Itasec 2017 (Venezia 17-20 gennaio 2017), promossa dall’Università di Ca’ Foscari e dal Cini sarà un momento di riflessione, per fare il punto sulla sicurezza cyber nel nostro Paese, ma sarà anche un forum di proposta. Verrà valutata la condizione del sistema Italia di fronte alle nuove dimensioni del rischio cyber e verranno indicate iniziative per adeguare il sistema alle sfide che si affacciano nel mondo globale della sicurezza. Il programma della Conferenza è già sul sito: ita-sec2017.dais.unive.it. Abbiamo posto alcune domande a due dei principali promotori della Conferenza, il prof. Riccardo Focardi di Ca’ Foscari e il prof. Roberto Baldoni del Cini e dell’Università La Sapienza di Roma.
ITASEC 2017 potrebbe contribuire al rafforzamento della collaborazione pubblico privato?
Riccardo Focardi: Il rapporto sinergico tra pubblico e privato è uno dei principali scopi di Itasec 2017. La Conferenza nasce come luogo di incontro della community nazionale: da subito abbiamo posto l’attenzione sia alla parte accademica, sia a quella governativa, sia a quella industriale. Nelle sezioni tecniche ci saranno le tre componenti. Le tre track, la principale dedicata a Science & Technology, quella dedicata al tema Promuovere la sicurezza tramite l’Intelligence sul web, e infine quella dedicata alle Dimostrazioni e ai Poster, sono interdisciplinari. Ci sarà l’opportunità di un dibattito aperto al pubblico nello speciale Spazio Stakeholder, che si terrà in Aula Magna di Ca’ Foscari a San Giobbe, dove sarà possibile incontrare gli sponsor. Inoltre hanno assicurato la loro presenza il ministro Marco Minniti e il viceministro del governo Renzi Pierpaolo Baretta.
Ha avuto un eccellente riscontro la sezione dei contributi tecnici, con quasi 100 paper sottoposti che diventeranno parte degli atti della Conferenza, in una repository open access. E’ un buon inizio per questa prima Conferenza: stiamo già lavorando sul tema della prossima, dove coinvolgeremo ancor di più gli studenti e i giovani. Il rischio cyber evolve rapidamente ponendo nuove sfide. E’ del febbraio di quest’anno il tentativo di sottrarre 951 milioni di dollari della Banca del Bangladesh dalla Federal Reserve Bank di New York. Quest’ultima è riuscita a bloccare transazioni per 850 milioni, mentre altri 38 milioni sono stati recuperati in seguito, limitando così la perdita finale a 62 milioni di dollari. Di recente l’utilizzo massivo dell’accesso tramite IOT, in questo caso i sistemi di gestione e controllo di videocamere, ha consentito di sferrare un attacco intimidatorio contro Brian Krebs, giornalista ed esperto, le cui inchieste avevano svelato importanti attività criminali in rete. Le dimensioni erano tali che Akamai, uno dei grandi provider di servizi di connessione, ha rinunciato a proteggere il suo sito, realizzato pro-bono nell’ambito della rete Prolexic. E il sito di Krebs è entrato sotto la tutela di Google Project Shield, offerto a difesa della libertà di espressione dei giornalisti. Quali insegnamenti dobbiamo imparare e quali azioni dobbiamo intraprendere, come sistema Italia, di fronte ad eventi di queste dimensioni?
