Cyber Security: cosa sapere e cosa fare

 Cyber Security: cosa sapere e cosa fare
Andrea Zapparoli Manzoni

Laurea in Scienze Politiche all’Università Cattolica di Milano e un progetto di ricerca a Berkley in Relazioni Internazionali, Andrea Zapparoli Manzoni non ha certo un background tecnico. Eppure è considerato il maggior esperto italiano di Cyber Security: il tema tech del momento.

Il caso delle elezioni USA, con gli hacker Russi che influenzano la campagna attaccando il comitato dei Democratici, ha fatto le headlines di tutto il mondo; lo scandalo della “centrale di cyber spionaggio” romana, guidata secondo le prime indagini dai fratelli Occhionero, è notizia di questi giorni.

Ma anche per le imprese il tema della Cyber Security dovrebbe essere all’ordine del giorno. Per le aziende, infatti, la sicurezza informatica significa potenzialmente la differenza tra poter fare business oppure no. Che succede se un attacco informatico blocca la produzione robotizzata sulle linee di una PMI del settore automazione?

Milanese, classe 1968, Zapparoli Manzoni è un manager carismatico e diretto, con una preferenza per le metafore militari (ha fatto la leva da ufficiale, ndr) ed il pragmatismo di chi le cose le ha viste e vissute sul campo – in prima persona. Soprattutto, secondo i più, è ad oggi la prima persona in Italia a cui chiedere cosa dobbiamo sapere e cosa dobbiamo fare in fatto di sicurezza informatica.

Aggiungo che dal 2012 anima il Board del Clusit, l’Associazione Italiana per la sicurezza informatica. Ed è il redattore dell’annuale “Rapporto sulla Sicurezza ICT in Italia” (50k downloads nel 2014). Dal 2015, inoltre, è il Responsabile dei Servizi di Cyber Security per l’Italia di KPMG, il colosso multinazionale della consulenza.

Lei è la persona giusta per rispondere a molte delle domande che le imprese si fanno in tema di Cyber Security. Proviamo a spiegare perché.

Esperienza e passione. Non ho un background tecnico, ma sono approdato al mondo dei computer già nell’82. E sono cresciuto con loro, quindi, passando come molti della mia generazione attraverso il Commodore 64. Infine e finalmente, dopo 20 anni di esperienza ed analisi sul campo, la passione è diventata un mestiere. Di fatto, poi, il mio punto di vista non è certo quello ingegneristico. Piuttosto, è un approccio manageriale per affrontare due macro aree: la prima è quella dell’analisi delle minacce (che risponde alla domanda “chi c’è dall’altra parte e quale tipo di danno mi può arrecare?”), la seconda è quella della gestione del rischio (“come posso ridurre e/o eliminare il rischio di un attacco?”). Un approccio strategico, quindi, per la difesa dagli attacchi informatici di cui sentiamo parlare tutti i giorni.

Ma che cos’è un attacco informatico? Possiamo fare un esempio per le aziende?

Un hacker ruba tutti i miei file aziendali. E mi chiede un riscatto per restituirli. Questo è un buon esempio. Un esempio che ci permette di mettere in luce anche il fatto che esistono due tipi di danni: un danno diretto ed un danno indiretto. Il primo è, in questo caso, il quantum richiesto come riscatto. Il secondo, invece, è ben rappresentato dai costi relativi ai danni collaterali: l’azienda, senza i suoi file, non può avviare le macchine, ordinare materie prime ai suoi fornitori, gestire gli stock – la produzione rimane insomma bloccata, e così le vendite. Il danno è enorme.

Quanto costano gli attacchi informatici alle aziende?

Per ogni euro di danno diretto (il “riscatto”, nell’esempio sopra) le stime dicono che vengono prodotti 30€ di danni indiretti. E nel “Rapporto sulla Sicurezza ICT in Italia” del 2015 abbiamo stimato un danno totale di 9 Miliardi di €. Una mezza finanziaria, insomma.

Nel 2016 il Ministro Calenda ha varato il piano Industria 4.0 e il governo ha inserito nella legge di Stabilità i primi interventi. Per il periodo 2017-2020 sono previsti investimenti pubblici per 13 miliardi di euro: ci sono abbastanza risorse anche per la sicurezza?

No. Perché gli investimenti sono sullo sviluppo-senza-sicurezza. Cioè si è pensato al business delle IoT senza, a priori, pensare e progettare di conseguenza un approccio sistematico alla Cyber Security. La sicurezza è sullo sfondo, invece che essere in primo piano.

Perché si investe poco, sia a livello istituzionale che aziendale, per la sicurezza?

Perché in Italia c’è una scarsa cultura della gestione del rischio. Pensiamo alla diffusione delle polizze assicurative, rispetto agli altri paesi dell’occidente sviluppato. Ma, tornando alla Cyber Security, i numeri dicono che in Italia oltre il 60% delle aziende è preoccupato dalle tematiche della sicurezza informatica, eppure solo il 30% investe nella gestione del rischio.

Questo vale sia per le grandi aziende che per le PMI?

Vale a maggior ragione per le PMI. Le grandi aziende, soprattutto quelle quotate, hanno infatti degli obblighi di certificazione specifici; ma questi obblighi non esistono per le PMI, dove tutto sta alla buona volontà in tal senso dell’imprenditore.

L’avvento del cloud ci espone di più o di meno, in termini di rischio-sicurezza?

Sia di più che di meno. Mi spiego. Se una PMI ha tutti i suoi documenti nel cloud di uno dei big players della Silicon Valley, questo gli consente di avere accesso a delle misure di sicurezza che solo gli enormi budget dei più grandi attori dell’IT mondiale si possono permettere. E questo è un vantaggio innegabile. Tuttavia, da un altro punto di vista, il fatto di avere tutto online ci espone all’attacco potenziale di migliaia di pirati informatici nascosti tra i 2 miliardi di utenti internet del mondo.

Quali sono le implicazioni per l’industria dal punto di vista della robotica?

Sono le stesse. Ma con conseguenze potenzialmente da incubo: cosa può succedere se viene perso il controllo diretto di un robot che riceve tutti i suoi input online e può potenzialmente nuocere agli operai di una linea di produzione?

Cosa si può fare, in azienda, per mettersi al riparo?

Ci si può muovere seguendo tre principi di buon senso. Il primo è quello di ridurre la superficie d’attacco: come una corazzata in mare, non dobbiamo pensare di lasciare sguarnito tutto il nostro lato lungo, ma piuttosto dobbiamo manovrare per essere esposti ad attacchi solo di prua. Fuor di metafora, quello che non è assolutamente necessario al funzionamento ottimale del business deve essere eliminato / razionalizzato. Alcuni esempi: servono veramente tutti gli account di posta attivi? E i diversi sistemi di CRM? Ed è proprio necessaria la presenza sulla totalità dei social networks disponibili? Il secondo è quello di progettare la gestione della crisi. A priori, senza aspettare di esserci dentro con entrambi i piedi. Si deve cioè programmare le risposte dell’azienda a domande come la seguente: quale contromisura attuare nel caso di un attacco ad una specifica area? Il terzo principio di buon senso è quello di essere pronti a cambiare il modo in cui si fanno le cose in azienda. Un comportamento ripetitivo è infatti molto più leggibile, per un osservatore esterno che ci vuole spiare, è ovvio. Se tutto viene fatto sempre nello stesso modo, quindi, il compito di chi ci attacca è più semplice. Principi che valgono in azienda così come per noi stessi in quanto singoli utenti.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.