TIG. Il tuo ultimo libro “Storie di Cybersecurity: Appunti di viaggio nel mondo del rischio cyber” propone un percorso attraverso la storia e i concetti fondamentali della cybersecurity. La narrazione utilizza un linguaggio il più possibile semplice e chiaro, in modo da rivolgersi a chiunque (specialmente ai giovani, che possono essere interessati a intraprendere questa professione) ma con un taglio manageriale.
Sono frequenti i riferimenti all’attualità, e risultato particolarmente istruttive le descrizioni di alcuni “casi famosi”, come la storia della botnet Mirai, la guerra ibrida in Ucraina, l’attacco Supply Chain a SolarWinds e ai suoi 18mila clienti. Molto spazio però è anche dedicato a consigliare gli approcci migliori, i processi e le metodologie consolidate, per una corretta strategia aziendale di contenimento di questo rischio. Il libro racconta – o meglio, spiega – cosa è il rischio cyber, quali sono tutti i tasselli (hacker, attacchi, tecniche, vulnerabilità, ransomware, crittografia, cloud, intelligenza artificiale) che compongono un fenomeno sempre più presente sui media e nella vita di tutti noi. In sostanza, da dove è nata l’idea di questo libro e quali obiettivi ti sei posto?
Marcello Fausti. L’idea del libro nasce da una chiacchierata con un mio vecchio capo, più grande di me di età ma ancora “sul pezzo”. Ad un certo punto della conversazione il mio vecchio capo disse una cosa che mi colpì molto e che suonava più o meno così: “Vedi, ad un certo punto del proprio percorso professionale e manageriale, soprattutto quando si è dato molto e altrettanto si è ricevuto, è buona cosa impegnarsi per restituire agli altri una parte di quello che si è avuto”. Questo è il punto di partenza. Ragionando un po’, mi accorsi che quello che potevo mettere a disposizione degli altri erano le competenze accumulate in diversi anni di militanza in grandi aziende, sia in termini di conoscenza del mondo del rischio cyber che in termini di approccio manageriale. Mi resi, poi, conto di avere già tanto materiale divulgativo preparato sia per occasioni aziendali che per eventi pubblici ed ecco nascere l’idea del libro. Mi sono detto che sarebbe stato bello dare una mano ai giovani che volessero avvicinarsi al mondo della cybersecurity (cosa di cui abbiamo tanto bisogno) e, quindi, è nata l’idea di uno strumento divulgativo scritto con un linguaggio semplice, diretto, con contenuti tenuti assieme da tante storie, come in un racconto.
TIG. Descrivi molto bene nel tuo libro come ha avuto origine la cybersecurity, come siano nate, in parallelo con le innovazioni digitali, tecniche e processi difensivi, ogni qualvolta veniva individuata una vulnerabilità o una nuova minaccia. Questo già a partire dai primi virus per PC e poi con Internet, in modo da prevenire il diffondersi di attacchi sempre più gravi. Emerge una visione della cybersecurity in continua rincorsa, rispetto alla velocità con cui sono state introdotte le tecnologie negli ultimi decenni. Dal tuo punto di vista, l’approccio seguito per la difesa è stato ottimale o si sarebbe potuto intervenire con maggiore anticipo?
