Il caso recente dell’indagine EyePyramid ha messo in luce la facilità con cui sistemi che dovrebbero essere difesi, nell’ambito di una strategia di sicurezza nazionale, possono invece cadere vittima di attività di cyber espionage neanche troppo sofisticate. Ne abbiamo parlato con Paolo Sardena, Co-founder & COO di Intuity, startup italiana dedicata a una cybersecurity people centric.
TIG. Ransomware, cyber spionaggio, è questo il segno dei nostri tempi: siamo tutti più esposti, la privacy è oramai un concetto a rischio obsolescenza. Quali ritieni siano oggi i rischi maggiori a cui dover fare attenzione, parlando di cybersecurity? qual è il tuo punto di vista sulla vicenda EyePyramid?
Paolo Sardena. E’ corretto, il caso EyePyramid ha reso palese quello che viene ripetuto ormai da tempo da chi si occupa di cybersecurity e cioè, che il problema della sicurezza informatica è molto più esteso e presente di quanto noi possiamo percepire. C’è bisogno di casi eclatanti per alzare un po’ l’attenzione. Negli ultimi anni si è venuto a creare un vero e proprio “mercato” di informazioni digitali, un mercato fiorente, una vera e propria compravendita di dati che coinvolge privati, aziende e pubblica amministrazione. La privacy da questo punto di vista ne è una vittima. Credo che il concetto di privacy non sia obsoleto anzi, stia in qualche modo tornando protagonista con l’introduzione del GDPR (Regolamento Europeo sulla Protezione dei Dati), che ha tra i suoi obiettivi proprio quello di uniformare a livello europeo il trattamento dei dati personali, per incentivare l’e-commerce.
Di contro vediamo (EyePyramid ne è un esempio), come di fatto la privacy sia difficile da tutelare, perché è oggetto continuo di tentativi di infrazione. Non parlo qui di come noi stessi, volontariamente, compromettiamo la nostra riservatezza attraverso un uso scriteriato dei Social Network, perché questo argomento è più sociologico, anche se non totalmente estraneo a quello di cui stiamo parlando.
Fondamentalmente, stiamo vivendo un periodo particolare, l’informatizzazione sta raggiungendo ogni aspetto della nostra esistenza, le aziende più che mai vedono nella digitalizzazione uno strumento abilitante alla crescita e alla competitività. Il privato è sempre più connesso, dal telefono agli indumenti, fino agli oggetti di uso quotidiano (IoT), la pubblica amministrazione sta (con difficoltà) tentando di adeguarsi. Questo caos tecnologico è difficile da gestire, sia per la sua complessità sia per la rapidità con cui le cose cambiano e evolvono.
E’ totalmente sfumato il confine tra aziendale e privato, almeno per quanto riguarda alcuni aspetti: ci portiamo le mail aziendali sullo smartphone ovunque andiamo, usiamo il pc di lavoro da casa, o lo diamo ai nostri figli per giocare, allo stesso tempo quando siamo in ufficio leggiamo le mail private o aggiorniamo il nostro stato sui Social Network. Questa promiscuità non fa altro che rendere tutto più difficile da gestire e controllare. E se questo caos è un problema per qualcuno, diventa opportunità per altri: ecco perché il problema della cybersecurity è più attuale che mai.
TIG. L’evoluzione Digitale è stata molto rapida: chiunque dispone di un cellulare e le possibilità di subire un attacco, anche un semplice ransomware, sono elevate. Quali le misure e gli approcci innovativi da adottare?
Paolo Sardena. Hai centrato il problema: l’evoluzione digitale è stata e continua ad essere molto rapida, con una diffusione capillare, ma mentre la tecnologia evolve, la cultura delle persone e quindi delle aziende è insufficiente (intendiamoci, sto parlando della cultura tecnologica ed in particolare della cultura della sicurezza informatica). Non vi è la consapevolezza delle dimensioni del problema, talvolta addirittura dell’esistenza del problema. Fino a quando succede qualcosa.
