Si è da poco conclusa l’European Cybersecurity Challenge (ECSC2024) la competizione di livello europeo disputata fra 37 nazionali di hackers che si sono sfidate nell’arco di diverse giornate in gare di tipo Capture-The-Flag, (tipologia Jeopardy e attacco-difesa n.d.r.), per decretare la squadra meglio preparata in ambito cyber.
Italia seconda dopo la nazionale tedesca e terza classificata la Polonia.
L’iniziativa è stata organizzata congiuntamente dall’Agenzia per la Cybersicurezza Nazionale e dal Cybersecurity National Lab del CINI, Consorzio Interuniversitario Nazionale per l’Informatica.
Il significato di questo risultato è stato evidenziato da Bruno Frattasi Direttore Generale ACN (Agenzia per la Cyber sicurezza Nazionale) che ha commentato in proposito: “Non si è trattato solo un gioco ma uno sguardo al futuro, che porterà a nuovi orizzonti professionali”.
Per capire meglio fino a che punto questi ragazzi e ragazze costituiscono una risorsa importante e peculiare per il futuro italiano nel campo della sicurezza informatica è opportuno chiarire le ambiguità di “etichetta” che il termine “hacker” ha assunto nel tempo anche a causa di fatti di cronaca, presentati in modo più sensazionalistico che culturale e che hanno ulteriormente confuso i “non addetti ai lavori” sul significato vero e proprio e le finalità dell’hacking etico da distinguere rispetto alle attività criminali di tipo digitale, proprie di gruppi organizzati o di singoli.
Ci hanno aiutato in questa distinzione Gaspare Ferraro, membro del comitato scientifico e tecnico di CyberChallenge.IT (il programma italiano di formazione sulla cybersecurity n.d.r.), il Professor Alessandro Armando, Direttore del Cybersecurity National Lab del Cini, Consorzio interuniversitario nazionale per l’informatica, e Paolo Prinetto, precedente direttore del CINI Cyber national Lab e oggi fra gli organizzatori della Cyberchallgence nazionale e del Big Game, il percorso di formazione e gaming del Cybersecurity National Lab, patrocinato dall’Agenzia per la Cybersicurezza Nazionale, che porta i giovani ad acquisire competenze digitali e dare loro la possibilità di far parte del TeamItaly, la nazionale italiana di sicurezza informatica.
Indice degli argomenti
Distinzione fra criminale e hacker etico
Fondamentale prima di ogni altra considerazione chiarire la distinzione netta che esiste fra un hacker etico e un criminale digitale.
Gaspare Ferraro spiega che: “il termine hacker è abusato e spesso usato per indicare criminali ma hacker e criminale sono due concetti molto diversi. L’hacker di per sé è un soggetto curioso, che vuole comprendere un sistema informatico e non ha fini oltre l’interesse e la curiosità per imparare. Non va confuso con un criminale informatico colui cioè, che usa le sue competenze informatiche per suoi fini personali di lucro o di spionaggio o altri fini malevoli. Si tratta di un criminale con competenze informatiche usate per fare danni o guadagnare illecitamente”.
Ad ulteriore chiarimento, non solo terminologico ma anche sostanziale, il Prof. Alessandro Armando aggiunge che: “le attività di hacking rappresentano attività legate all’attitudine verso all’analisi e lo studio della sicurezza dei sistemi; in questo contesto conoscere le tecniche di attacco è necessario per essere più efficaci nella difesa, quindi un difensore, un hacker etico, deve conoscere tutte le tecniche per poterle poi applicare. Le tecniche di attacco e difesa sono correlate e compenetranti fra loro. La vera differenza la fa l’atteggiamento e l’impostazione etica di chi le attua. Una cosa è conoscere le tecniche di attacco-difesa e un’altra cosa è il fine per cui queste tecniche sono usate”.
Ma è proprio questo l’ulteriore insegnamento che arriva dai programmi di formazione nazionale del Big Game.
Come chiarito da Paolo Prinetto, che infatti sottolinea: “come Cybersecurity National Lab. noi, in tutti i nostri programmi di formazione e addestramento, poniamo particolare attenzione agli aspetti etici e legali a tutti i livelli e in tutti i momenti. È infatti fondamentale far capire che non tutto ciò che è fattibile, può essere eseguito e che, in ogni momento e in ogni occasione, ci si debba porre la domanda se quello che sto facendo, non sia in contrasto né con le leggi vigenti, sia nazionali sia internazionali, né soprattutto con la propria etica, che in molti casi è e deve essere ancora più restrittiva delle norme”.
