Avreste mai immaginato che una tra le principali minacce cyber che affliggono il nostro Paese è un worm del 2008? Come sentir parlare, ai nostri giorni in Italia, di vaiolo!
I termini "cyber" e "cybersecurity" sono da troppo tempo abusati. Lo sono da chi considera il campo un'opportunità per uscite che possano compensare od occultare incapacità politiche personali gravissime, lo sono da chi commenta come fossero "successi" segnali di pericolo imminente.
Sempre più preoccupati per i rischi cyber nel nostro Paese, abbiamo sentito in proposito Microsoft, rappresentata dall’ingegner Carlo Mauceli, per cercare di capire cosa pensa in merito.
Come valuta Microsoft la situazione cyber in Italia?
Parlerò per Microsoft ma senza dimenticare di essere italiano e, quindi, le dico subito che il confronto tra l’Italia e molti dei Paesi che generalmente utilizziamo come termini di paragone è a nostro sfavore e non sembra che vada migliorando.
Le farò un esempio per essere chiaro. Qualche giorno fa ad ITASEC io e alcuni colleghi abbiamo analizzato quali sono le principali infezioni cui le aziende italiane si trovano a combattere. Incredibilmente ci siamo resi conto che si tratta di Conficker, un worm del 2008, di cui si conosce tutto e che avendo i suoi anni dovrebbe essere praticamente scomparso. Cosi in effetti è in buona parte degli altri Paesi mentre nel nostro no.
Cosa significa questo? Sta a significare diverse cose: obsolescenza, scarsa sensibilità, disinformazione, poca propensione alla collaborazione (soprattutto per quanto riguarda partnership tra pubblico e privato) e mancanza di investimenti nel settore informatico. Sia nel mondo delle pubbliche amministrazioni che in quello privato, soprattutto per le piccole e medie aziende, assistiamo ancora alla presenza di computer che hanno più di dieci anni di vita, di sistemi obsoleti, e di applicazioni datate. Ma non solo. La cosa che colpisce è che è necessario cambiare atteggiamento e postura se si vuole, davvero, far fronte a questa situazione.
Per non parlare dei software applicativi… sviluppati in passato senza alcuna attenzione alla sicurezza e, purtroppo, ancora presenti e, dunque, estremamente rischiosi.
Non occorre guardare troppo lontano per imparare e migliorare. Se si conosce il rischio e il nemico, lo si può combattere ma se si fa finta che il problema sia sempre di qualcun altro e che noi siamo i migliori e non corriamo nessun rischio… beh, in questo caso quello che ci arriva non è altro che ciò che ci meritiamo.
Uno dei problemi che vedo in Italia è il suo isolamento. Non possiamo continuare a restare isolati, occorre unirsi agli altri e lavorare assieme. Basta guardare, ad esempio, i Paesi Bassi e la Gran Bretagna ed ancora la Francia e la Germania che attraverso investimenti consistenti, organizzazione, partnership pubblico-privato e serietà sono riusciti a creare un sistema nazionale in grado di aiutare sia le pubbliche amministrazioni sia le imprese e i privati cittadini.
Il tessuto industriale italiano è fatto per il 95% di piccole e medie imprese, se non se ne occupa lo Stato, attraverso investimenti e sgravi fiscali per chi fa aggiornamento tecnologico, chi se ne deve occupare?!!!
Cosa occorre all’Italia per diventare competitiva?
Partiamo da alcuni esempi di altri Paesi per capire come hanno affrontato uno dei problemi più importanti del momento. I Paesi Bassi hanno stimato che entro il 2020 il 25% del loro prodotto nazionale lordo (PIL) sarà composto dall’economia digitale e che il benessere economico dipenderà sempre di più da una economia digitale funzionante, sicura e affidabile. Pertanto, il governo olandese si è posto come obiettivo fondamentale di proteggere e rafforzare il settore ICT e sta investendo nella sicurezza cibernetica del Paese stanziando €300 milioni in quattro anni per la cybersecurity e attuando riforme strutturali per facilitare il raggiungimento dei suoi obiettivi.
