Intervista di Cybersecurity Italia a Gianluca Attura, ceo CyberCircle, manager di lungo corso, da decenni esperto di sicurezza informatica: “Si parla troppo di remediation e troppo poco di prevenzione”.
Cambia la natura degli attacchi informatici, cambiano gli strumenti di attacco e con essi quelli di difesa. Ma spesso il problema rimane quello delle scarse competenze da parte dei soggetti potenzialmente esposti al rischio e la diffusa poca considerazione dei danni che un attacco può determinare.
Ne abbiamo parlato con Gianluca Attura, ceo CyberCircle, manager di lungo corso, che con la sicurezza cyber ha una frequentazione di alcuni decenni.
Cybersecurity Italia. Come sta evolvendo lo scenario della Cybersecurity?
Gianluca Attura. Stiamo vivendo un momento molto complesso, perché la disattenzione che si è accumulata nel corso degli anni sommata alle criticità della situazione geopolitica ha reso il tessuto produttivo del Paese particolarmente debole difronte alle minacce attuali, nonostante l’impegno profuso dalle autorità per sensibilizzare sul tema e dare precise linee guida da seguire per implementare un’efficace sicurezza informatica di enti ed aziende. Ed a farne le spese sono ovviamente le pubbliche amministrazioni e le imprese.
Cybersecurity Italia. Quali sono le cause di queste “distrazioni”?
Gianluca Attura. Se da una parte il rischio cyber è molto spesso sottovalutato perché molti capi-azienda o imprenditori pensano molto semplicisticamente “tanto ho l’antivirus” o “ma non attaccheranno mai me”, dall’altra la pletora di aziende che oggi dichiarano di avere competenze di cybersecurity pur non avendole. Il caso non è nuovo. Nel corso del tempo hanno dichiarato di essere esperti nel Cloud, nell’IoT ed in ogni altra area tecnologica che al momento era alla moda, generando una consistente disinformazione ed un falso senso di sicurezza sul mercato. Spesso il dichiarare competenze che non sono presenti in modo appropriato, trasforma i loro clienti in target appetibili di attacchi informatici.
Cybersecurity Italia. Come operano le cyber gang in concreto?
Gianluca Attura. Prima di tutto smetterei di chiamarli hacker. Gli hacker romantici, quelli che giravano sulle reti per imparare o fare qualche scherzo innocuo, sono una razza in via di estinzione. Oggi non ci sono più gli hacker. O quasi. Ci sono organizzazioni che operano come aziende, hanno uffici, lavorano in team, seguono orari di ufficio e spesso sono distribuiti su fusi orari diversi perché operano secondo la ferrea logica del follow-the-sun.
Sono criminali, molto ben organizzati e con la disponibilità di grandi risorse economiche e tecnologiche. Operano, infine, su più livelli e con diversi livelli di specializzazione.
Cybersecurity Italia. Ad esempio?
Gianluca Attura. Ci sono quelli che si dedicano a creare un passaggio che permetta dall’esterno di accedere alle reti locali di proprietà degli obiettivi prescelti, imprese o pubbliche amministrazioni che siano, dopodiché li mettono in vendita su forum del dark web. Oppure quelli che, una volta abbandonato il settore poco redditizio dei virus informatici, si sono specializzati nella scrittura di ransomware, i programmi che criptano il contenuto dei computer per poi chiederne un riscatto. Si passa poi all’ambito militare, dove il dominio cyberspace è da molti anni il quinto campo di battaglia accanto a terra, cielo, mare e spazio. Chi opera attacchi in ambito militare, parliamo nella maggior parte dei casi di società di criminali informatici che operano su base globale, non disdegna utilizzare gli stessi strumenti per finanziarsi attaccando società ed enti.
Cybersecurity Italia. Qual è l’obiettivo tipico di queste società di criminali?
Gianluca Attura. Se il loro contratto è governativo, attaccano infrastrutture militari ed infrastrutture critiche di un Paese, a volte al solo scopo dimostrativo. Se invece operano in proprio, cercano obiettivi civili rappresentati da aziende di medie dimensioni, di facile penetrazione, spesso comprando gli accessi sul dark web, ma non prima di aver verificato lo stato finanziario ed il settore di attività del target. Difficilmente attaccano aziende molto grandi, perché sono di solito molto protette ed il rischio di essere individuati è alto. Le più appetibili sono le aziende che in caso di blocco della struttura informatica cominciano subito a perdere fatturato e mettono a rischio i rapporti con i loro clienti oppure gli ospedali, dove un attacco mette a rischio la salute dei pazienti ed il futuro dell’azienda sanitaria che può essere sommersa da cause di risarcimento perché non ha provveduto ad applicare tutte le misure necessarie, cosa che fa anche decadere spesso le polizze assicurative per i cyber attacchi.
Cybersecurity Italia. E allora come ci si difende?
Gianluca Attura. Strategia, processi, organizzazione, formazione ed infrastruttura sono i cinque pilastri di una corretta postura per evitare o limitare i danni da attacco informatico. È quindi la postura dell’ente che deve cambiare per adeguarsi ai tempi. Oggi le stesse persone che pensano di non essere un target sono quelle che a casa hanno porte blindate, serrature a prova di manomissione, allarmi e telecamere, ma non capendo il problema della Cybersecurity si affidano al caso. La Cybersecurity continua in sostanza a subire gli effetti di un gap culturale da parte di chi la dovrebbe vedere come un modo per proteggere sé stesso e la propria attività.
Cybersecurity Italia. E le certificazioni? Servono realmente?
Gianluca Attura. Le certificazioni sono uno strumento importante, servono a fare ordine ed a impostare regole, l’importante è che dietro poi le misure scelte siano effettivamente effettuate e non dichiarate solo sulla carta, come spesso accade solo per poter prendere il bollino.
Cybersecurity Italia. Ma riusciamo davvero a difenderci?
Gianluca Attura. La Cybersecurity è una disciplina con regole ferree che serve in primo luogo a garantire la continuità di servizio di un’infrastruttura informatica, nonostante gli attacchi interni ed esterni che può subire. Si parla troppo di remediation e troppo poco di prevenzione, come se si desse per scontato che gli attacchi ed i danni conseguenti siano inevitabili, ma è la posizione di chi questo mestiere non lo conosce. Si, ci si può difendere efficacemente, utilizzando le competenze reali di chi le ha e non di chi dice solo di averle e quando questo diventerà una prassi diffusa la nostra capacità di resilienza come Paese ne trarrà enorme giovamento.