Una fucina di capacità tecniche di attacco e difesa
Etica, quindi, un principio fondante che conduce ad un atteggiamento e comportamento nel rispetto delle leggi grazie al quale un hacker etico, è orientato a scoprire, comprendere e correggere le vulnerabilità della sicurezza in una rete o in un sistema informatico.
Durante ogni categoria del Big Game nazionale (Cyberchallenge, OliCyber, Cyber trials) i ragazzi e le ragazze coinvolte imparano, giocando, tecniche di attacco-difesa ma anche ad operare entro i termini di legge.
“Soprattutto imparano che non sono soli e imparano a non essere da soli” chiarisce Gaspare Ferraro, “si sentono parte di una community da cui escono anche iniziative pregevoli. Non sono rari i casi in cui gruppi di questi ragazzi/e si uniscono, fanno azienda, dando vita a start up oppure creando team che si mettono a servizio di aziende per protezione e difesa. Quindi sono hacker con un fine etico, capaci di lavorare in un contesto autorizzato e controllato. Li indichiamo come cyberdefender perché contribuiscono ad accrescere la resilienza delle infrastrutture”.
Una ricchezza professionale dunque di valore indiscusso, come ribadisce il Prof Armando quando li identifica come: “la punta di diamante italiana: ragazzi/e che per le loro competenze avranno solo l’imbarazzo della scelta su dove andare a lavorare e che hanno quindi prospettive brillanti.
“Gli stessi ragazzi”, aggiunge il Direttore del CINI, “rappresentano una comunità interessata non solo al gioco, ma anche a far crescere la comunità con spirito di volontariato e con la consapevolezza di poter essere al servizio del Paese proprio perché possiedono, hanno sviluppato e coltivano competenze uniche per il sistema paese”.
Il “messaggio in bottiglia” per le aziende italiane
Quindi assodato che le competenze ci sono, sono specialistiche e di ottima qualità a livello nazionale e nel confronto internazionale, ora è sul fronte delle aziende che va giocata la partita che può davvero cambiare il gioco: percepire questi ragazzi/e per i talenti che sono, valorizzarli, farli crescere e riconoscere loro uno stipendio appropriato per evitare una fuga verso l’estero.
In questo senso Gaspare Ferraro ci fa notare come: “questi ragazzi sono ancora molto giovani (vanno dai 16 ai 24 anni n.d.r.) e non sono ancora nel mondo del lavoro. Ma dopo la fine della scuola e dopo la fine dell’università le aziende dovrebbero essere più attrattive: farsi vedere, e far capire a questi ragazzi che esiste un mondo dove potersi inserire. Per farlo è necessario ammodernare la comunicazione verso i talenti di questo tipo, ma anche migliorare le condizioni economiche che in Italia sono ancora troppo contenute nel confronto con altri paesi”.
Un ulteriore consiglio Gaspare Ferraro lo individua nel mindset del management che si troverà a lavorare con questi ragazzi/e ed il suggerimento è strategico: “Non fermare l’entusiasmo di questi ragazzi/e che sono ricchi di idee e di iniziative e che spesso son fermati da processi burocratici e da un atteggiamento di poca cura”.
Lasciar loro spazio di espressione e accogliere idee e talento è la ricetta per intercettare e far restare questi talenti, una ricetta, a cui fa eco Paolo Prinetto che, dalla sua esperienza, sottolinea: “due aspetti, che richiedono entrambi una vision e il coraggio di fare scelte lungimiranti: da un lato, non pensare di pagarli con due spiccioli: sono bravi e vanno pagati al valore di mercato; dall’altro avere la fiducia di credere che le loro indicazioni e i loro suggerimenti sono strategici per raggiungere i livelli di sicurezza necessari per stare con successo sul mercato”.
Un percorso di crescita che fanno i ragazzi e le ragazze, ma che anche le aziende sono chiamate a fare in un contesto che si orienta verso la sicurezza informatica sotto la spinta della conformità.
Lo spiega bene Alessandro Armando quando fa notare come: “le normative europee e nazionali obbligano le aziende a posizionarsi sulla sicurezza in modo serio e il rischio di perseguire solo compliance alla normativa non basta più. La strada da percorrere non finisce con la conformità. La sicurezza informatica in questo senso, quindi, non è un punto di arrivo ma un processo, per cui la spinta normativa è uno stimolo a innescare un percorso nelle aziende; un percorso che sia alimentato da persone e competenze”.
“Questi ragazzi/e sono la ‘benzina’ di tali processi”, continua Alessandro Armando, “e dobbiamo tenerli nel nostro Paese e creare le condizioni per farli restare. Il CINI sta facendo la sua parte nel creare e tenere in Italia tali competenze ma è il Sistema Paese a dover avere la accortezza e intelligenza di tenere e trattenere questi ragazzi”.