Il fenomeno ransomware, è stato “utile” in questo senso, perché ha portato all’attenzione di tutti l’esistenza del problema “sicurezza”. Ne hanno parlato anche i media non specializzati, cosa piuttosto rara, ma che fortunatamente sta cambiando. Il problema è che il ransomware ha catalizzato talmente tanto l’attenzione che si è finito per credere che il problema fosse solo questo: invece la differenza tra il ransomware e tanti altri “malware” più subdoli, è che questo si manifesta palesemente con la richiesta di riscatto, mentre molti altri restano latenti e nel frattempo rubano informazioni o rendono accessibili computer a malintenzionati, magari per mesi o anni interi. Guarda caso proprio quanto è successo con EyePyramid.
In questo contesto quale può essere un approccio innovativo? Creare cultura della sicurezza nelle aziende. Non sto parlando ovviamente di saper usare il PC, ma assimilare il fatto che il problema della sicurezza è, e sarà sempre di più, una realtà con cui confrontarci e questo problema va affrontato a tutti i livelli aziendali, pena l’esclusione dal mercato globale.
Quello che intendo con “creare cultura della sicurezza” si riassume in questi 5 punti, che per me e la mia azienda sono un mantra:
- Anticipare gli errori, prevenire
- Cercare i problemi e affrontarli prima che si ingrandiscano
- Premiare chi segnala un problema o un’anomalia (mind-changing)
- Condividere le informazioni
- Imparare dagli errori.
TIG. Quali sono oggi i limiti più gravi, gli aspetti su cui tante aziende risultano ancora poco preparate?
Paolo Sardena. Per dovere di sintesi mi vedo costretto a generalizzare, perché le cose non sono uguali in tutte le aziende, per fortuna. Molto spesso manca proprio la consapevolezza del problema, c’è una tendenza a pensare che “tanto non succederà a me”, fino a che succede! il furto di informazioni è all’ordine del giorno perché è facile e alla portata di tutti. Un tempo l’hacker era una persona tecnicamente molto preparata, mirava un’azienda e dedicava giorni nel tentativo di violarne la sicurezza. Ora è tutto diverso: si trovano strumenti già pronti su Internet alla portata di tutti, oppure si possono noleggiare per pochi euro, anche in modalità “As-a-service”, comprensivi del supporto offerto da uno specialista. Senza contare l’ingresso nel “mercato” della criminalità organizzata.
Questo dispiegamento di forze fa sì che nessuno possa dirsi al sicuro: magari per sbaglio, ma sicuramente un attacco in qualche forma lo hanno subito quasi tutte le aziende, il ransomware ne è un esempio.
Quelle aziende invece che il problema hanno deciso di affrontarlo, si trovano nella difficoltà di implementare un sistema efficacie, perché si affidano solo ed esclusivamente alla tecnologia: se il problema della sicurezza informatica fosse solo tecnologico, la tecnologia lo avrebbe già risolto.
Troppo spesso ci si dimentica che lo strumento tecnologico è in mano alle persone e se queste non hanno un minimo di conoscenza su come riconoscere una minaccia rimarranno sempre l’anello debole della catena. Dovrebbero invece diventare la principale delle difese. Se riprendiamo il caso EyePyramid, l’attacco è cominciato con una mail di phishing, quindi un attacco rivolto alle persone, ed è terminato quando una di queste, ha notato un’anomalia e ha avuto il coraggio di evidenziarla. Le persone possono essere la vulnerabilità, ma anche la difesa. Non a caso uno dei 5 punti che prima ho citato valorizza proprio chi ha il coraggio di segnalare qualcosa di anomalo.
TIG. Come può un’azienda aumentare la sua capacità di risposta, in modo efficace? quali sono le vostre esperienze in questo ambito? quale approccio raccomandate?
