedicare la soluzione ai player più piccoli del mercato?
È un po’ una caratteristica comune ai progetti finanziati dal programma Horizon 2020 a cui abbiamo partecipato e stiamo partecipando. Fino a dicembre 2019 abbiamo lavorato a un’iniziativa indirizzata alle piccole amministrazioni locali, oggi siamo impegnati su Geiger e a settembre partiranno altri progetti rivolti ai singoli cittadini e alle aziende di trasporto pubbliche locali: si tratta di Trapeze, un’iniziativa Gdpr oriented che aiuterà i cittadini a capire come vengono utilizzati i dati personali, e CityScape, indirizzato principalmente alle aziende di trasporto pubblico locale, per aiutarle a gestire i problemi legati alla sicurezza informatica.
Quanto è importante sensibilizzare le piccole e medie imprese sui temi della sicurezza informatica? Sono loro oggi l’anello debole della cybersecurity?
L’anello debole in questo campo, non dimentichiamolo, restano i singoli, i cosiddetti “inconsciamente incompetenti”, coloro che si considerano obiettivi troppo piccoli per essere presi di mira dagli hacker. Le Pmi che non hanno grandi risorse vanno sensibilizzate proprio per questo motivo, e se non hanno la possibilità di rivolgersi a un team che possa affiancarle nel gestire i rischi devono essere messe nelle condizioni di affrontare il problema in autonomia.
All’interno di Geiger Kaspersky si occuperà della sicurezza delle applicazioni mobili. In cosa consisterà il vostro ruolo?
Andrà al di là della semplice funzionalità del Kaspersky mobile antivirus, e arriverà all’utilizzo del Kaspersky mobile security software development kit, per proteggere nativamente, “by design”, le app aziendali utilizzate anche dai clienti grazie alle soluzioni di sicurezza messe a disposizione degli sviluppatori. L’obiettivo è di integrare nelle applicazioni dei clienti le funzionalità che forniscono la cybersecurity all’app. Ad esempio, se un’app consente il pagamento, proteggendo la pagina di pagamento siamo in grado di rilevare se ci sono trojan in ascolto pronti a rubare i dati. Questo ha un beneficio a livello economico per l’azienda, ma anche a livello reputazionale, perché se l’utente subisse una frode riverserebbe i propri sentimenti negativi sull’app e sulla società che fornisce il servizio. Ma questo è soltanto un esempio, perché il kit per sviluppatori è in grado di fornire decine di funzionalità, ad esempio per intercettare se la app utilizza o no la crittografia per le proprie comunicazioni, se accede a reti wifi non sicure, se il dispositivo finisce nelle mani di malintenzionati o se sia in grado di abilitare installazioni non sicure. All’interno di questo portfolio il consorzio Geiger deciderà cosa implementare a seconda delle proprie necessità.
In Geiger Kaspersky si occuperà anche degli strumenti di formazione. Che impegno avete messo in campo?
Utilizzeremo la gamification, attraverso meccaniche di gioco che abbiamo già messo a punto ma con una logica completamente innovativa. Una è Kips, Kaspersky interactive protection simulation: è un gioco dedicato a chi di Ict ne sa già qualcosa, di solito utilizzato a livello enterprise da grandi aziende che hanno bisogno di formare i propri team, e in questo caso messo a disposizione anche delle Pmi. Prevede un trainer che conduce il gioco, mentre un gruppo d 3-5 persone dovrà impersonare il team di sicurezza chiamato a prendere decisioni strategiche. Nel corso dell’esperienza incontreranno una serie di minacce, e dovranno decidere quali action card giocare per prevenire i rischi e reagire agli attacchi nel tempo e con le risorse che avranno a disposizione, proprio come succede nella vita reale. Si tratta di un gioco che ha già avuto successo per la formazione all’interno delle pubbliche amministrazioni locali, e che ha lo scopo di massimizzare la cooperazione all’interno del team e di trasmettere l’approccio più adatto quando ci si trova di fronte a una minaccia informatica.
E per chi ha meno consapevolezza di informatica e Ict?
A loro disposizione metteremo i Csmg, “Cyber safety management games”. L’obiettivo in questo caso è aiutare e formare alla sicurezza chi deve lavorare ogni giorno con strumenti informatici e non è consapevole dei rischi a cui si espone con un comportamento incauto. I giocatori in questo caso saranno stimolati a tenere conto della cybersecurity in ogni decisione che normalmente prendono sul lavoro: come si genera una password? Come e quando inserire una chiavetta usb sul device aziendale? In questo caso il trainer conduce il gioco e lavora sulla parte motivazionale, per ribaltare le convinzioni errate e trasformarle in azioni positive, con tanto di esempi sui comportamenti corretti da seguire. L’obiettivo sarà di scommettere su quello che si ritiene sia il comportamento corretto, e alla fine il trainer analizza i risultati e fornisce spiegazioni sugli errori.
Geiger vede il coinvolgimento di 18 organizzazioni. Quanto è importante per Kaspersky questo genere di collaborazioni?
E’ fondamentale perché grazie a queste esperienze possiamo venire direttamente a contatto con casi d’uso che da soli non implementeremmo. Generalmente una piccola app che gestisce un servizio di prenotazione, soltanto per fare un esempio, non può permettersi l’integrazione con le nostre soluzioni di punta. Ma per noi metterle a disposizione attraverso questi progetti di collaborazione vuol dire testare a fondo le nostre soluzioni e capire quanto siano effettivamente flessibili anche per i player più piccoli, un mercato che considerato nel suo insieme è comunque molto importante. Anche nel campo dei giochi, siamo orgogliosi di come li abbiamo progettati e realizzati, ma testarli in un contesto al quale partecipano università e centri di ricerca ci dà la possibilità di migliorarli, di considerarli da punti di vista a cui siamo meno abituati rispetto al mondo della formazione: è un arricchimento reciproco. Nel caso di Geiger ad esempio il mix di partecipanti è eccellente, e comprende anche grandi system integrator, università e scuole di formazione. Ovviamente il nostro impegno in questo campo non si esaurisce con i progetti europei: se questo genere di iniziative dovessero ispirare un consorzio di piccoli player italiani, Kaspersky sarebbe pronta a partecipare, proprio a partire dalla formazione, su cui nel nostro Paese c’è ancora tanto da lavorare.