Giovanni Finetto: Cybersecurity e integrità della Rete

È recente l’allarme lanciato dall’Agenzia per la Cybersicurezza Nazionale riguardo diversi soggetti i cui sistemi risultano esposti e dunque vulnerabili agli attacchi, in particolare ha segnalato che alcuni criminali informatici hanno avviato delle attività di scansione alla ricerca di server virtuali VMware ESXi vulnerabili ad un bug di sicurezza noto come CVE-2021-21974. Per fare il punto della situazione abbiamo intervistato il Giovanni Finetto (presidente di Fidem S.r.l., azienda leader nella consulenza strategica nel campo della Security) nella veste di socio ANRA Associazione Nazionale Risk Manager Aziendali e Responsabili Assicurativi, riguardo il rischio cybersecurity su cui ha messo l’accento anche il World Economic Forum.

Buongiorno dott. Finetto, parliamo di cybersecurity e sicurezza della Rete. Il recente evento che ha occupato le prime pagine dei media ha messo in luce come il pericolo si attacchi informatici sia sempre più alto, come vede la situazione attuale?

Sì, è l’ennesimo campanello di allarme che pone nuovamente l’attenzione sulla sicurezza informatica nell’economia moderna. Quello che cerchiamo di raccontare alle PMI, cercando di non scendere troppo sul tecnico, è che il loro core business non è più solo la produzione del proprio prodotto, ma anche la tecnologia informatica che guida e sovraintende la creazione del bene. Riteniamo che si debba partire dalla formazione dei vertici, per poi propagare il tema della sicurezza informatica a tutti i livelli aziendali.

Per esperienza personale, ho l’impressione che in Italia le aziende vedano il settore informatico come un costo e non come un’opportunità, cosa da cui discende tutto un discorso organizzativo. Lei cosa ne pensa?

Io la definisco la “conditio sine qua non”, ovvero, l’imprenditore si è reso conto che senza l’informatica non può svolgere la sua attività produttiva. Certamente la vede come un costo, così come tutti gli altri costi aziendali, e quindi cerca di limare i picchi, senza considerare i rischi che ha portato la digitalizzazione nel mondo moderno. E’ necessario fare una valutazione dei rischi, come una volta si faceva per l’idro-geologico durante la costruzione del fabbricato, tanto per fare un esempio. Ci vuole la consapevolezza che il digitale è un costo, ma che può migliorare ed efficientare l’azienda, ma è un patrimonio che va protetto nella maniera più opportuna. I recenti attacchi di cui stiamo parlando hanno dimostrato che non mancano le tecnologie avanzate, ma proprio l’ABC, cose banali come l’antivirus o gli aggiornamenti del sistema operativo. Bisogna portare i responsabili delle aziende a fare un salto culturale per comprendere le azioni necessarie a mantenere in sicurezza il perimetro virtuale dell’impresa.

L’implementazione di sistemi come Industria 4.0, Agricoltura 4.0, 5G, IoT, amplierà sempre più il perimetro di esposizione digitale all’esterno. Tutta questa architettura dovrà essere temperata da una maggiore sicurezza?

Concordo con quello che dice. Tutte queste innovazioni hanno portato indubbi benefici alle aziende produttive, ma d’altro canto non si è pensato di rafforzare le misure di sicurezza. L’unica misura forte cui si è pensato è relativa al perimetro nazionale di cybersicurezza, agendo sulle imprese che sono comprese in questo ambito. La nuova normativa NIS2, per fortuna, allarga la regolamentazione alle aziende che forniscono i servizi a queste imprese, considerando che la supply chain offre molteplici punti di attacco agli hacker. C’è sicuramente ancora molto da fare, pensiamo poi all’oggettistica, l’IoT di cui parlava lei, cose che troviamo in tutte le nostre case, dalle webcam alla smarthome.

Ha anticipato il tema che volevo porle, regolamenti e direttive a livello europeo, come NIS2 e DORA sulla resilienza finanziaria, contribuiranno in maniera sufficiente ad alzare il livello di sicurezza informatica?

Sicuramente aiuta, prima questo livello di protezione era volontario, ora si è compreso che è necessario mettere in sicurezza tutte le imprese legate al perimetro della sicurezza nazionale, compresa la supply chain. Il livello dovrà essere sempre più alzato, io faccio sempre il paragone con la sicurezza fisica, pian piano ci si è resi conto che per difendersi dai reati predatori era necessario dotarsi di porte blindate, sbarre alle finestre, videocamere, allarmi collegati alla sicurezza privata. Il problema è che se gli attaccanti trovano un punto debole, da lì poi arrivare allo smartphone dell’amministratore delegato è più facile.

Appare sconsolante che l’attacco di Killnet sia avvenuto sfruttando vulnerabilità conosciute e per cui erano state rilasciate le opportune patch, che spesso non sono state semplicemente installate. Viene da pensare che ci sia un problema di formazione più che tecnico, come si può intervenire su questo? Normative cogenti che costringano le aziende a tenere i sistemi aggiornati?

Anche in questo caso bisogna lavorare tanto sulla cultura aziendale, in realtà l’obbligo di legge esiste già in base all’art. 32 della GDPR. E’ previsto che il titolare del trattamento effettui periodicamente dei test di vulnerabilità sulla superficie di attacco e della prevenzione rispetto le vulnerabilità note (in questo caso si parla del 2021) presenti nei sistemi. I sistemi informatici sono come il nostro corpo, prevenire è meglio di curare, gli esami del sangue ci forniscono la situazione del nostro corpo, allarmandoci in caso di anomalie.

Oltre i sistemi tecnologici serve personale qualificato, e su questo l’Italia ha carenze numeriche strutturali note da tempo.

Servono certamente risorse umane preparate ad-hoc, probabilmente serve un discorso di sgravi in questo settore, livelli stipendiali che trattengano i nostri giovani nel sistema paese e non li invogli ad andare a lavorare all’estero. Oltre questo è necessario sviluppare dei tool che consentano di attuare queste procedure di valutazione dei rischi in maniera semplice, immediata, efficace, da parte del management. Tramite cruscotti e dashboard si può uscire da una visione fortemente tecnica, e rendere chiaro l’esistenza del rischio anche a chi tecnico non è.

©Futuro Europa® Le immagini utilizzate sono tratte da Internet e valutate di pubblico dominio: per segnalarne l’eventuale uso improprio scrivere alla Redazione

Condividi
precedente

Italia delle Regioni

successivo

Il piano cinese

Rispondi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *