L’informazione è potere, la sua protezione è cruciale. Ecco perché è importante difendersi da criminali informatici, hacker governativi e cyber terroristi
Pierluigi Paganini è un esperto di cybersecurity, autore di libri e di pubblicazioni sul tema e anche direttore del master in Cybersecurity della Link Campus University di Roma. Il suo blog, Security Affairs rappresenta un punto di riferimento per molti esperti ed appassionati di cybersecurity ed Intelligence. Ingegnere informatico, autodidatta della prima Internet, lavora per l’Enisa ed è consulente del SIPAF. L’abbiamo intervistato per Startupitalia.
L’hacker etico
Paganini, entriamo subito in argomento. Lei ha avuto una carriera piuttosto interessante, e in alcuni dei suoi profili sul web si presenta come hacker etico. Perché lo considera importante?
P.P. Un hacker etico è innanzitutto un professionista che utilizza le metodiche di hacking per fini legali, opera quindi seguendo un codice etico che si fonda su solidi ed imprescindibili principi. Crediamo profondamente nella condivisione delle informazioni, nel libero accesso alla tecnologia e nell’apertura dei sistemi.
Un hacker etico opera per scoprire falle nei sistemi che esamina con l’intento di condividere tale informazioni con coloro che gestiscono tali sistemi. Il fine è quello di migliorare la sicurezza complessiva dei sistemi, scoprire le vulnerabilità e correggerle prima che possano essere sfruttate da malintenzionati, spesso riferiti con il termine black hat hacker e che operano per lo più per fini illeciti.
Bene, io spendo la quasi totalità del mio tempo animato dai principi cui accennavo pocanzi.
Altrove lei ha detto che la sicurezza informatica è un asset competitivo per le aziende e non solo per quelle di informatica. Ci spiega meglio questo concetto?
P.P. La sicurezza informatica è un investimento, e non un costo da ridurre come in troppi erroneamente pensano.
Un’azienda che opera adottando le best practice in materia sicurezza informatica è un’entità che implementa processi che ne migliorano inevitabilmente l’execution. Queste aziende sono quindi meglio strutturate, sono sicuramente partner più affidabili, e quindi possono rivolgersi ad una porzione di mercato più ampia e soprattutto con la corretta impostazione in materia cyber security.
La sicurezza informatica oggi è un fondamento della nostra società. Tra qualche anno sceglieremo l’auto non solo per la cilindrata, ma probabilmente anche per il sistema di difesa informatico che la equipaggia.
L’adozione di standard in materia sicurezza, come ad esempio la ISO 27001, da parte di aziende di ogni settore certifica che queste imprese sono in grado di controllare l’intero processo informativo e quindi aumentare la resilienza della struttura ad incidenti informatici, siano esse accidentali o causati da minacce di vario genere.
Investire in sicurezza significa spendere per ottenere un sicuro ritorno nel medio e lungo periodo.
Cybersecurity, soldi e politica
Quanto vale oggi secondo lei il “mercato” della sicurezza informatica?
P.P. Bella domanda. Potenzialmente illimitato. Viviamo in una società che dipende completamente dalla tecnologia. Grazie all’Internet delle cose, pensiamo ai wearable devices (i.e. smart watch, Google glass, braccialetti intelligenti, dispositivi mobile, etc), l’essere umano è parte integrante della rete globale che connette ogni genere di dispositivo. Questo significa che il numero di servizi fruibili tramite questa rete aumenterà esponenzialmente nel tempo, così come le minacce informatiche. Per questo motivo, un approccio “security by design”, ovvero considerare la sicurezza un requisito funzionale prima ancora della realizzazione di un prodotto, è vitale. Pensare alla sicurezza di questi dispositivi, e di ogni componente tecnologica che ci circonda, è fondamentale. In tal senso tutti i maggiori player tecnologici si stanno adoperando per rendere la sicurezza informatica trasparente all’utente, garantire l’utilizzo della tecnologia in totale sicurezza e senza affanno è la sfida che stiamo affrontando.
Oggi qualunque dispositivo “intelligente” presente in casa è potenzialmente un punto di ingresso per un hacker, potreste essere spiati dal baby monitor che usate per sorvegliare i vostri bimbi, oppure dalla smart TV e persino dalla vostra console di gioco.
L’informazione è potere, la sua protezione è cruciale, per questo motivo non pongo limiti al valore di un mercato dinamico come pochi.
A Strasburgo e Bruxelles lavorano alacremente a rendere operativi i piani comunitari per rendere l’Unione Europea competitiva nel settore della crittografia e della cyberdefence (Ne abbiamo parlato qui). Cosa ne pensa?
P.P. L’impegno dell’Unione Europea è a mio avviso un dovere, siamo in un momento di radicali cambiamenti, tecnologici quanto culturali. Ma il cambiamento è tale quando coinvolge tutti, e le massime autorità europee ne sono consapevoli.
I nuovi piani operativi guardano soprattutto al cittadino ed al suo vissuto digitale. Cyberspazio e mondo reale si fondono e si influenzano in maniera reciproca. Pensiamo che dall’osservazione degli eventi nella rete si hanno indicazioni fondamentali per comprendere e prevedere fenomeni nel mondo reale, e viceversa.
Dobbiamo quindi confrontarci con gli aspetti di sicurezza, ma al tempo stesso preservare la privacy del cittadino. Sono sfide importanti, raccolte con grande impegno dall’Unione Europea che si avvale dei maggiori esperti del settore.
