LA “GRANDE CONVERGENZA” SARÀ IL TEMA DEI PROSSIMI ANNI
Intervista VIP con Alessandro Curioni
In questa delicata fase di trasformazione sociale ed economica che sta cambiando il volto delle nostre città la sicurezza è sempre più al centro dell’attenzione. Quello che colpisce è la rapidità crescente e la sofisticazione con cui gli attacchi cyber mettono a rischio le organizzazioni complesse. Lei ha recentemente pubblicato il giallo “Il giorno del bianconiglio” (ed. Chiarelettere), si tratta di un progetto che presenta più facce (probabilmente diventerà una serie Tv). Da quale molla è stato spinto?
Questo romanzo nasce da un’idea improvvisa legata a un fatto di cronaca che risale alla fine del 2015, quando circa 80 mila abitanti di Kiev restarono al buio a causa di un attacco informatico alla rete elettrica. Al momento pensai che qualcuno avrebbe potuto scriverci un libro, poi alcuni amici mi convinsero che l’autore potevo essere io. Detto questo è innegabile che rientra nella mia idea di divulgazione quella di stimolare la riflessione sul tema da parte di un pubblico sempre più vasto e, se parliamo di libri, la narrativa è di gran lunga il genere che vanta il maggior numero di lettori.
Guardiamo all’attualità. Il recente attacco alla Regione Lazio è solo l’ultimo di una catena di eventi che ha riguardato partiti politici, infrastrutture critiche, strutture sanitarie. Cosa dobbiamo apprendere da questi fenomeni, destinati a ripetersi in quella che definiamo società del rischio?
La prima e più importante lezione che ci offre un caso come quello della Regione Lazio deve essere la consapevolezza di come un incidente che si verifica nel mondo digitale sia in grado di produrre effetti devastanti anche in quello reale. La seconda si può sintetizzare in una semplice affermazione: “nessuno è al sicuro”. Da un lato accanto ai casi mediaticamente rilevanti se ne verificano decine di cui non si ha notizia, dall’altro il più oscuro fornitore di una grande organizzazione può essere la testa di ponte ideale per colpire il “pesce grosso”.
La cyber security, come dimostra la recente creazione di un’agenzia nazionale, ha assunto un valore strategico. Quali iniziative vanno messe in campo per rafforzare le capacità di difesa degli stati, particolarmente esposti all’azione di criminali ben organizzati e senza scrupoli?
Mi permetta una provocazione: a questo punto sarebbe opportuno passare dalla strategia all’azione. Continuare a dire che è indispensabile un’azione a livello internazionale o fare dichiarazioni di principio sulla cooperazione tra questo e quel paese non basta più. La cosa più importante è stata probabilmente l’iniziativa normativa riguardante le infrastrutture critiche, un passaggio importante che tuttavia richiede ulteriori affinamenti. In primo luogo, la creazione di un meccanismo di information sharing tra gli attori coinvolti, che non può dipendere dalla buona volontà dei singoli o dai rapporti di amicizia che legano diversi security manager. Altro aspetto decisivo, evitare di avere una situazione a due velocità che porterebbe inevitabilmente lasciare indietro le PMI e le piccole pubbliche amministrazioni trasformandole in vittime designate. Questo vale non solo per l’Italia, ma anche per qualsiasi altro paese.
Il Cloud di stato
Il ministro Colao ha proposto la creazione di un “Cloud di stato” per aggregare competenze e azioni strategiche di cyber security. Cosa pensa di questa iniziativa?
Potrebbe avere il vantaggio di standardizzare il livello di protezione di tutte le realtà che usufruiranno dei suoi servizi, ma per contro potrebbe diventare un pericolosissimo “single point of failure”: un attacco che avesse successo potrebbe azzerare la capacità operativa dell’intero apparato statale. Come sempre a fare la differenza sarà l’esecuzione del progetto.
Prevenire, come è noto, dovrebbe essere molto meglio che curare. Vi sono best practices e metodiche cui i manager della sicurezza possono fare utilmente riferimento?
La corretta valutazione del rischio cyber è il vero “Sacro Graal” del settore. Riuscire nell’impresa permetterebbe di aumentare di ordini di grandezza la capacità di prevenzione e di allocare in modo efficace ed efficiente le risorse. La difficoltà che al momento sembra insormontabile non è tanto nel metodo o nelle modalità con cui il rischio viene analizzato, valutato e gestito perché esistono framework e best practices anche molto raffinate, ma in quello che si trova a monte. Mi riferisco alla raccolta delle informazioni necessarie e alla qualità del dato. In buona sostanza il problema è l’input. Facciamo un confronto con un’altra attività di valutazione del rischio: la polizza furto in ambito automobilistico. Nel definire il premio le assicurazioni partono da basi dati molto precise, articolate che permettono di stabilire un dato soggetto, che utilizza una certa vettura in una specifica località a quale livello di rischio è soggetto. Questo per la semplice ragione che tutti i furti di auto vengono denunciati in modo circostanziato. Quelle stesse informazioni viceversa non esistono rispetto ai furti di dati. Pochi denunciano e spesso quelli che lo fanno non sono in grado di fornire anche i dettagli più elementari come il quando e il dove. Alcuni pensano che la soluzione sarà in qualche algoritmo intelligente, ma resta il fatto che senza il supporto di database sufficienti è impossibile perseguire i responsabili.
