Cerca
Close this search box.

Cybersecurity, l’esperto Usa: I governi devono collaborare

cybersecurity

Le guerre sono ormai tanto cyber quanto fisiche, e a minacciare le industrie fondamentali di ogni nazione non ci sono solo altri Stati: basta l’iniziativa di un gruppo criminale, o a volte di un singolo hacker, per creare danni seri. I governi cercano di attrezzarsi. In alcuni casi, si affidano a esperti che vengono non solo dal mondo della sicurezza nazionale, ma anche da quello delle aziende private: il Cyber safety review board, o Csrb, è stato creato dal presidente Usa Joe Biden nel maggio del 2021. I membri sono stati indicati a febbraio: rappresentanti delle agenzie governative e del Dipartimento della Difesa, ma anche 5 rappresentanti del settore privato. Tra questi c’è Chris Novak.

Novak ha co-fondato e gestisce il Threat research advisory center di Verizon, l’iniziativa del gigante USA delle telecomunicazioni dedicata alla sicurezza informatica: i report annuali del Threat center fanno parte dei documenti di riferimento del settore della cybersecurity. “Il mio ruolo è quello di advisor”, spiega Novak a Fortune Italia sul nuovo ruolo nel Csrb, a margine della presentazione delle iniziative 5G di Verizon nell’unico Lab europeo della compagnia, a Londra.

Novak non può entrare nel dettaglio sul suo nuovo compito, perché si tratta di argomenti che riguardano la sicurezza nazionale americana. Ma racconta che la prima indagine del board è quella, ancora in corso, su Log4J. Una libreria attraverso la quale si può prendere il controllo di un numero enorme di applicazioni che utilizzano Java. Un update per sistemare il bug è stato rilasciato a dicembre, ma secondo alcuni ricercatori il problema è ancora molto diffuso. “È un problema di vulnerabilità molto grande in una parte di un software open source”, spiega Novak. Per l’indagine è stato fissato un termine di “90 giorni, dovrebbe concludersi con un report a giugno. Una componente di quel report sarà accessibile al pubblico”.

Cosa fa, quindi, il Csrb?

Quando c’è un incidente informatico il governo chiede al board di analizzare l’incidente e dare un’opinione su cosa il governo dovrebbe fare. Facciamo un po’ quello che si fa nel board sui trasporti. Se un aeroplano precipitasse, si andrebbe a vedere cosa avrebbero potuto fare per evitarlo. Con la cybersecurity facciamo la stessa cosa. Potremmo fare delle raccomandazioni agli sviluppatori di software o ai vendor su come potrebbero fare i loro prodotti in maniera diversa, in maniera da evitare il ripetersi degli stessi problemi.

In sicurezza informatica si parla sempre di prevenzione, ma stiamo facendo progressi su quello che accade dopo? Sul combattere le conseguenze di un attacco già avvenuto?

Stiamo capendo che non possiamo fermare tutto, quindi dobbiamo concentrarci anche su ‘detection’ e ‘response and recovery’. Ci sarà sempre qualcosa che non vedremo arrivare, e se mettessimo tutti i nostri investimenti sulla prevenzione, e arrivasse qualcosa di sconosciuto, non avremmo soldi per rilevarlo, rispondere e reagire, il che può voler dire che l’incidente continui ad andare avanti nel tempo, facendo più danni. Quindi dobbiamo investire in tutte queste cose, e i governi e il settore privato se ne stanno accorgendo. Iniziano a distribuire di più i loro investimenti, sanno che se qualcosa succede e la gente comincia a chiedere cosa sia successo, devi essere in grado di rispondere. E questo è un guaio, se si considerano regolamenti come il Gdpr, dove in merito ci sono requisiti anche temporali.

Chris Novak, Courtesy Verizon

La risposta, in caso di attacco, è ‘chiudere tutto’?

È l’ultima spiaggia, generalmente un sistema di risposta più maturo cerca di isolare le parti colpite, in maniera da non dover chiudere tutto. È come un sottomarino a compartimenti stagni. Si chiude il locale che si sta allargando, e il danno si ferma lì.

Ci sono differenze tra Usa e Europa, sia in termini di prevenzione che di risposta al rischio?