Nel 2015, il Regno Unito si è posto l’ambizioso obiettivo di diventare “il luogo più sicuro al mondo per condurre “business online” ed essere un leader mondiale nel settore della cybersecurity. Per raggiungere questi obiettivi, il Regno Unito ha lanciato una nuova Strategia Nazionale sulla sicurezza informatica nel 2016, stanziato quasi 2 miliardi di sterline in cinque anni per la cybersecurity e inaugurato il nuovo National Cyber Security Center come autorità nazionale per la cybersecurity, responsabile per la risposta ad attacchi cibernetici con impatto nazionale, lo scambio di informazioni tra gli attori coinvolti, la riduzione dei rischi generali per la sicurezza informatica del sistema Paese, l’assistenza ad enti e organismi che ne hanno bisogno, la diffusione di informazioni pertinenti e la gestione del Cyber Security Information Sharing Partnership (CiSP), uno strumento che permette lo scambio di informazioni tra organizzazioni e che fornisce un supporto specifico ogni volta che ce ne sia la necessità. Inoltre, è stato lanciato il programma Cyber Essentials, un insieme di criteri e standard che garantiscono una sicurezza informatica di base e un rapporto costi benefici a favore di organizzazioni di tutte le dimensioni e in tutti i settori per aiutarle a proteggersi dai più comuni rischi cyber e aumentare le loro capacità di resistenza verso gli attacchi cibernetici.
In Italia cosa abbiamo fatto?
È stato definito il framework nazionale di sicurezza, è stato nominato come unico punto di contatto il Dipartimento Informazioni per la Sicurezza (DIS) e siamo in attesa della formazione del Computer Security Incident Response Team (CSIRT) per la notifica di incidenti con impatto rilevante oltre ad avere stanziato, durante il governo Renzi, 150 milioni di euro di cui si è persa traccia.
Il "governo del cambiamento" in carica?
Con la nuova legge di bilancio: un milione di euro all’anno per tre anni!
La mancanza di investimenti e l’impossibilità di accedere ad un mercato aperto è un problema, non solo per Microsoft, ma per tutti, e in ultima analisi per il Paese. Per quanto concerne la posizione di Microsoft, è chiaro che sia una società che deve occuparsi di fare business; tuttavia di fronte a scelte incomprensibili per lo sviluppo del Paese, anche noi, come azienda, facciamo fatica a creare le condizioni per potere collaborare in maniera proattiva.
Come esempio, possi dirvi che Microsoft ha un programma Governativo gratuito, noto come Government Security Program, siglato da 70 Paesi nel mondo e che potrebbe aiutare moltissimo per prevenire potenziali incidenti, condividere informazioni di natura tecnica e sviluppare prodotti in linea con le richieste dei Paesi. Da noi, non siamo ancora riusciti a siglare questo accordo nonostante gli sforzi da parte nostra e l’interesse da parte degli stakeholder.
Perché?
Sinceramente, non ho una risposta. Ed è un peccato, perché a ben guardare non è solo interesse di Microsoft ma anche di tutti coloro che in Italia ne usufruirebbero a cascata… deve essere l’interesse di tutti.
La questione degli investimenti è importante: aiutare lo sviluppo di piccole e medie imprese serve a diffondere la cultura cyber, a formare esperti del settore e a creare le basi per una competitività sempre migliore sul mercato.
Quali sono i principali ostacoli che fino ad ora hanno impedito lo sviluppo del settore?
Uno dei problemi principali riguarda lo scambio di informazioni.
Occorre incoraggiare lo scambio di informazioni a tutti i livelli, sia tra i tecnici sia tra i dirigenti e tra i responsabili d’azienda. Se conosco il nemico posso usare la prevenzione… ma se non ho idea di ciò che mi accade intorno… che faccio?