E della direttiva europea sulla cybersecurity?
P.P. Importante quanto auspicata, parliamo per chi ne fosse a digiuno, di una direttiva che guarda con attenzione alle infrastrutture critiche delle Comunità Europea ed alla loro difesa.
Ogni giorno utilizziamo in maniera più o meno consapevole sistemi di telecomunicazione, cosi come i trasporti, i sistemi bancari e le reti elettriche. I sistemi che sovraintendono a questi servizi sono definiti critici, in quanto l’operato del paese dipende dal loro corretto funzionamento, per questo motivo la loro protezione è una prima necessità.
Queste componenti sono ad elevato contenuto tecnologico, tuttavia in molti casi non sono state progettate per essere resilienti ad attacchi informatici. Ulteriore aggravante è che una pletora di attori malevoli guarda con crescente interesse a queste strutture ed alla possibilità di attaccarle, pensiamo a gruppi di criminali informatici per fini estorsivi, hacker governativi per attività di information warfare e cyber terroristi.
La minaccia sta diventando sempre più complessa e per questo motivo è necessario implementare ove necessario, e coordinare tutti i sistemi di difesa a protezione di queste strutture.
Ci troviamo dinanzi a minacce transnazionali per questo motivo è necessario un coordinamento Europeo che favorisca la circolazione delle informazioni e definisca linee guida per l’adozione delle misure necessarie alla difesa delle infrastrutture critiche nazionali.
Cyberthreats, malware e sabotaggio
Ci dice quali sono secondo lei tre minacce più pericolose relative al mondo digitale?
P.P. Per attitudine considero ogni minaccia pericolosa, ma so che si aspetta una risposta e quindi le dico che sicuramente i cosiddetti malware si stato sono senza dubbio una delle minacce più pericolose.
Trattasi di codici malevoli ad elevata complessità che sono in grado di eludere ogni sistema di difesa, questo perché fruttano falle non note nei sistemi attaccati, le cosiddette vulnerabilità zero-day.
Questi malware possono essere usati in campagne di spionaggio oppure in attacchi di sabotaggio, come quello condotto in Iran contro le centrifughe nella centrate nucleari di Natanz mediante il virus Stuxnet.
Quello che temo è che simili codici possano sfuggire al controllo di chi li ha progettati ed arrecare danni irreparabili ad altre strutture esposte in rete, e potrebbe trattarsi di incidenti che costeranno anche vite umane.
Altra minaccia concreta è quella apportata dai codici malevoli agli oggetti dell’Internet delle Cose. Pensate di rientrare a casa e non avere più alcun accesso al vostro TV perché un ransomware lo ha infettato e vi chiede il pagamento di un riscatto per restituirvi l’amato televisore.
La problematica è molto più seria se consideriamo che codici malevoli scritti per l’internet delle cose possono compromettere i sistemi di un ospedale. È già accaduto ed accadrà con sempre maggior frequenza se non adottiamo la corretta impostazione in materia cyber security.
Ma la minaccia più grande al mondo digitale è l’essere umano e la sua assoluta inconsapevolezza della minaccia cibernetica. La quasi totalità degli attacchi confida nell’errore umano, nella sua incapacità di rispondere correttamente alla minaccia, per questo motivo è fondamentale diffondere conoscenza.
Una domanda personale: ci dice come è arrivato ad interessarsi di tematiche relative alla cybersecurity?
P.P. Mi occupo di informatica da sempre, da bambino come molti ragazzi della classe ’72 mi cimentavo con il Commodore VIC 20 e le prime linee di codice. Fui stregato da quella che consideravo una meraviglia tecnologica. Di lì in poi è stato un susseguirsi di scoperte, con il codice è possibile tradurre il pensiero umano, trasferire le nostre idee alle macchine e lasciare che eseguano per noi operazioni talvolta estremamente complesse.
Ma più mi appassionavo alla materia e più mi rendevo conto che quelle linee di codice, oggi presenti in ogni oggetto che ci circonda, possono nascondere innumerevoli insidie. I software, così come le componenti hardware, sono il prodotto del nostro operato imperfetto, per questo motivo ho preso a studiare tali “imperfezioni” cercando di comprendere come possono essere sfruttare per alterare i processi alla base della loro progettazione.
Sono maledettamente curioso, ogni qual volta vedo un oggetto cerco di comprendere come è fatto mosso da una irrefrenabile voglia di smontarlo per poi ricostruirlo, il tutto per cercarne difetti ed imperfezioni. Sebbene mi sia laureato in Ingegneria Informatica, la maggior parte delle mie conoscenze è frutto di studi da autodidatta, di notti insonni passate in rete. E non era quella che conosciamo oggi accessibile a tutti. Erano comunità chiuse, in cui ognuno aveva uno pseudonimo al quale si è legati in maniera indissolubile, erano gruppi di voraci esperti da ogni dove che avevano un unico interesse, la sicurezza dei sistemi che ci circondano.
Finiamo con una battuta: le piace di più il temine cybersecurity o sicurezza informatica?
P.P. Cyber security ha sicuramente un maggiore appeal, è un termine riconosciuto a livello internazionale e per natura stessa della materia ci muoviamo in uno spazio privo di confini in cui qualunque cosa aumenti la diffusione “virale” di un termine è vincente.
Opto quindi per cyber security … ma sorrido mentre le rispondo.