Nell’ambito della cyber security è importante divulgare e raccontare gli aspetti principali per creare una necessaria consapevolezza (awareness) anche tra i non addetti ai lavori e per fare arrivare a tutti tematiche e concetti che consentano di gestire al meglio il rischio cyber. In questa intervista, Carola Frediani ci parla di Guerre di Rete, il sito che nasce dalla newsletter omonima e che mira proprio a raccontare il mondo della cyber security in modo un po’ diverso e articolato.
Indice degli argomenti
È importante parlare di cyber security
Carola, parlaci della Vostra nuova iniziativa editoriale. A chi si rivolge e quale obiettivi si prefigge?
Il sito Guerre di Rete vuole fare informazione su temi legati alla cyber sicurezza ma che hanno ampie implicazioni sociali, politiche ed economiche. Quindi non si rivolge solo a un pubblico di addetti ai lavori, ma anche a una fascia più ampia di lettori. In questo senso cerca di trovare un equilibrio tra tecnicismi e divulgazione, tra precisione e comprensibilità. Inoltre, cerca di affrontare temi meno battuti da altri media, o di farlo con un taglio specifico, che tiri fuori proprio quegli aspetti della cyber di rilevanza sociale. Che spesso sono anche aspetti conflittuali. Il nome Guerre di Rete, più che a cyber guerre o a cyber attacchi, allude alle tensioni che si esprimono attraverso la Rete.
Il progetto, no profit, nasce dallo sforzo congiunto di due precedenti realtà: la mia newsletter settimanale Guerre di Rete (e relativa omonima associazione) che viene pubblicata dal 2018, e l’associazione no profit Cyber Saiyan, una community indipendente di professionisti del settore della cyber sicurezza che tra le altre cose organizza anche RomHack.
Personalmente penso che in questo momento storico più si parla di cyber security è meglio è. Ogni iniziativa è lodevole e deve essere appoggiata. I dati del Politecnico di Milano dicono che a livello sia di grandi imprese che di PMI la cyber security è in testa alle priorità di investimento. Voi vi ritrovate in questi dati, o pensate invece che la conoscenza del tema in Italia a livello di chi guida le aziende sia ancora insufficiente?
Sicuramente negli ultimi anni sono cresciuti gli investimenti e la disponibilità di spesa di organizzazioni e aziende in sicurezza. E sinceramente non mi stupisco vista la quantità di attacchi e incidenti che abbiamo visto.
Tuttavia, mi chiedo se ancora questo sforzo non sia superficiale, e tenda a risolvere la questione spendendo un certo budget per un tot di tecnologie ma senza preoccuparsi di costruire davvero dei team e delle figure professionali adeguate, senza rendere la sicurezza una componente centrale dell’organizzazione e della cultura aziendale.
Si parla tanto di cultura della sicurezza ma ho l’impressione che non sia sempre chiaro quanto le trasformazioni culturali siano anche trasformazioni organizzative, procedurali, della modalità di lavoro, delle priorità, della progettazione. Quanto siano dirompenti, e quindi anche problematiche per entità strutturate e abituate diversamente.
Non si crea una cultura con una semplice campagna di awareness, e lo dico con cognizione di causa, visto che ho lavorato e lavoro in questo settore. Le campagne di awareness sono un tassello di una strategia più ampia di cui le leve stanno nel management.
Gli errori di comunicazione di chi subisce un attacco cyber
Oggi si scrive e si sente molto parlare degli attacchi criminali alle imprese e pubbliche amministrazioni. Come giornalista quali credi che siano i peggiori errori che chi subisce gli attacchi fa in termini di comunicazione?
Premesso che non mi piace il victim blaming, soprattutto quando è diretto verso individui, ma anche quando è rivolto a organizzazioni, va detto che di errori di comunicazione in questi frangenti ne vediamo troppi. Capisco che ci siano molti fattori che complicano la comunicazione di crisi, ma se sei una grande azienda e ancora di più una pubblica amministrazione hai delle responsabilità.
Dunque, il primo errore è negare un incidente. Non ha molto senso perché nella maggior parte dei casi è probabile che la notizia con altri dettagli prima o poi emerga.
Il secondo errore è non comunicare cosa sta succedendo. Non dico di dare dettagli riservati sulla dinamica dell’attacco o altro ma se l’incidente ha un impatto sull’erogazione di servizi o peggio sui dati di altri, è necessario che gli interessati ricevano una comunicazione veloce, chiara e continuamente aggiornata su quanto si sa e quanto sta succedendo e sui possibili effetti. Ci sono ormai parecchi esempi di realtà che hanno approntato un sito, o una pagina, in cui davano continuamente aggiornamenti, fornivano indicazioni per avere più info se eri coinvolto dall’incidente, contattavano gli interessati.
