L’Italia rappresenta un terreno fertile per la criminalità informatica. Giocoforza, lo è anche per chi fa cyber security e deve affrontare, ogni giorno, le sfide legate alla protezione di infrastrutture nazionali e aziende di tutte le dimensioni. Ho chiacchierato con Carlo Mauceli, National Digital Officer e National Security Officer di Microsoft Italia, per individuare le principali criticità del mercato tricolore e alcune strategie per porvi rimedio nel breve termine. Perché, in questo settore, si deve correre. E Mauceli è una persona pragmatica che va al sodo.
Cyber security in Italia, investiti 1,5 miliardi: ecco i segnali di svolta
Indice degli argomenti
Microsoft contro il cyber crime
Microsoft è uno dei più importanti cloud provider del mondo. Che ruolo può avere nel contrasto al cybercrime?
La cyber security riguarda i diritti umani: di associazione, cooperazione, di spostamento e di comunicazione; diritti di cui la privacy e la libera manifestazione del pensiero sono fondamento.
Abbiamo bisogno di una cyber security orientata alla protezione dei dati personali perché, nell’era digitale, i nostri dati costituiscono la nostra esclusiva, unica e fondamentale identità personale che non deve essere travisata, distorta o usata contro la nostra volontà. Ne abbiamo bisogno perché le nostre vite sono definite dal nostro sé digitale, che ogni giorno interagisce con realtà il cui core business è proprio l’estrazione e la raccolta dei dati che ci riguardano, per rivenderli al miglior offerente. Le stesse agenzie di welfare gestiscono in digitale tutto quello che ci rende cittadini con dei diritti. Per questo occorre una nuova definizione di cyber security incentrata sui diritti delle persone e sugli utenti finali della tecnologia, non solo dei sistemi nazionali e infrastrutturali.
A questo riguardo mi piace sottolineare che Microsoft è in prima linea e che la strategia di sicurezza che offre non si esaurisce nei prodotti né è solo orientata al business, ma è molto di più. Possiamo identificarla con un acronimo molto caro agli americani: 3Ds. Sta per Diplomacy, Disruption e Defense: “Microsoft pursues the most comprehensive cyber security strategy in the industry (that spans the three “Ds”.
L’immagine che elenca cosa ha fatto Microsoft in tutti questi anni e cosa sta continuando a fare è molto rappresentativa al riguardo.
Si ferma al 2018 ma da allora, l’impegno di Microsoft nel settore della sicurezza è sempre cresciuto e sono tante le azioni svolte per garantire un cyber space più sicuro: la distruzione della botnet Trickbot, il coordinamento per il takdown della botnet Necurs, la distruzione di uno dei gruppi cinesi più attivi: Nickel, senza dimenticare le vare associazioni di cui fa parte e che ha contribuito a sviluppare insieme ad altre società di tecnologia: Paris Call for Trust and Security in Cyberspace, Tech Accord, Digital Geneva Convention e altre.
Nonostante il mio ruolo in azienda, cerco sempre di essere obiettivo e di guardare a 360° ciò che mi circonda, senza fare sconti alla mia stessa società. Su questo tema, onestamente, posso dire che è impossibile negare che Microsoft non sia in prima linea nel campo della cyber security nonostante diversi stakeholder, in maniera molto strumentale, negano, molto spesso, l’evidenza e non concordano sul fatto che Microsoft rappresenti, oggi, un’azienda che mette al centro della propria strategia la sicurezza.
A volte, in alcuni contesti siamo visti come quelli che con la mano destra creano le vulnerabilità e con la sinistra offrono e vendono soluzioni per risolverle.
Sono il primo ad affermare che abbiamo una grande responsabilità in quanto sviluppiamo software e, se è vero che è necessario migliorare la qualità relativa alla scrittura del codice per evitare, appunto, la presenza di vulnerabilità, è altrettanto vero che la consapevolezza dei rischi che le vulnerabilità portano con sé non sembra essere così diffusa. Il Security Report 2021 di Checkpoint mette in evidenza come nel 2020 il 75% degli attacchi hanno sfruttato vulnerabilità vecchie di almeno due anni. In particolare:
- tre attacchi su quattro hanno sfruttato bug segnalati nel 2017 o ancor prima;
- il 18% degli attacchi ha utilizzato vulnerabilità divulgate nel 2013 o prima.
