Cerca e trova immobili

CANTONECyber Security : che fare?

11.09.17 - 06:00
Intervista ad Alberto Redi, Direttore di Security Lab SAGL
Cyber Security : che fare?

NEWSBLOG
Rubriche argomentali a pagamento curate da aziende e inserzionisti esterni

Intervista ad Alberto Redi, Direttore di Security Lab SAGL

Alberto Redi si occupa di sicurezza informatica da diversi anni, impegnato con la sua società, Security Lab, in attività di consulenza e informazione su uno dei temi più stringenti e al contempo ancora sottovalutati del rapporto fra impresa e servizi digitali. L’azienda ticinese attiva dal 2004 punta convintamente sul governo della sicurezza informatica: oggi il risk management pretende una parte organizzativa e una tecnologica.

I recenti attacchi su larga scala, quali WannaCry e Petaya, che hanno colpito organizzazioni importanti e infrastrutture critiche in giro per il mondo, fanno sorgere una domanda : non si potevano evitare?

Premesso che la sicurezza al 100% nel mondo digitale non esiste, come nel mondo fisico, la prevenzione è la chiave per rendere più complesso e costoso un possibile attacco, quindi a fare desistere l’attaccante e deviarlo verso un target più vulnerabile. Purtroppo le aziende, le istituzioni, e le singole persone fanno ancora troppo poco in questo senso.

Negli ultimi 2-3 anni però l’esposizione di questi attacchi a livello mediatico è aumentata drammaticamente: perché invece l’asticella dell’attenzione alla prevenzione nelle aziende è ancora bassa?

Vi è ancora la percezione che le contromisure al cyber crime siano da identificarsi in soluzioni tecnologiche, antivirus, firewall, etc. Invece è un processo olistico che deve essere governato, attraverso una definizione di una strategia, un’analisi dei rischi, un sistema di governo della sicurezza, la misurazione continua dei livelli di sicurezza, e la formazione del personale a tutti i livelli, manageriale, IT e di tutti i collaboratori, con programmi dedicati. Chiaramente ogni azienda ha le sue dimensioni e complessità, e differenti criticità delle informazioni e di continuità del business, ma questo modo interdisciplinare di affrontare il tema si adatta a tutti i contesti. È necessario un approccio maggiormente maturo.

Può fare un esempio di attacco informatico recente, e come si sarebbe potuto evitare?

C’è un caso abbastanza eclatante e facile da spiegare. Recentemente è stata attaccata la piattaforma Rousseau del Movimento 5 Stelle (che prevede anche il voto online degli iscritti), che ha consentito di estrarre dati sensibili che sono poi stati pubblicati su Internet, a dimostrazione della debolezza del sito.

La modalità con cui è stato eseguito l’attacco è banale ed alla portata di una persona con basiche conoscenze di hacking e programmazione. Un semplice Web Application Penetration Test, commissionato dal Movimento 5 Stelle, avrebbe elencato le falle in tempo utile. Inoltre un buon corso di Web Application Hacking per gli sviluppatori della piattaforma, avrebbe prevenuto alla radice il problema. Si trattava infatti di un semplice attaco di SQL Injection, che viene spiegata nei primissimi capitoli di un qualsiasi corso di Application Security.

Lei sottolinea costantemente l’importanza della formazione…

Le risorse umane, a tutti i livelli, sono l’anello debole della catena della sicurezza. Rendere consapevole il management delle aziende diventa decisivo, perché deve avere gli strumenti per valutare i rischi e per creare un sistema di governo della sicurezza. Deve essere formato il personale IT, che deve conoscere meglio le minacce e le tecniche di attacco utilizzate dalla criminalità informatica, ma devono anche essere formate tutte le risorse umane che utilizzano tecnologia in azienda, per aumentarne la consapevolezza sui rischi nell’utilizzo degli strumenti, della posta elettronica, della navigazione internet e della gestione della propria identità digitale. La consapevolezza sulla sicurezza informatica deve riguardare tutti gli attori, dovrebbe essere insegnata nelle scuole, alle famiglie. Altrimenti è come pretendere che non esca l’acqua da un tubo con mille buchi solo perché hai tappato quelli più grandi.

Esistono dei progetti di formazione per i giovani e per le famiglie in Ticino?

Al di la dei corsi professionali sulla sicurezza, per esempio della SUPSI, o i corsi di Ethical Hacking per professionisti IT di Security Lab, voglio segnalare la bellissima iniziativa di “officina FUTURO” che verrà presentata il 4 Ottobre al LAC, ed organizzata da ated – ICT Ticino, SUPSI DTI, CLUSIS Suisse alla quale abbiamo anche noi entusiasticamente aderito con la nostra sponsorizzazione. Voglio anche segnalare che presenteremo il 17 Ottobre, in collaborazione con ATED, il corso di Security Awareness che utilizziamo per introdurre una cultura sulla sicurezza informatica a tutti i collaboratori di aziende di tutti i settori.
Se dovessi riassumere in una sola espressione il tema del contrasto al rischio informatico, direi che è proprio Security Awareness, questo termine che si traduce sia con “coscienza” che con “conoscenza”.


Questo articolo è stato realizzato da ated - Associazione Ticinese Evoluzione Digitale, non fa parte del contenuto redazionale.