La trasparenza e la chiarezza e anche l’umiltà di dire è successo questo, questo è quanto sappiamo, questo è come stiamo risolvendo, questo è come possiamo aiutare chi è stato colpito dall’incidente, alla fine pagano sempre. Ultima cosa: evitare di dare la colpa a “un dipendente”, anche qualora l’incidente parta da una sua disattenzione. Perché sappiamo benissimo che un’organizzazione dovrebbe avere vari meccanismi per mitigare i rischi di disattenzioni ed errori, e non si può scaricare tutto su una persona.
Servono investimenti in cyber security
I dati del Clusit e del Politecnico ci dicono che in Italia si spende troppo poco in cyber security. Dal Vostro punto di osservazione pensate che il PNRR possa permettere il salto in avanti che tutti ci auguriamo?
Sicuramente è un’opportunità per fare un balzo in avanti ma il punto è come e dove verranno allocati e spesi questi soldi. Mi sembra si sappia ancora poco di questo e il mio auspicio è che ci possa essere il massimo della trasparenza su questi fondi, su come verranno impiegati, da chi, sui contratti e le forniture, sulle valutazioni sottostanti, sui risultati ottenuti. Vediamo…
Sempre i dati del Clusit ci dicono che fino all’anno scorso gli attacchi classificabili come cyberwar di intensità rilevante erano tutto sommato pochi. Cosa Vi aspettate in considerazione dell’evoluzione geopolitica mondiale?
Ho tenuto da poco un talk interno alla Commissione UE proprio su questo tema, e il mio punto di vista è questo: una nostra idea errata di cyberwar ha portato a stupirci nel momento in cui non abbiamo visto attacchi “apocalittici” nel mezzo di una guerra aperta, quando sappiamo bene che la dimensione cyber anche offensiva si dispiega al meglio in situazioni tese ma di relativa calma, non di conflitto aperto.
E proprio queste errate aspettative non ci fanno vedere l’escalation di attacchi anche a infrastrutture critiche che stava già avvenendo in passato, di cui in questi ultimi mesi abbiamo visto esempi preoccupanti, e che potrebbe accelerare.
Quindi mi aspetto una intensificazione di attacchi fuori dall’Ucraina, in un mix di campagne criminali sdoganate dal clima internazionale e dalla sensazione di impunità ancora più accresciuta e di attacchi statali più sofisticati a infrastrutture critiche. Concludendo, mi aspetto non una cyberguerra ma una escalation, per un insieme di tendenze già esistenti che la guerra e le tensioni attuali possono intensificare.
Torniamo alla Vostra iniziativa editoriale. Quali ritieni siano i suoi punti di forza maggiore?
Il fatto che noi non corriamo dietro alle notizie, ma seguiamo una filosofia di slow journalism, per cui usciamo con articoli che cercano di fare il punto o approfondire un tema o un evento. Va benissimo seguire la cronaca quotidiana, sia chiaro, ma non è quello che facciamo noi. Inoltre cerchiamo di dare un taglio originale, basato su quella visione di cui dicevo all’inizio.
Inoltre, non ci interessano articoli di opinione, ma vogliamo raccontare il più possibile i fatti, senza commenti o fronzoli, in modo agnostico, e sarà il lettore a farsi una sua idea.
Dulcis in fundo, siamo molto rispettosi della privacy dei lettori come si può leggere qua. Alla fine la nostra filosofia in estrema sintesi è che siamo appassionati di questi temi e vorremmo far appassionare anche gli altri. Anche perché c’è proprio bisogno di fare informazione su questi temi, come abbiamo spiegato nel nostro editoriale di lancio.
Molti dei nostri lettori sicuramente già leggono la Vostra testata. Per chi ancora non dovesse farlo: dagli tre motivi per iscriversi immediatamente e indica dove farlo.
Allora, il progetto Guerre di rete ora si compone di due prodotti editoriali: una newsletter settimanale gratuita cui ci si iscrive qua, che aiuta a seguire quanto accade di settimana in settimana cercando anche di andare in profondità su alcuni temi o di segnalare eventi o articoli meno noti; e un sito che esce con approfondimenti originali settimanali, che conviene seguire con un feed rss oppure seguendo i nostri social come Twitter o Linkedin.