Positive Technologies ha, invece, rilevato che il 26% delle aziende rimane vulnerabile al ransomware WannaCry in quanto non ha ancora provveduto alla distribuzione della fix.
Ergo, qualche domanda a determinati detrattori, la farei.
Ci sarebbe molto altro da dire al riguardo e sarebbe ora che si realizzasse il fatto che il livello tecnologico di tantissime piccole e medie imprese è obsoleto, che la supply chain costituita da fornitori e partner, troppo spesso, è fonte di insicurezza (vendita di soluzioni applicative che girano su sistemi operativi fuori supporto, ad esempio) e la sicurezza è ancora oggi una chimera. Ma noi andiamo avanti e, continuando nella nostra opera di awareness e di impegno nel provare a costruire un mondo digitale il più sicuro possibile, nelle scorse settimane abbiamo rilasciato la prima edizione di Cyber Signals, un nuovo report di threat intelligence dedicato alle minacce informatiche, basato sui dati e sulle ultime analisi condotte dai nostri servizi di intelligence.
Questo nuovo report, a cadenza trimestrale, offre una panoramica delle principali minacce informatiche, delle nuove tendenze nonché delle tattiche utilizzate e delle soluzioni che possono essere implementate per mitigare i rischi. In un mondo in cui assistiamo a una continua crescita degli attacchi informatici, non si può prescindere da un cambiamento culturale che deve necessariamente passare da una informazione sana e corretta oltre che da un impegno, come detto prima, nello sviluppo di un software sicuro.
Il cyber crime si affronta con strumenti globali?
Da italiano, come vivi il fatto che il nostro paese debba usare tecnologie straniere per poter creare il cloud nazionale?
Personalmente, non credo sia un problema. Forse lo è per chi deve, ogni giorno, inventarsi un nuovo nemico. Alzi la mano chi oggi non utilizza una tecnologia straniera. Io non credo che sia importante da dove arrivi la tecnologia. Ciò che conta è l’uso che se ne fa. L’etica dovrebbe essere messa al centro sempre e comunque e invece assistiamo ad un uso, troppo spesso, orientato ad ottenere il potere.
L’Italia, in passato, ha avuto eccellenze tecnologiche. Mi viene in mente Olivetti che ha sfornato anche persone illuminate ma che poi è finita come sappiamo. Ribadisco che oggi come oggi, parlare di tecnologia “nazionale” mi sembra alquanto ”fuori dal tempo”. Altri Paesi una decina di anni fa, come l’Inghilterra per esempio, hanno provato a creare questo tipo di infrastruttura e nemmeno il tempo gli ha dato ragione. Essendo io una persona tecnica che pensa all’obiettivo finale di un’infrastruttura, ovvero garantire servizi e applicazioni sicuri ed efficaci a cittadini e imprese, non sempre condivido alcune strumentalizzazioni più politiche di questi temi. Auspico un dialogo costruttivo su questi temi tra chi conosce la tecnologia e il suo potenziale e chi deve regolarla e porre le basi per un accesso equo e sicuro ai servizi digitali. Ogni mio sforzo e quello della mia azienda va in questa direzione al di là di schemi più politici.
Cloud nazionale e gestione del dato
Il cloud nazionale è la risposta per la cyber sicurezza in ambito pubblico? E se i criminali dovessero riuscire a bucarlo, cosa accadrebbe?
Partiamo da un concetto che nulla ha a che fare con la tecnologia ma molto con l’attuale scenario in cui viviamo: fiducia.
Fiducia è una parola “pesante” che abbraccia scenari ampi e che rappresenta una responsabilità importante in chi la dà e in chi la riceve. Perché sono partito da qui? Perché quanto sta avvenendo, dal mio punto di vista, è paradossale.
In Europa e anche in Italia abbiamo perso la leadership tecnologica da molti anni ormai, dando luogo ad un gap con altre nazioni, ormai incolmabile. È impensabile in questa situazione credere di risolvere questa totale dipendenza con l’isolamento e la centralizzazione facendo credere che la “localizzazione” rappresenti la chiave di volta per risolvere i problemi della sicurezza dei dati.