Quando ci chiamano per rispondere ad un incidente, mettiamo a disposizione il nostro know-how e le nostre competenze in materia, sia con risorse umane, un Incident Response Team, sia con le soluzioni che ci permettono di fornire ai clienti lo stato dell’arte e poter, così, intervenire. Microsoft di questi team ne ha diversi in azione in contemporanea nel mondo e ciò ci consente di raccogliere informazioni utili, informazioni che con le dovute attenzioni possono essere condivise. La stessa cosa ci si aspetta da una organizzazione che si faccia carico di questo genere di problematiche. Queste attività di raccordo e di coordinamento devono essere a carico dello stato, con la giusta partecipazione dell’industria, nazionale e non.
Francia e Germania stanno avanti a noi, come Paesi Bassi e Gran Bretagna, allora guardiamo cosa fanno e come lo fanno e impariamo… con modestia.
Occorre inoltre rispettare le norme, sia il GDPR che la direttiva NIS ma non si può pensare che fatta la legge abbiamo risolto il problema. La norma è necessaria ma poi occorre chi si sporca le mani e fa il lavoro sul campo e questo, per ora, non si vede.
Cosa pensa riguardo l’annunciata riorganizzazione del settore che vedrebbe il Ministero della Difesa in prima linea nello sviluppo cyber del Paese?
Ho sentito questa notizia durante il convegno di Pisa. In linea di massima negli altri Paesi vi sono organizzazioni separate, una statale che supporta tutti e regola la materia e una organizzazione separata per le F.A., anche perché i compiti delle forze Armate sono differenti. A mio parere non credo possa essere una soluzione corretta se ho interpretato bene le parole del ministro Trenta. Di sicuro, il quadro nazionale è sempre più complesso, caratterizzato da troppi livelli di responsabilità che rendono difficile un approccio coerente.
Come penso di aver già detto, meglio fermarsi un attimo e riflettere, guardare anche cosa fanno gli altri. Dagli altri, dai nostri vicini, si può sempre imparare senza copiare, magari chiedendo con umiltà. Usando strumenti e l’analisi già fatta da altri si può trovare qualcosa che ci dia una mano, magari senza attendere troppo!
Dunque mi sembra di capire che secondo lei le forze armate non hanno la forza per fare un lavoro del genere per tutti?
Beh, io mi baso su ciò che vedo. Al momento vedo solo il CIOC (Comando Interforze per le Operazioni Cibernetiche, ndr).
Ora, il CIOC ha poco a che fare con il mondo privato. Dovrebbe occuparsi di prepararsi per interventi in cui è messa a rischio la sicurezza nazionale, secondo le logiche militari.
A meno che non si voglia dire che siamo in guerra con il mondo intero e, anche in questo caso, il CIOC non mi sembra sufficiente.
La Microsoft intende investire in Italia? Se no, perché?
In Italia è molto difficile lavorare nel settore di sicurezza, in particolare nel mondo pubblico perchè la sicurezza passa attraverso i fornitori che vinsero la gara SPC (Sistema Pubblico di Connettività, ndr). Ciò significa che se una pubblica amministrazione ha bisogno di fornitori come Microsoft, Mandiant, FireEye, ecc. perché impiegano specifiche tecnologie o anche semplicemente perché ha fiducia in queste organizzazioni, non lo può fare in maniera diretta. Io credo che tutto ciò non aiuti, soprattutto, da un punto di vista di sviluppo di capacità e di competitività.
È ragionevole pensare che la Difesa si prenda carico dello sviluppo del settore? Non si corre il rischio che manchino gli stimoli alla società? Faccio l’esempio degli atleti di alto livello…
Certo, è esattamente così anche in questo caso. La società civile dovrebbe sviluppare le proprie capacità che devono servire ad operare in casi normali. La Difesa deve entrare in casi di emergenza, di guerra, non sempre, altrimenti “droga” il mercato.