Se guardiamo alla maturità delle aziende più grandi, direi che siamo abbastanza vicini, mentre il governo Usa è leggermente più maturo di alcune delle agenzie governative europee. Quando ci si muove dalle grandi aziende a quelle più piccole allora devo dice che c’è spazio per migliorare un po’ ovunque. Man mano che si scende di dimensioni, tra le imprese, la cybersecurity diventa sempre meno una priorità. È una sfida perché bisogna trovare l’equilibrio giusto. Se metti troppe regole puoi rendere qualcosa molto sicuro ma inutilizzabile. Ogni organizzazione deve prendersi dei rischi, scegliendo quali correrei in base alla gravità.

Il fatto che nella cybersecurity siamo a livelli diversi, tra nazioni, è un ostacolo?

Sì, perché quale che sia la sfida che abbiamo davanti, cyberwar o crimine organizzato, il target di solito è quello ritenuto più debole e meno maturo, e che costa meno attaccare, o che non ha possibilità di contrattaccare. Molto spesso nel cyber non devi essere il più sicuro in assoluto, ma si può correttamente ipotizzare che più debole sei più è probabile che avrai incidenti. Molti dei ‘threat actor’ sono alla ricerca di cose semplici da fare. A volte non vogliono neanche attaccare un’organizzazione in particolare, gli interessa solo se ci sono dati interessanti e un profitto facile.

Quanto è diventata importante la collaborazione tra governi negli ultimi mesi?

Ora più che mai è fondamentale, con quello che sta succedendo con il conflitto in Ucraina. I governi hanno fatto molto per maturare e creare alleanze di difesa più che altro militari, ma penso ci sia ancora lavoro da fare sulla versione cyber di tutto questo. Condividiamo informazioni, ma non siamo allo stesso livello di collaborazione. Ad esempio, facciamo esercitazioni militari insieme, ma non facciamo esercitazioni cyber, non diciamo ‘se succede qualcosa, come ci aiutiamo a vicenda?’. E questa è un’area dove migliorare, sicuramente.

Durante la pandemia, tra i più colpiti dagli attacchi informatici c’erano gli ospedali e il mondo health. Gli obiettivi stanno cambiando?

Assolutamente, e il motivo è il nuovo scenario geopolitico. Gli ospedali sono stati attaccati perché erano obiettivi facili, ma ora cominciamo a vedere come vengano colpite anche altre aree. L’energia è una di queste, perché puoi far male a un’economia colpendo la sua energia quasi come potresti fare sganciando una bomba. Con il conflitto, naturalmente, il settore energetico è in primo piano, considerando il ruolo della Russia. Qualsiasi cosa vada a colpire il settore ha un grande impatto.

In cybersecurity si sta creando una collaborazione più ampia tra governi e imprese, come è già successo con la space economy, o come sta succedendo con il warfare?

Si, c’è una maggiore attenzione da parte delle agenzie governative sul finanziare ricerche e collaborazioni con il settore privato, con l’obiettivo di produrre più tecnologie per AI, quantum computing, intelligence, tecnologia di difesa. So che il governo Usa sta facendo molto in questo senso, e che anche alcuni governi europei lo stanno facendo, oltre a Israele. Molte collaborazioni stanno anche avvenendo tra agenzie governative e università, e alcune di quelle università lavorano a loro volta con il settore privato. Verizon, ad esempio, lavora con diverse università sulla cybersecurity.

Le aziende sono pronte per una sfida del genere? Per collaborare con i governi su un tema così complesso?

Alcune si, altre no. C’è un problema di risorse. Possono davvero permettersi di investire sulla risoluzione di qualcosa che riguarda il bene comune o devono prima pensare ai problemi dell’azienda? Molte fanno fatica a dividere le risorse su queste due cose, perché cercano prima di proteggere se stesse. E questo si collega al problema della scarsità di talento nel settore. Un problema globale. Alla fine, sono le grandi organizzazioni ad avere abbastanza risorse economiche e di personale per sostenere sforzi del genere. Penso che le organizzazioni più piccole faranno fatica a sostenere sfide del genere. Verizon lo fa globalmente, negli Stati Uniti, in Europa, in Australia.