È quantomeno anacronistico.
Ciò che voglio dire è che non è importante dove si trova il dato ma come viene catalogato prima e gestito poi. È più importante sapere dove si trova un dato o chi ci accede, in che modo e chi lo gestisce? Oltretutto, se parlassimo di cloud nazionale, allora bisognerebbe parlare di infrastrutture proprietarie, ma sappiamo benissimo tutti quanti che non è così.
I vari player “nazionali”, che parteciperanno alla gara per il PSN, si devono appoggiare ai grandi player internazionali perché questi sono gli unici che hanno dimostrato di offrire le migliori soluzioni e la miglior capacità di gestione e di protezione grazie ad investimenti e professionalità maturata nel corso di numerosi anni che nessuno oggi può mettere in campo.
Quello che possiamo fare è individuare aree in cui possiamo far crescere una nostra industria digitale, con soluzioni e servizi su alcuni ambiti in cui possiamo veramente fare la differenza, e parlo di soluzioni di manufacturing o di e-health in cui, su infrastrutture abilitanti, nuove aziende possono creare applicazioni su scala globale. È una diversa visione di innovazione e creazione del valore dal digitale.
La cyber security è un problema politico
Tu cosa suggeriresti?
Centralizzare i dati, poi, non è la soluzione del problema, secondo me. Da sempre, la distribuzione delle informazioni a livello territoriale e quindi nazionale sarebbe la soluzione migliore.
I dati, oltretutto, non sono tutti uguali e la prima regola è quella di classificarli in maniera precisa e puntuale.
Siamo sicuri che sarà così? Soprattutto nella pubblica amministrazione che soffre da anni un gap tecnologico significativo?
Io ho i miei dubbi pur sperando, ovviamente, che l’impresa abbia successo.
Sono d’accordo sul fatto che certi asset debbano essere protetti in maniera differente, in modo molto più marcato e con tecniche al passo coi tempi, ma non credo che possa avvenire in questo modo perché la storia dimostra che chi ha cercato di sviluppare un vero cloud nazionale ha fallito, vedi la Francia o Inghilterra negli anni passati, e perché gli investimenti e le risorse messi a disposizione non sono paragonabili a quelli delle grandi aziende di cui sopra.
Credo che il problema, ancora una volta, sia politico e non tecnologico. Se ci fosse fiducia tra gli Stati si potrebbero definire accordi per cui tra pubblico e privato si riesca a costruire davvero un “cloud” che possa essere molto vicino al cloud pubblico. La gara multi-cloud per lo sviluppo del PSN sembrerebbe andare in questa direzione ma è tutto fuorché nazionale.
Infine, se il cloud nazionale dovesse essere soggetto ad attacchi ed essere bloccato, cosa potrebbe succedere?
In Italia, e non solo, è stato dimostrato che qualunque azienda può essere attaccata e colpita al cuore. Gli esempi, purtroppo, non si contano. Ora, l’idea di centralizzare mi fa, sinceramente, paura. Perché se un sistema viene “bucato”, significa che lo Stato si ferma. Dal mio punto di vista ha davvero poco senso centralizzare il dato. La centralizzazione del dato è il modo migliore per permettere ai gruppi criminali di attaccarti e mettere a terra un intero Stato. Ciò che bisognerebbe fare è creare una infrastruttura proprietaria distribuita di informazioni.
Con le dovute differenze, in Spagna, Madrid e Barcellona, nel loro piccolo, lo stanno facendo benissimo da anni. I cittadini decidono quali dati “prestare” a quale società, a quale ente, ecc. Il dato, di fatto, è come se venisse gestito dal cittadino e non dalla PA o da un organismo superiore.
Perché a me il dubbio viene. Perché mi dovrei fidare di un gruppo che gestisce il mio dato? Tu che ne fai del mio dato? Il problema è sempre lo stesso: fidarsi di qualcuno.