Roberto Baldoni: quando si ha una botnet di grandi dimensioni, costituita da apparecchiature di mercato prive di certificazioni, non ci sono tecniche di gestione della crisi efficaci. Una botnet di centinaia di migliaia di dispositivi in cui un software di comando e controllo intrusivo chiede di fare invii di messaggi ad un certo indirizzo in un certo momento può creare un blocco insuperabile delle possibilità di accedere a quel sito o a quel servizio. Nell’episodio descritto, anche Akamai ha dovuto cedere, pur avendo un livello di competenza e di difese molto efficiente: nonostante abbia messo in campo tutte le risorse disponibili, non sono state sufficienti. Oltre alla prevenzione attraverso l’utilizzo consapevole dei dispositivi IoT, l’unica possibilità per rispondere ad attacchi di botnet di grande estensione, è quella di infiltrarsi nelle botnet e capirne il funzionamento in modo da ridurne la dimensione. Occorre ridurre le dimensioni delle botnet per fare in modo in modo che Akmai o altri provider di cybersecurity services possano mettere in atto le buone pratiche di difesa per filtrare il traffico malevolo. In America stanno provando con la costruzione di sistemi di comando e controllo alternativi per confondere le botnet. Dopo aver studiato il comportamento del malware che si infiltra nelle telecamere o altri sistemi IoT, si inviano ordini ai computer della botnet in modo che siano neutralizzati o resi inoffensivi, dirottandone gli obiettivi e portandoli in vicoli ciechi. E’ come se il tiro dell’arma a ripetizione fosse deviato da una canna storta o da un bersaglio falso. Recentemente Avalanche, una delle botnet più attive nel settore del credito, è stata colpita dalla polizia tedesca e dall’Europol, arrestando i capi dell’organizzazione criminale e sottraendo dal loro controllo 50.000 computer utilizzati surrettiziamente per attacchi DdoS. La Polizia postale nell’ambito delle sue collaborazioni internazionali può dare un contributo importante alla creazione di un ecosistema più sicuro e più attento ai rischi. D’altra parte, la necessaria diffusione dell’industria 4.0 rischia altrimenti di trasformarsi in una nuova opportunità di creare gigantesche botnet. Tra i punti aperti che l’amministrazione Obama si predispone a passare nelle mani di Trump, c’è anche la definizione di una etichetta dove si evidenziano le caratteristiche di sicurezza di prodotti come telecamere, sensori, terminali mobili etc. Dobbiamo arrivare anche in Europa ad una certificazione con etichetta CE della sicurezza di hw, firmware e sw dei dispositivi a basso costo.
Il settore delle banche è molto esposto, sia dal punto di vista della capitalizzazione, per effetto dei cosiddetti Non Performing Loans, o crediti deteriorati, sia perché la competizione si accende anche sul terreno delle nuove tecnologie di gestione dei pagamenti e della consulenza. Come è possibile aiutare il sistema creditizio ad affrontare anche un ciclo di investimenti non solo nella ristrutturazione dei costi, ma anche nello sviluppo di nuove competenze (Cyber, analytics e machine learning, FinTech)?
Riccardo Focardi: ho due punti fermi come esperto di sicurezza di sistemi crittografici. Il primo riguarda il rapporto tra digitalizzazione ed esposizione al rischio cyber. Il secondo riguarda il fatto che oggi il malware è un servizio on line, offerto ormai su scala industriale. Prendiamo la digitalizzazione: nel settore bancario essa rappresenta una indiscutibile opportunità, ma la sua adozione aumenta la superficie di attacco, con gli accessi home banking, app etc. che offrono nuove opportunità al malintenzionato. In quella modalità di erogazione dei servizi on line, i sistemi sono più esposti: sono i noti problemi di phishing, o di malware bancario che si installa nel browser e anche nel telefonino, con il rischio che un bonifico non vada a buon fine e venga “ridirezionato” a malintenzionati. Oggi il malware non è più un episodio, ma si aggiorna, mette nel browser servizi e distorsioni non volute dall’utente, ma volute da “clienti” che pagano, come se avessimo un malware as a service. Ma non dobbiamo dimenticare che nelle banche gli attacchi interni sono ancora i più pericolosi: è l’accesso ai sistemi interni che consente, ad esempio, di trafugare i pin dei bancomat permettendo di clonare migliaia di carte per effettuare sottrazioni molto rapide e massive. Le cryptocurrencies e le blockchain consentono di dematerializzare il danaro con le tecniche di mastro distribuito (ledger on line) e per certi versi proteggono le transazioni in modo molto efficace. Ripple, ad esempio, supportata da Unicredit e UBS, come financial settlement solution, abbassa il costo nelle transazioni tra banca e banca. La cosa interessante di questa tecnologia è che l’integrità delle transazioni deriva da un “consenso” distribuito, garantito dalle tecniche crittografiche che proteggono dalle manomissioni. I miners di oggi devono avere una potenza di calcolo molto grande: forse questo fenomeno potrebbe inficiare la natura distribuita del consenso. La concentrazione in poche mani potrebbe distorcere il mercato in modo significativo. Per questo motivo abbiamo previsto che durante la Conferenza ci saranno anche panel dedicati alla crittografia, alle tematiche sociali ed economiche, una su blockchain e cryptocurrencies e una su malware.
