La cybersecurity rappresenta uno dei maggiori trend topic degli anni recenti. La trasformazione informatica che la società, in tutti i settori, ha vissuto nell’ultimo ventennio ha sicuramente rivoluzionato in positivo le dinamiche – sia quotidiane sia di business – di miliardi di persone, ma ha al contempo aperto a una serie di potenziali rischi fino ad allora sconosciuti. In tale contesto, i cosiddetti dati, ovvero le identità digitali di ogni singolo utente del web, sono man mano divenuti sempre più preziosi, arrivando a costituire oggi un vero e proprio elenco generale di oltre un terzo della popolazione mondiale dal valore di miliardi di dollari. L’esigenza di proteggere la privacy degli users è divenuta quindi un fattore di primaria importanza, un obiettivo in cui gli investimenti di governi ed aziende sono aumentati di anno in anno. In Italia nel solo 2018 è stato speso in sicurezza informatica oltre 1 miliardi di euro, mentre a livello militare le ultime proiezioni parlano di spese globali per oltre 130 miliardi di dollari nei prossimi 8 anni. Una delle realtà leader a livello internazionale nella protezione dei dati è Boole Server, azienda completamente italiana con sedi anche in Germania e Stati Uniti. Ne parla il fondatore e Chief Software, Valerio Pastore.
Iniziamo da zero. Cos’è Boole Server?
Boole Server è una azienda, completamente italiana anche se oggi ha sedi anche in Germania e negli Stati Uniti, nata oltre 10 anni fa con l’obiettivo di fornire soluzioni software sempre più necessarie per garantire una gestione in totale sicurezza dei dati, siano essi dei singoli cittadini, delle aziende o delle istituzioni. Insomma, in Boole Server lavoriamo ogni giorno affinché sia sempre più semplice e accessibile, ma sempre più sicuro, avere una cassaforte anche per i propri dati nella vita “digitale”.
Come è cresciuta l’azienda negli ultimi anni?
Abbiamo da poco chiuso il bilancio del 2018, con la conferma di un trend positivo che avevamo registrato già nel 2017: il fatturato dell’azienda ha segnato un aumento del 70% rispetto all’anno precedente. Lo scorso anno, inoltre, abbiamo ricevuto un importante riconoscimento, quando – in un momento di svolta nel panorama della protezione dei dati, visto anche la piena applicazione del Gdpr – i nostri prodotti sono stati scelti dalle Istituzioni europee, in particolare dall’European External Action Services (Eeas), il servizio dell’Unione europea responsabile per gli affari esteri, e dalla Commissione. Per noi, ma direi per tutto il settore del made in Italy, essere riusciti a prevalere anche sui big della Silicon Valley con BooleBox come migliore piattaforma innovativa per la collaborazione e condivisione dei file è davvero importante. Grazie alla cifratura di livello militare, infatti, si è in grado di fornire all’utente il controllo assoluto sui dati personali e aziendali, impedendo qualsiasi forma di accesso non autorizzato a file ed e-mail sia dall’esterno che dall’interno dell’azienda.
A che punto siamo oggi in Italia in tema di sicurezza dei digital data?
Meglio rispetto a qualche anno fa, ma a un livello che non possiamo considerare ancora sufficiente. Lo scorso anno, come Boole Server, abbiamo promosso un sondaggio tra una parte dei nostri clienti, in particolare tra imprenditori, consulenti di risk management e dirigenti di enti pubblici. I risultati hanno messo in evidenza come in Italia manchi totalmente la cultura della prevenzione e della sicurezza cibernetica a tutti i livelli, dal consumer all’enterprise. È emerso come, soprattutto le piccole aziende, preferiscano rischiare di subire un data breach piuttosto che “pagare” preventivamente qualche investimento in sicurezza informatica. Nelle interviste, inoltre, gli esperti con ruoli anche di Chief Technology Officer hanno sottolineato come all’interno delle aziende si faccia ancora grande fatica a spiegare, anche ai superiori, l’importanza di mettere al centro il concetto di cyber security. Se, quindi, da un lato gli investimenti stanno aumentando, non è detto che siano indirizzati sul fronte più corretto per la singola impresa. Perché la cultura della protezione è ancora molto lontana dalla necessaria maturità.
Quanto vale il mercato della sicurezza informatica a livello nazionale/internazionale?
Le stime sono diverse, ma tutti coloro che studiano e osservano il settore segnalano come siano cifre in crescita di anno in anno. Per esempio, una ricerca rilasciata a fine dello scorso anno dalla società di consulenza EY, ha segnalato come nel 2018, in Italia, la spesa nel settore della cybersicurezza abbia raggiunto 1,5 miliardi di euro, in leggera crescita rispetto al valore del 2017. Un fenomeno che coinvolge tutto il mondo, guardando le proiezioni del rapporto “The Global Military Cybersecurity Market 2017-2027” della Strategic Defense Intelligence nelle quali si parla di un mercato mondiale della sicurezza informatica militare che raggiungerà i 138 miliardi di dollari entro il 2027.