Il cloud nazionale per le PMI? Non ha senso
Secondo te ha senso un cloud nazionale per le PMI? Ma in ogni caso, non potrebbe essere letta come ipotesi discutibile in sede concorrenziale?
Secondo me non ha senso e i fatti lo dimostrano. Oggi ci sono tantissime realtà che utilizzano i servizi cloud e non mi sembra che abbiano problemi, anzi.
La pandemia ha messo in evidenza che le aziende che avevano già sviluppato una strategia del digitale abbracciando i servizi cloud ne abbiano tratto enorme beneficio in termini di resilienza, scalabilità, competitività, flessibilità e via dicendo.
Io penso che chiudersi a riccio sia la negazione della competitività. Più il mercato è libero e più c’è concorrenza e competizione che aiuta a migliorarsi e a crescere.
Le PMI, oltretutto, sono quelle che soffrono maggiormente l’ondata di attacchi cyber per tantissime ragioni che vanno dalla cultura, agli investimenti, all’obsolescenza tecnologica, al lock-in. Abbracciare il cloud significa avere la capacità di condividere responsabilità in ambito di sicurezza e non solo.
Il ruolo dell’Agenzia per la Cybersicurezza Nazionale
Cosa pensi del ruolo dell’Agenzia? Può veramente dare un impulso e se si, su cosa e perché.
Credo sia un passaggio corretto. Finalmente si è dato un segnale forte con una organizzazione chiara. L’importante è che il progetto che è stato avviato venga mantenuto e ci possa essere un’accelerazione. Mi aspetto una stretta collaborazione con i partner di security perché se c’è un’area dove la collaborazione è necessaria, questa è proprio quella della sicurezza. E poi, confido nella guida di Baldoni, persona molto seria e preparata. L’Italia era uno dei Paesi che non aveva un nucleo di sicurezza cibernetico. Ora lo abbiamo e speriamo che possa lavorare mettendo a terra tutte le competenze avendo anche la possibilità di fare rispettare le norme.
Cyber crime e aziende italiane
Le aziende italiane sono così indifese, come sembra dai dati e da molti commenti?
Il contesto italiano della cyber security mostra una situazione estremamente eterogenea dove eccellenze coesistono con aree di inefficienza, e gli attori chiave si muovono a diverse velocità sia nel settore privato che in quello pubblico.
I numerosi attacchi verificatisi nell’ultimo periodo dimostrano come le risorse e le competenze a disposizione di chi ha interesse a violare la sicurezza siano talmente strutturate e pervasive che anche le organizzazioni più preparate subiscono attacchi, spesso di successo.
È un dato di fatto, però, che le grandi aziende hanno avuto la capacità e la lungimiranza di affrontare il problema e si sono attrezzate sia in termini di soluzioni che di risorse, facendo investimenti importanti. Ho avuto modo di parlare con diversi CISO delle più importanti aziende italiane e ho trovato estrema competenza e sensibilità. Mi sembra che i risultati siano sotto gli occhi di tutti.
Le PMI sono quelle più a rischio per tantissime ragioni.
Le PMI trattano la cyber sicurezza più come un problema che come un’opportunità per la crescita dell’azienda. La metà dei furti di dati, nell’ultimo anno, ha coinvolto una PMI e quasi una PMI su quattro è fallita dopo una violazione importante dei propri dati e sistemi informativi.
Le piccole imprese sono diventate gli obiettivi principali degli hacker: bloccare l’accesso ai computer di un’azienda attraverso un ransomware è molto semplice e nella maggior parte dei casi le società pagano senza troppi problemi. In Italia, le PMI rappresentano oltre il 90% delle aziende totali: un numero che fa gola a qualsiasi pirata informatico.
Ma il futuro della cyber sicurezza non riguarderà solamente gli attacchi phishing e i ransomware: il vero problema saranno i dispositivi dell’Internet of Things. Con l’arrivo dell’Industria 4.0 e dei device connessi, per le PMI diventerà ancora più complicato difendersi dagli hacker. Ma in questo caso gli attacchi potrebbero riguardare direttamente il controllo dei dispositivi e mettere in pericolo la salute degli utenti.