Marcello Fausti. È vero, la cybersecurity è condannata a rincorrere perché (come spiego nel libro) c’è una evidente ed incontrovertibile asimmetria tra chi attacca e chi difende: in un contesto in cui la superficie digitale attaccabile cresce a dismisura e sempre più velocemente, chi attacca può mettere a fuoco un singolo punto ed una singola debolezza (magari non nota pubblicamente) mentre chi difende deve concentrarsi su tutta la superficie esposta. La disparità di mezzi (economici ed umani) necessaria a gestire questa dinamica è del tutto evidente. Solo le grandissime strutture, quelle dotate di budget elevati e di grandi capacità tecniche e manageriali hanno la speranza di riuscire a stare al passo dell’evoluzione delle minacce. Cito le capacità manageriali perché sono convinto che una gran parte della possibilità di creare organizzazioni resilienti, passi per la capacità di comunicazione delle donne e degli uomini che si occupano di cybersecurity. Senza comunicazione non è possibile la condivisione degli obiettivi da raggiungere attraverso processi di sicurezza che devono entrare a far parte della vita quotidiana di tutti. Il libro spiega come sia difficile stare al passo del ciclo vulnerabilità-patch-applicazione della patch, anche se AIML, analisi comportamentale e Threat intelligence ci danno qualche possibilità di difesa in più. È evidente che la consapevolezza di queste dinamiche e l’adozione di comportamenti consapevoli da parte di tutti è di grande aiuto allo scopo di implementare una strategia difensiva di successo.
TIG. Concludi il tuo libro con un racconto (immaginato, ma molto realistico) sulla gestione di un incidente cibernetico di dimensioni catastrofiche. Descrivi i passaggi per venire a capo del problema, i passi che permettono di uscire dall’emergenza, le lezioni tratte. Quanto è importante, secondo te, riflettere sulla situazione attuale, provando a immaginarsi il peggio?
Marcello Fausti. Direi che è un esercizio fondamentale che deve essere eseguito di continuo, raffinando costantemente la capacità di analisi di scenario che – in fin dei conti – è l’essenza del nostro lavoro: identificare scenari di rischio costruiti sul nostro business, analizzarli per determinare i potenziali impatti, ordinarli per priorità, comunicare il rischio e gli impatti correlati alla catena gerarchica, individuare elementi di mitigazione diretta o indiretta del rischio. È un approccio che ci obbliga ad abbandonare il punto di vista delle best practice per adottare il punto di vista del business della nostra azienda e le sue priorità: in tal senso, è un esercizio che ci aiuta a mettere la gestione del rischio cyber al giusto posto nelle priorità aziendali.
TIG. Stiamo oggi entrando in una nuova era, in cui – con l’esplosione di dati disponibili per l’addestramento, risorse elaborative diffuse grazie al cloud, e 50 anni di ricerca alle spalle che hanno affinato le capacità di machine learning e deep learning – le macchine intelligenti sono ora in grado di superare in alcuni contesti le capacità umane. Probabilmente è ancora presto per parlare di come mettere in sicurezza questi sviluppi dell’intelligenza artificiale: se pensiamo alla GenAI, ne stiamo ancora sperimentando l’efficacia in molteplici ambiti aziendali. L’esperienza ci insegna però che, considerando la velocità con cui queste innovazioni tecnologiche trovano poi impiego, non solo nei processi produttivi ma anche nella vita di tutti noi, sarebbe bene riflettere sui possibili rischi informatici correlati. Nel tuo libro in più punti affronti il tema di come le tecniche AIML (artificial intelligence – machine learning) trovino già impiego in ambito cybersecurity. È evidente che a breve non potremo più fare a meno di queste soluzioni. Quali saranno allora gli inevitabili accorgimenti da introdurre?
Marcello Fausti. Le tecnologie di AIML sono in uso nel mondo della cybersecurity già da circa dieci anni con un grado di efficacia che è cresciuto nel tempo fino a raggiungere un livello di utilità considerevole. La GenAI, invece, è un mondo ancora da esplorare per lo meno dal punto di vista di chi difende. Sappiamo, invece, che le nuove tecnologie di AI generativa saranno in grado di confezionare “falsi” praticamente perfetti diminuendo ancora di più la nostra capacità di distinguere il vero dal falso (altro tema trattato nel libro). Ci aspettano mail di phishing in grado di superare qualsiasi filtro in ingresso e comunicazioni 1to1 con un livello di verosimiglianza tale da essere in grado di ingannare qualsiasi interlocutore. Meno chiaro è, invece, che usi fare della GenAI a scopi difensivi, anche se l’analisi degli scenari di rischio potrebbe essere un’applicazione molto utile.