Recentemente abbiamo assistito a due mega furti di dati online: “Collection 1” e “Collection 2-5”. Miliardi di password ed email accessibili per tutti. Cosa sta succedendo realmente?
Possiamo facilmente immaginare che dietro a questo tipo di furti ci siano degli attori molto ben organizzati che hanno come obiettivo principale il ricavo economico. Infatti questi database, dopo essere stati trafugati, vengono messi “in vendita” nel deep web. I pagamenti vengono effettuati in bitcoin che, come sappiamo tutti, non lasciano tracce. Ma chi è interessato all’acquisto di questi dati? E qui dobbiamo parlare degli attacchi Brute-force. In crittografia, questo tipo di attacco viene utilizzato per forzare le password tentando tutte quelle possibili finché non si indovina quella corretta. Come potrete immaginare, questa attività può rivelarsi molto lunga a meno che non venga utilizzato come fonte un database in cui siano già disponibili un certo numero di password da cui attingere: vengono provate per prime le password presenti in questi database e spesso una di queste risulta essere quella giusta. Database come quello Collection #1 quindi viene utilizzato anche per questo tipo di attacchi. In futuro possiamo sicuramente aspettarci una crescita degli attacchi dovuta all’aumento del valore di questi database: bisogna quindi aumentare i livelli di sicurezza sempre di più e implementare soluzioni specifiche per la protezione dei dati.
Sarebbe stato, o sarà possibile evitare che certi episodi si ripetano?
Certo, sarebbe stato possibile ed è possibile evitare il ripetersi di simili episodi. Da dove partiamo? Dal non fare distinzioni tra la nostra vita off-line e quella on-line. Così come ci proteggiamo e proteggiamo ciò che per noi è importante nella vita “reale”, così dobbiamo fare con tutti i dati che conserviamo, scambiamo, generiamo, modifichiamo digitalmente. Non serve tantissimo, e garantirci una adeguata sicurezza per i nostri dati ormai non è neppure così costoso come si può pensare.
Negli ultimi anni si sente sempre più spesso parlare di sicurezza informatica, ma un aspetto forse trascurato è quello dell’impossibilità di proteggersi preventivamente: cosa manca in questo senso per far fare un salto culturale?
Tecnicamente direi che non manca nulla, non è più un problema di infrastrutture tecnologiche e di accesso a queste. Come giustamente dice lei, è una questione di conoscenza e di cultura. Di sicurezza cibernetica bisogna parlarne sempre di più in modo semplice e chiaro, senza fare allarmismo da un lato o rendere tutto banale dall’altro. Non possiamo pensare che da un giorno all’altro, se non se ne è mai parlato, chiunque possa comprendere l’importanza di proteggersi, di fare dei piccoli investimenti per la sicurezza dei propri dati. Noi esperti dobbiamo cercare di semplificare i concetti il più possibile senza distorcere la realtà, ma dall’altra parte deve esserci la volontà di capire. E non penso solo ai singoli cittadini, ma anche alle istituzioni pubbliche che dovrebbero dare l’esempio, progettando da subito servizi e infrastrutture con l’idea di garantire il massimo livello di sicurezza possibile, magari con la crittografia. Altrimenti ci si troverà sempre di fronte a un caso “fatturazione elettronica”, quando ci si accorse – a ridosso dell’entrata in vigore dell’obbligo – che il tema di come raccogliere, gestire e conservare dati sensibili non era stato preso in considerazione.
Oggi ci troviamo forse di fronte ad un paradosso: da una parte c’è una sempre maggiore richiesta di trasparenza e condivisione dei dati gestiti dalla PA, al fine di garantire una maggiore accountability; dall’altra esistono vincoli stringenti imposti dal Garante della Privacy in tema di protezione dati: in che modo potrebbe essere raggiunto un corretto equilibrio nella gestione delle informazioni sensibili?
In realtà credo che questo equilibrio non sia troppo distante. Il Freedom of Information Act, il famoso Foia, anche in Italia è ormai pienamente operativo, certo con i tempi della pubblica amministrazione. Dall’altra parte, l’entrata in vigore del Gdpr ha sicuramente spostato in parte gli equilibri mettendo sempre più al centro i doveri del titolare e responsabile della gestione dei dati personali accanto ai diritti dell’interessato. Guidando – almeno queste sono state le intenzioni – verso un clima di maggiore fiducia e rispetto tra interessati e titolari del trattamento, fiducia che è sicuramente la base per una maggiore sicurezza cibernetica. È chiaro che non tutte le potenziali situazioni di conflitto tra i due diritti – la tutela dei dati personali e la massima trasparenza – possono essere previste e risolte preventivamente. Credo che la figura del Data Protection Officer, affiancata a quella del titolare del trattamento e al responsabile della trasparenza, diventerà sempre più importante. Perché per trovare il giusto equilibrio tra le due esigenze, servirà sempre essere in grado di valutare di volta in volta gli interessi in gioco.