Oggi si punta allo sviluppo dell’informatizzazione e automazione nell’industria. Non siamo solo noi in Italia ad avere un programma, come industria 4.0 del Ministero dello sviluppo economico, anche altri paesi, tra cui la Cina, sono attenti agli sviluppi di questo settore. Occorre sottolineare l’importanza di sviluppare anche la sicurezza di questi sistemi. Abbiamo richiamato la fragilità dei sistemi IOT: come dobbiamo declinare sviluppo di industria 4.0 e sviluppo della sicurezza?
Roberto Baldoni: molte aziende devono affrontare il passaggio a Industria 4.0. Quali problemi devono affrontare? Innanzitutto devono capire che tutto diventerà digitale dal primo all’ultimo passaggio, dalla progettazione alla prototipazione, al processo di produzione, al controllo di qualità, alla logistica, al marketing, alla vendita. Per un’azienda tradizionale, magari gestita bene su base artigianale, è uno sforzo enorme. Ma questo passaggio, già di per sé complesso, comporta anche un aumento dell’esposizione al rischi cyber: questa ulteriore difficoltà si introduce nel quadro decisionale e può scoraggiare chi sta affrontando il passaggio. Una maggiore protezione cyber è necessaria quando si affronta il passaggio 4.0. Ma non deve diventare un ulteriore scoglio. Dobbiamo creare opportunità di attenuare questo impatto negativo. Nell’Italian Cybersecurity Report 2016 che verrà pubblicato il 2 marzo 2017 vogliamo offrire delle linee guida, i cosiddetti cyber essentials: un manuale di intervento semplice con anche una valutazione del costo di implementazione. Sarebbe necessario, come fa il NIST negli Stati Uniti, che anche in Italia venissero offerte risorse collaborative tra pubblico e privato, capaci di creare maggiore capacità di intervento sul tema della sicurezza cyber applicata al contesto delle Pmi. Un contesto essenziale per il sistema produttivo italiano, ma proprio per questo un contesto più esposto e più fragile. Serve un punto di riferimento, sul versante cyber-security, capace di portare i risultati della ricerca alle aziende, proponendo metodologie, manuali, best practice. Un punto di riferimento a cui rivolgersi per un supporto nel processo decisionale e nell’implementazione. Per dirla con uno slogan, occorrono meno norme e più capacità operativa, soprattutto da parte delle Agenzie pubbliche che contribuiscono a creare l’ecosistema della cybersecurity, fatto di regole semplici, competenze delle risorse umane, imprese competitive, scambi di conoscenze, assistenza: bisogna aiutare lo sviluppo di un mercato della sicurezza perché altrimenti diventiamo un luogo fragile e attaccabile, quello su cui altri vorranno e potranno appoggiare le attività criminali in rete. Solo un mercato che sviluppa competenze può rispondere ad assalti imponenti. All’interno di ITASEC 2017 verranno esplicitate le problematiche di passaggio delle PMI ad industria 4.0 sicuro e consapevole, con sessioni tecniche dedicate a industria 4.0 e ai problemi della diffusione di IOT. Anche al nuovo Esecutivo ITASEC 2017 può fornire alcune indicazioni molto pratiche e urgenti. Dobbiamo essere resilienti come sistema per assicurare la prosperità economica del paese.