Imperversa nelle PMI la falsa sicurezza che i controlli sulla sicurezza inclusi nei software e servizi IT che hanno acquistato saranno sufficienti e che non saranno necessari ulteriori controlli di sicurezza da parte loro, a meno che non siano imposti dalla normativa.
Le prossime sfide per le PMI
Ma quindi cosa deve fare una PMI?
Le sfide che emergono per le PMI sono le seguenti:
- scarsa consapevolezza della sicurezza informatica tra il personale;
- protezione inadeguata delle informazioni “critiche”;
- mancanza di budget adeguati;
- mancanza di specialisti o capacità adeguate in materia di cybersicurezza;
- inapplicabilità delle linee guida in materia di cybersicurezza specifiche per le PMI. Spesso le linee guida sono generiche o astratte e richiedono una elevata expertise necessaria per la loro applicazione, spesso persino per l’obsolescenza rispetto allo scenario attuale;
- lo “shadow IT”, ovvero lo spostamento del lavoro in un ambiente ICT fuori dal controllo delle aziende, stante l’utilizzo di dispositivi e reti non aziendali per connettersi e utilizzare i dati aziendali;
- scarso supporto della direzione aziendale.
Per quanto riguarda, infine, la pubblica amministrazione, paghiamo anni e anni di non investimenti che hanno creato una sedimentazione tecnologica sia per quanto concerne i sistemi che le applicazioni ed uno scenario di arretratezza digitale che le mette a rischio. Uno dei settori maggiormente impattati è quello della Sanità che, al contrario, proprio perché gestisce dati sensibili, dovrebbe essere quello più all’avanguardia tecnologica.
Infine, su tutte pende come una spada di Damocle: la supply chain in cui fornitori e partner forniscono sistemi e applicazioni, spesso, obsolete che mettono a rischio l’intera infrastruttura.
Gli errori più comuni nella gestione della cyber security
Quali sono gli errori più comuni che vedi e che causano disastri?
Ti rispondo con la figura che segue:
Credo ci sia quasi tutto o, quantomeno, le cose principali.
Manca una strategia
Ma non siamo, paradossalmente, in una situazione di bulimia normativa? Non è troppo il costo e l’onere della compliance?
Sinceramente non lo so. Siamo, senza dubbio, un Paese in cui le norme non mancano. Quello che manca, troppo spesso, è il rispetto delle norme e la messa a terra delle azioni atte a rispettare le norme. Non mi piace usare il bastone ma, in certe situazioni, appare chiaro che le misure minime di protezione non vengono applicate.
Oggi tutti sanno che l’identità è l’obiettivo primario di qualsiasi attaccante. Perché tante realtà non proteggono l’identità in modo adeguato? La compliance è la logica conseguenza. Se hai una chiara strategia di sicurezza, mi viene da dire che la compliance la indirizzi molto più facilmente e ad un costo sostenibile.
Sicurezza nella supply chain
Un fornitore come Microsoft è veramente sicuro? Al di là che tutti possono subire attacchi e che tutti potrebbero essere bucati, che messaggio si può dare a aziende e pubbliche amministrazioni?
Giusto. Tutti possono essere bucati e chi dice “io sono sicuro” sa di mentire.
Io penso che la risposta stia negli investimenti sia economici che di persone, nella continua ricerca dell’offrire servizi eccellenti, nel ruolo che un’azienda come Microsoft svolge a livello mondiale e nel senso di responsabilità che si cerca di avere.
La tecnologia è sotto gli occhi di tutti, lo sviluppo delle soluzioni pure, la compliance verso le norme altrettanto. Il messaggio che posso dare è che la scelta di un partner tecnologico passa attraverso la fiducia che in lui puoi riporre perché basata su quanto cerca di dimostrare tutti i giorni.
Lo scorso agosto, a titolo di ulteriore impegno, Microsoft ha annunciato l’acquisizione di una partecipazione di Rubrik, un’azienda specializzata nella protezione dei dati, per mitigare possibili attacchi ransomware in Microsoft 365 e altri servizi cloud su Azure.
Noi cerchiamo di cooperare con le migliori risorse e questo non può fare altro che accrescere il valore di ciò che facciamo e garantire il massimo possibile per i nostri clienti.
