Riproponiamo l’intervista rilasciata a TRIESTE.news dall’esperto di Cyber Security Cristiano Ercolani

Finanziate tre società che si occupano, sull’orizzonte di Internet, di sicurezza informatica: in particolare, di reti private virtuali o VPN. Sono nthLink, Psiphon e Lantern, software che permettono di superare le censure e il controllo di chi monitora l’uso che facciamo della rete, e spesso di aggirare le restrizioni sull’uso dei contenuti e l’occhio dei governi. Accade sullo sfondo della guerra fra Russia e Ucraina e il finanziatore è il governo degli Stati Uniti, attraverso OTF (Open Technology Fund), un’organizzazione no-profit; la motivazione, il forte aumento di richiesta del servizio proveniente proprio dalla Russia da quando Vladimir Putin ha lanciato la sua campagna militare. Le tre società avevano già ricevuto fra il 2015 e il 2021 quasi cinque milioni di dollari di sostegno statale.

Da noi come si sta? C’è consapevolezza dell’importanza di proteggere la riservatezza dei dati e di evitare che ciò che facciamo su Internet sia costantemente tracciato, sia dai pirati informatici che – e non è, da un punto di vista etico, argomento di minore importanza – dai governi? Benissimo non si sta. Ne abbiamo parlato, nel nostro ultimo appuntamento di questo ciclo dedicato alla Cyber securitye alla formazione dei giovani per l’avviamento al mondo del lavoro, con Cristiano Ercolani, Business Unit Director di EURIS Technology e profondo conoscitore del mondo della sicurezza informatica, per lavoro e per passione.

Ercolani, noi viviamo connessi, 24 ore su 24. La necessità di sicurezza informatica e di proteggere i propri dati è qualcosa che le persone percepiscono? Più si o più no?

“Più che connessi direi che ormai viviamo… iper connessi. Gran parte della nostra vita professionale e sociale è agganciata sostanzialmente alla rete Internet; la quantità di tracce digitali che lasciamo durante la nostra vita di ogni giorno è notevole… le persone che sono consapevoli in maniera robusta dei rischi e delle conseguenze di queste ‘briciole di pane’ della nostra vita, delle nostre abitudini, che continuiamo a lasciare in giro, secondo me sono molto poche. E anche nelle organizzazioni e nelle aziende vedo una sensibilità alla Cyber security molto spesso superficiale e più di posa che di reale sostanza”.

La scuola forma a sufficienza? Gli adulti sanno come difendersi, i ragazzi sanno come difendersi?

“La scuola, secondo me, non forma su questi temi, né dal punto di vista individuale né tanto meno dal punto di vista professionale. Sono argomenti estremamente distanti dai ragazzi e molto distanti dagli adulti. Consideri che c’è una ampia zona grigia tra Cyber security e privacy, che non sono la stessa cosa; e in questi ultimi dieci anni l’equilibrio è molto cambiato, e conseguentemente è cambiato l’approccio. Credo che i giovani abbiano, mediamente zero attenzione alla privacy.”

Che tipi di rischi, concretamente, corre una persona comune?

“I rischi sono di tipo diverso e numerosissimi. Buona parte di tutti gli attacchi oggi sono basati su una prima fase di social engineering, e di studio del bersaglio, per poi riuscire a conquistare delle… ‘posizioni’ all’interno dei processi informatici legati all’uso degli strumenti che le persone hanno e che si collegano a Internet. Si declinano poi, operativamente, in maniera diversa ma il processo di fondo è lo stesso… studio del target, identificazione dei punti deboli, penetrazione, esfiltrazione dei dati ritenuti interessanti ed attacco puntuale.”

Le misure per proteggerci dai rischi informatici esistono. Sono implementate? Qual è il livello di sicurezza di una normale infrastruttura informatica in Italia?

“Esistono assolutamente misure di protezione. La prima e fondamentale è quella di creare un buon livello di ‘awareness’, di consapevolezza dei rischi di contesto e dei rischi specifici. A ruota le organizzazioni possono adottare tutta una serie di metodi per ridurre al minimo la superficie di attacco informatico, e al contempo avere visibilità di quello che sta accadendo sulla propria infrastruttura; ultimo non ultimo è la definizione di buone pratiche comportamentali degli utenti e di conduzione dei sistemi. Il livello che incontro quotidianamente è molto diverso; ci sono scenari di ogni tipo, a prescindere dalle dimensioni e dalla tipologia delle organizzazioni.”

Come vengono gestiti i rischi, che cosa si fa quando i pericoli diventano realtà?