Il ransomware è stata un’altra grande tendenza degli ultimi anni, con una crescita vertiginosa degli episodi di ‘ricatto’ da parte degli hacker. Il tipo di attacchi ora sta cambiando?

No, penso che il ransomware peggiorerà ancora di più per i prossimi due anni prima di vedere un miglioramento. Perché il problema ora è che ci sono diversi ‘threat actor’: i ‘nation state group’ e i gruppi criminali organizzati. Un po’ come se fossero forze militari, da una parte, e mafia, dall’altra. La maggior parte dell’attività di ransomware è firmata dai secondi, che stanno scoprendo quanto sia remunerativo. Sempre più aziende hanno un’assicurazione che paga per gli attacchi ransomware, quindi vediamo che alcuni di questi attori stanno aumentando i loro attacchi proprio perché hanno scoperto che gli obiettivi hanno trovato un modo ancora più facile per pagare.

In pratica, gli hacker hanno dato vita a un nuovo settore industriale?

Sì, sta succedendo qualcosa di simile. Ci sono assicurazioni che dicono ‘ok, se ti dovesse capitare un attacco del genere, saremo in grado di aiutarti a pagare il riscatto in 24 ore’. Si è creato una sorta di circolo. Ci sono anche teorie secondo cui alcuni dei criminali stiano cercando di attaccare proprio le compagnie di assicurazione per capire chi ha un’assicurazione e quanto copre, perché se so che sei coperto per 10 milioni di dollari, ti chiederò 10 milioni di dollari.

C’è la possibilità che qualcuno faccia il doppio gioco, allora?

Non ho mai visto prove di qualcosa del genere, ma è sempre possibile che ci sia un ‘bad actor’ che ha il piede in due staffe.

Quanto è frustrante il fatto che nella cybersecurity una delle minacce maggiori sia costituita ancora oggi dal dipendente di turno che clicca sul pulsante sbagliato?

È frustrante, e lo è anche per i nostri clienti. È un problema culturale: non tutti in azienda credono di avere un ruolo da giocare. Vedo aziende dove i dipendenti possono fare quello che vogliono, come usare i pc aziendali per uso personale perché l’azienda vuole essere ‘employee-friendly’. Molto buono per le relazioni con i dipendenti, ma un incubo per chi si occupa di sicurezza, perché aumentano i rischi. Sono sfide che continuano ad esistere, e serviranno ancora anni per risolverle.

Il 5G ha creato nuove minacce?

Il 5G cambia solo il numero di dispositivi che l’azienda ha a disposizione, ma quei dispositivi non sono più o meno esposti rispetto a prima. Il vantaggio è che il 5G permette di vedere, individuare e rispondere alle minacce più velocemente. Con il mio team, quando facciamo un’indagine, abbiamo bisogno di raccogliere prove: un processo che prima poteva richiedere giorni o settimane, adesso richiede meno di 24 ore.

Come bisogna comportarsi in questo particolare momento?

Stiamo vedendo che la maggior parte degli attacchi in realtà non stanno venendo dalla Russia, quindi bloccare tutto quello che viene da lì non funziona, perché per attaccare stanno usando proxy in altri Paesi. Possono indirizzare i loro attacchi attraverso praticamente da tutto il mondo. In realtà sono più le tecniche e lo ‘stile’ utilizzati che ci rivelano chi potrebbero essere gli autori di un attacco, non tanto il luogo da cui parte. Adesso è fondamentale avere una buona ‘igiene’, ma quello che continuo a consigliare è di avere una buona cyber intelligence, per sapere quello che sa anche il resto del mondo. Se fai sicurezza basandoti solo su quello che sai tu, dovrai aspettare di essere colpito prima di conoscere una minaccia nuova. Se riesci a collegarti a una buona threat intelligence, puoi conoscere quelle minacce in anticipo.

ABBIAMO UN'OFFERTA PER TE

€2 per 1 mese di Fortune

Oltre 100 articoli in anteprima di business ed economia ogni mese

Approfittane ora per ottenere in esclusiva:

Fortune è un marchio Fortune Media IP Limited usato sotto licenza.