Strutture come i Cert e i Data center sono gli asset di difesa utilizzati da molte aziende. Come debbono attrezzarsi per disinnescare tutto quello che avviene nella parte “oscura della rete”?
Il problema non è tecnologico, ma riguarda le competenze. Dobbiamo prendere atto che tutte le diverse categorie di professionisti che rientrano nel dominio della cybersecurity sono numericamente inadeguate a fare fronte alle richieste di mercato. Mi limito a citare il caso dello scorso agosto, quando le principali società di cyber security olandesi hanno chiesto un intervento del governo perché non più in grado di gestire tutte le richieste di intervento che arrivavano. Alla fine per disinnescare una bomba ci vuole un artificiere e per il momento non può essere altro che un essere umano, a patto di avere a disposizione gli strumenti adatti, le buone tecnologie, infatti, non mancano.
La fragilità è nel DNA della rete
La debolezza di Internet, ha detto in una recente interessante intervista apparsa sul Corsera, dipende dall’interconnessione di web ed elettricità, mix che rende questa infrastruttura potente ma fragile. Lo sviluppo dell’IOT e dei BIG Data rende ancora più complesso il quadro. I manager della sicurezza quali saperi debbono mettere in campo a fronte di uno scenario in continua evoluzione?
La cosiddetta grande convergenza sarà il tema dei prossimi dieci anni accanto all’utilizzo delle grandi basi e delle intelligenze artificiali. Impossibile conoscere e tanto meno padroneggiare tutte le tecnologie sottostanti. Credo che un buon manager più che competenze dovrà mettere in campo una particolare “sensibilità” che deve spingerlo a farsi continuamente delle domande. Per esempio: la nuova macchina smart per il vending del caffè che l’azienda ha deciso di installare può essere una minaccia? Ovviamente sì. Ricordiamoci che quando si parla di tecnologia conta “quanto ne sai”, se parliamo di sicurezza conta “chi sei”.
Il capitale umano rimane l’anello debole della catena. Quali investimenti vanno programmati e quali strumenti utilizzati per rafforzare know how e competenze su questo importante e imprescindibile ambito?
Si tratta di un tema di educazione che non si risolve con un corso aziendale, ma attraverso programmi pluriennali. Non serve infatti addestrare qualcuno all’utilizzo di un software, occorre cambiare il suo modo di pensare e di conseguenza agire. In questo senso serve con estrema urgenza un intervento deciso sul mondo della scuola, la principale agenzia educativa. Introdurre come obbligatoria l’educazione digitale sarebbe un primo passo per creare quella consapevolezza di base sulla quale poi costruire le capacità critiche necessarie per affrontare la società dell’informazione. Non dimentichiamoci che i ragazzi oggi alle elementari e alle medie saranno quelli che domani gestiranno i centri di controllo delle smart city, dei trasporti automatizzati e via dicendo.
La resilienza è un termine “vigliacco”, la definizione provocatoria è di Nicholas Taleb autore di un interessante saggio “Antifragile” in cui sostiene che non bisogna rimuovere le fragilità ma lavorare su di esse per superare ogni atteggiamento difensivo e sfidare la complessità e i processi non lineari. Sul piano non solo e non tanto teorico, quanto squisitamente pratico, il consiglio di Taleb la convince?
La teoria è una grande cosa, ma il passaggio alla pratica è spesso più complesso del previsto. Diciamo che oggi il temine resilienza più che vigliacco è abusato e spesso utilizzato impropriamente o almeno in modo un po’ troppo estensivo. Credo che il tema di Taleb offra qualche importante spunto su riflessioni che poi portano a decisioni e conseguenze molto pratiche. Personalmente, in senso un po’ più esteso, faccio spesso riferimento a una pratica che ho chiamato “problem unsolving”. Cerco di chiarire con un esempio. Una delle ossessioni che affligge chi si occupa di cyber security è la vulnerabilità. Poche cose ci mettono ansia come la scoperta di un bug in un software o di una lacuna di un protocollo a cui per somma sfortuna corrisponde un exploit. Proviamo a immaginare che la nostra vulnerabilità venga resa inoffensiva modificando la configurazione di un nostro sistema di sicurezza. Il problema non è risolto, ma non è più un rischio. Dopo sei mesi, appare la patch che rimuove il bug. In quel momento si deve prendere una decisione: installarla con il rischio, legato a qualsiasi cambiamento, di introdurre una nuova vulnerabilità della quale non sapremmo nulla, oppure lasciare le cose come stanno?
In buona sostanza esiste la possibilità che non tutti i problemi debbano essere risolti e, di conseguenza è possibile che non tutte le fragilità debbano essere rimosse. Rimane piuttosto di importanza fondamentale continuare sempre a farsi domande, non cessando mai di esercitare il dubbio. Per nessuna ragione al mondo, le dico in conclusione, dobbiamo smettere di riflettere.
Autore: Massimiliano Cannata