“Qualcuno sostiene che esistono due tipi di organizzazione: quella attaccata e quella che non sa di essere stata attaccata. Quando un’organizzazione si trova davanti alla realtà di un avvenuto attacco deve mettere una pezza alla continuità del business nel tempo più breve possibile, e non è per nulla facile. Dopo, ci sono realtà che comprendono la lezione ed iniziano a strutturare seriamente una policy di Cyber security e chi – per fortuna è una minoranza, che però non impara – dice: ‘okay. Sono stato colpito e non mi succederà più’. E non è così.”

Cosa dobbiamo proteggere, fra i nostri dati e le nostre informazioni, più di altro? Come, detto in modo semplice, e qual è la probabilità che un rischio diventi realtà?

“Domanda estremamente complessa… come detto, il primo step è sicuramente quello della consapevolezza degli individui, per portarli a capire bene come sia importante non diffondere, a prescindere, certe informazioni. Le organizzazioni devono fare un ulteriore salto adottando politiche e strumenti che riducano al minimo i rischi e che preveda seriamente processi di Recovery e Remediation: recupero e rimedio. I rischi legati alla sicurezza informatica non sono aumentati: sono semplicemente esplosi. Il Cybercrime nel 2021 ha causato danni per 6000 miliardi di dollari (quattro volte il PIL italiano), in Italia sono stati registrati 42 milioni di eventi (una crescita del 16 per cento anno su anno) ed un più 58 per cento di compromissioni. Il rischio diventa realtà per definizione; la domanda non è ‘se’ ma ‘quando e se’ ci si arriva ben preparati.”

Le infrastrutture IT italiane sono aggiornate, con riferimento a quelle più comuni e non alle aziende o siti specializzati?

“Non quanto mi piacerebbe.”

L’esperto di sicurezza informatica è autodidatta? Dove trova a sua volta le informazioni e chi lo certifica? Esistono organismi internazionali?

“Assolutamente no, non è un autodidatta. La Cyber security è un ecosistema estremamente complesso nel già complesso sistema dell’ICT e delle tecnologie di comunicazione e informazione. Ci sono le lauree magistrali in Cybersec, i corsi degli ITS – gli istituti tecnici superiori come l’Accademia Nautica dell’Adriatico a Trieste – e i corsi dei produttori di tecnologia; fondamentali però sono alcune basi di conoscenza dei sistemi IT (molte), molta passione, sacrificio ed esperienza sul campo.”

Le persone sanno a chi rivolgersi per ottenere consigli? Si informano? Come si fa a restare aggiornati?

“Nel mondo dominato dai Social ormai tutti tendiamo a parlare di qualsiasi cosa e facciamo fatica a discriminare in rete le informazioni buone da quelle che sono, nella migliore delle ipotesi, approssimative. Vedo che le persone, anche in materia di Cyber security, tendono a cercare le informazioni di cui hanno bisogno autonomamente, ma senza quella solidità che permette loro di capire cosa stiano leggendo. Ci sono molti siti specialistici che fanno buona informazione ma spesso richiedono dei fondamenti culturali specifici non comuni e non facilmente apprendibili. La scuola può formare di più? Allo stato attuale, non è facile; certo bisogna farlo. Credo che dovremmo ricominciare dalle famiglie per poi arrivare alla scuola, ma credo anche che stiamo sbagliando a ragionare nei termini di contesto che appartengono alle generazioni di quelli che oggi hanno cinquant’anni e più. L’approccio dei giovani è molto diverso e dobbiamo imparare, prima di tutto, a capirlo, pena il fallimento.”

I professionisti del settore si tengono aggiornati? Dove, come?

“Formazione specialistica e buone letture, partendo da basi molto solide. Per quanto riguarda l’informazione, è più facile informare seriamente le organizzazioni piuttosto che gli individui, perché ci sono logiche di business ben misurabili. E comunque, anche nelle organizzazioni non è sempre così facile. Per quanto riguarda le persone viste al di fuori di un’organizzazione, la sensazione comune è che la sicurezza informatica sia qualcosa molto distante dalle loro vite.”

Che cosa si fa, se accade veramente il peggio? Ad esempio un conflitto militare?

“Non so come si combatterà la terza guerra mondiale, ma sicuramente immagino come si combatterà la quarta, ossia a colpi di clava… citazioni di Einstein a parte, il tema Cybersec e sicurezza nazionale è un tema bollente per tutti già da molti anni. Ci sono paesi con una consapevolezza molto spiccata della necessità di sicurezza informatica, penso all’intero mondo anglosassone, alla Germania e ad Israele; non ultime Cina e Russia. L’Italia sta piano piano mettendo giù i primi passi, ma c’è ancora molto moltissimo da fare.”