Paolo Sardena. Per affrontare con efficacia il problema della sicurezza informatica secondo noi si deve agire su tre fronti, tecnologico, umano e culturale. Sul fronte tecnologico, dotarsi di efficaci strumenti di prevenzione è sicuramente fondamentale, ma non è sufficiente. La sicurezza deve seguire l’evoluzione dell’azienda per essere sempre valida, deve adattarsi ai cambiamenti interni ed esterni. Per fare questo è necessario approcciare la sicurezza come un processo continuo, fatto di azioni e verifiche, il risultato delle verifiche sarà l’input per nuove azioni. Può sembrare un metodo molto oneroso, ma non lo è, anzi, adeguando gli strumenti ad ogni cambiamento si devono apportare di volta in volta solo minime modifiche che rendono l’intero sistema continuamente sicuro. Diversamente, accumulare modifiche da fare in blocco come reazione ad un incidente di sicurezza, può essere molto più impattante in termini economici e di tempo, oltre che poco efficace.
Un altro aspetto tecnologico da considerare è la gestione delle informazioni: sicurezza vuol dire intelligence. Ogni strumento che noi possiamo dispiegare, genera informazioni: log, eventi, notifiche, allarmi, etc…, altre arrivano da feed esterni che ci dicono cosa succede nel resto del mondo. Gestire bene questi dati può significare prevenire un incidente o quantomeno reagire tempestivamente prima che questo causi un danno significativo. Padroneggiare questa mole di dati può fare la differenza tra essere sicuri o non esserlo.
Il secondo ambito, quello a noi più caro, è relativo alle persone, lo abbiamo già detto, ma vale la pena ripeterlo: chi ha in mano gli asset fondamentali di un’azienda sono le persone. Non possiamo pensare di non includerle nel processo di sicurezza. Chiaramente non sto parlando di installare un antivirus sul PC o sullo smartphone, questo è ormai scontato: si sta parlando di fornire alle persone quelle informazioni necessarie perché esse stesse possano contribuire a rendere sicura l’azienda. Riconoscere una mail di phishing, cosa fare e cosa non fare quando si naviga in Internet, far capire agli utenti che lo smartphone non è più solo un telefono, ma un oggetto che contiene dati aziendali e dal quale è possibile connettersi in azienda, ancora prima, far capire alle persone che ci sono azioni ed atteggiamenti che possono ledere la sicurezza loro e della loro azienda e che ci sono innumerevoli attori che fanno leva proprio sulle vulnerabilità umane per ottenere il loro scopo. Questo può aiutare il processo di sicurezza, molto di più ed in maniera più duratura, di un qualsiasi Antivirus o IPS.
Il terzo ambito, molto ambizioso, ma sicuramente determinante è quello di cambiare la cultura aziendale.
Il tema della sicurezza deve uscire dalle segrete stanze del reparto IT per essere condiviso in azienda, solo così si potrà avere il giusto commitment per affrontare il problema in modo serio ed efficacie.
Premiare chi segnala un errore o un’anomalia è un cambiamento culturale radicale, perché invita a condividere piuttosto che a nascondere per paura. Noi non stiamo dicendo che chi sbaglia non subisce conseguenze, stiamo dicendo che chi sbaglia e lo dice tempestivamente, viene premiato. E’ un concetto difficile da recepire. Condividere le informazioni significa abbattere i silos che si creando nelle aziende.
La sicurezza è trasversale, una vulnerabilità su un applicativo web esposto, interessa chi si occupa di sicurezza, di applicativi, i sistemisti e il business che con quell’applicativo lavora. Il rimpallo di responsabilità non aiuta nessuno anzi, è il brodo che fa crescere i problemi.
Negli anni, prima come singoli, poi come INTUITY, abbiamo lavorato presso grandi multinazionali, security vendor e piccoli system integrator, abbiamo realizzato SOC in Italia ed all’estero, abbiamo avuto come clienti ogni espressione di azienda Italiana e sempre abbiamo notato una forte dipendenza culturale nei confronti della tecnologia. La tecnologia come unico modo per affrontare il problema della sicurezza.
Noi crediamo che sia il momento di fare un passo oltre, includere le persone nel processo di sicurezza e lavorare sulla cultura aziendale. Solo così si farà quel passo in avanti necessario per affrontare il problema nel modo più efficacie ed efficiente.
A cura di:
Elena Vaciago, The Innovation Group