L’obiettivo di Difesa Online è quello di informare un pubblico vasto e non di nicchia (magari voluta), sperando poi che chi ha delle responsabilità prenda i correttivi necessari...
Vi seguo, condivido e apprezzo i vostri sforzi, purtroppo la situazione italiana è questa: comuni e città metropolitane, per fare un esempio, sono completamente abbandonate a se stesse.
La maggior parte dei sistemi che noi vediamo giornalmente nel corso dei nostri interventi sono assolutamente insicuri, sia per mancanza di fondi che per mancanza di personale tecnico preparato ma principalmente per la mancanza a livello dirigenziale di considerare la sicurezza un elemento cardine sia delle infrastrutture che delle applicazioni.
Cosa fare? In primo luogo, sistemiamo l’organizzazione, creiamo sempre più sensibilità, formiamo le persone e ragioniamo secondo una logica di Stato che supporti anche il mondo privato oltre che quello pubblico.
Altrimenti non andremo mai avanti…
Questa situazione porta ad uno stallo.
Occorre creare un nucleo cibernetico nazionale che possa muoversi liberamente, anche chiamando le aziende idonee a seconda del caso.
Occorre semplificare le regole amministrative, non complicarle e renderle incomprensibili.
Per avere dei militari preparati nel settore cyber, lei cosa farebbe?
Preparare il personale è una cosa difficile, mantenerlo nelle organizzazione è difficilissimo.
Occorre creare sensibilità e creare le persone già dalle scuole, a partire dalle scuole medie superiori. La sicurezza va vista e insegnata in modo comprensivo, dalle norme alla tecnologia e all’analisi del rischio.
Occorre che poi in tutte le Università d’Italia si inseriscano i corsi necessari; in questo campo qualche passo avanti è stato fatto ma siamo ancora lontani da quanto occorre.
Per i militari poi occorre creare dei “master”, mi passi il termine, di varia tipologia che aumentino la consapevolezza e soprattutto la preparazione a 360 gradi.
Il problema in Italia è che da anni, purtroppo, si sprecano fiumi di parole ma non si riesce a mettere a terra le iniziative anche corrette.
Il presidente di Microsoft, Brad Smith, nei giorni scorsi è stato ricevuto dal Papa. Ci può dire qualcosa di più?
Si, l’argomento della visita è l’Intelligenza Artificiale. Anche in Vaticano ci si preoccupa delle innovazioni tecnologiche e di tutto ciò che comportano, soprattutto sotto il profilo dell’etica. Nel corso del colloquio privato il nostro presidente della Divisione Legal ha illustrato le prospettive legate alla Intelligenza Artificiale e ai problemi etici ad essa collegati ma anche i grandissimi benefici per l’umanità che può portare. Microsoft assieme alla Pontificia Accademia per la Vita promuoverà infatti un premio internazionale sull’etica nell’intelligenza artificiale, argomento che sarà il tema principale della Assemblea Plenaria del 2020.
Brad Smith ha inoltre parlato del nuovo investimento Microsoft in Italia, "Ambizione Italia". Un progetto ambizioso con il quale si intende avvicinare al mondo digitale 200.000 ragazzi, augurandoci che un giorno possano diventare dei professionisti del settore.
Non dimentichiamoci infatti che l’Italia è un Paese molto particolare in cui vi è una elevata disoccupazione ma nel settore cyber e in generale nel digitale vi è una carenza cronica di personale preparato.
In Italia spesso si rimandano le scelte fino a che non è troppo tardi. Di fronte ad una nuova tecnologia si può scegliere se gestirla o combatterla, purtroppo da noi ancora non si è deciso da che parte stare.
Voglio essere fiducioso e credere che la luce si accenda presto per non disperdere il bagaglio di eccellenze che ha il nostro Paese.
Foto: web / NCSC Netherlands / ministero della Difesa
