86 tra CISO, CIO e responsabili della security, 34 fornitori di soluzioni e servizi di security, una sessione plenaria e 16 workshop: sono i numeri della 3° edizione del Cyber Resilience Forum alle cui spalle sta un anno di preparazione durante il quale Richmond Italia, che organizza l’evento, ha definito i temi da approfondire, in collaborazione con gli stessi partecipanti, per poi costruire agende che consentono a ciascuno di seguire i workshop di maggiore interesse. “Il nostro lavoro consiste nel fare incontrare domanda e offerta in maniera organizzata: invitiamo i delegates, ossia i buyer di mercato [Richmond Italia organizza eventi in 14 mercati differenti ndr], e li facciamo incontrare con i potenziali fornitori utilizzando un software proprietario che consente di incrociare le esigenze manifestate dagli stessi delegati con le soluzioni e i servizi offerti dai fornitori”, ha spiegato l’Amministratore unico dell’azienda, Claudio Honegger nell’intervista rilasciata a ZeroUno.
Dal titolo esplicativo Think cyber act cyber. Be cyber, anche in questa edizione del Cyber Resilience Forum il programma conferenze era suddiviso in 3 parti: il keynote di apertura, tenuto dall’istrionico Menny Barzilay, esperto internazionale di cybersecurity (CEO e co-fondatore della società di servizi di sicurezza FortyTwo e CTO dell’Interdisciplinary Cyber Research Center della Tel-Aviv University e già Ciso dei servizi di intelligence dell’IDF – Israeli Defense Forces); i workshop “tecnici”, dove ci si è potuti confrontare con esperti di whistleblowing, intelligenza artificiale e sicurezza, Enterprise risk management, i nuovi requisiti sulla sicurezza con il 5G e alcune esperienze particolarmente significative di aziende utenti; workshop dedicati ai risvolti psicologici e sociologici del cybercrime e delle attività di cybersecurity dove si è parlato di come gestire le emozioni in una situazione di emergenza e del fattore umano nella cybersecurity.
Il format, dove accanto alle conferenze viene predisposta una sala per gli incontri one to one tra delegati e fornitori, è lo stesso in tutti gli eventi Richmond: “La caratteristica dei nostri incontri è quella di focalizzarci sulle persone più che sulle aziende, Human2Human li definiamo, e dato che per essere buoni manager non sono importanti solo le competenze tecniche, ma è indispensabile avere padronanza anche dei cosiddetti soft skill, ecco che organizziamo incontri anche con psicologici, sociologi ecc.”-
Mentre ci ripromettiamo di dedicare prossime uscite ad alcuni workshop e interviste realizzate nel corso dell’evento, in questo articolo ci focalizziamo sull’intervento di Barzilay, senza prima tralasciare di citare la collaborazione di Richmond Italia con B.Live, un progetto sviluppato da Fondazione Near Onlus che aggrega attività e laboratori dedicati a ragazzi affetti da gravi patologie croniche provenienti da diversi istituti ospedalieri del territorio. Attraverso visite in aziende, incontri con imprenditori e percorsi creativi, i ragazzi “imparano il mestiere della vita e l’arte del fare” e per Richmond Italia realizzano Reach: “Un magazine che vuole dare voce e sentire parlare i manager sotto il profilo personale con le tante sfaccettature che questo può significare. Per noi – ha ribadito Honegger – quel che conta sono le persone e quel che ciascuno di loro può apportare anche con un racconto di viaggio, una ricetta del cuore, un sogno o un progetto importante o le parole chiave per vivere meglio”.
Tra 15 anni cambieranno tante cose, ma la cybersecurity sarà ancora di attualità
“Prima di parlare del futuro, bisogna tornare indietro di qualche anno, al 2004 per esempio, quando si usavano le cartine per studiare un percorso, quando si ascoltavano le audiocassette o si doveva abbassare il finestrino dell’auto e bisognava parlare con una persona per avere informazioni… una cosa da paura!”, le prime parole dell’esperto internazionale di cybersecurity danno subito la cifra del suo intervento: ironico, dissacrante, ma acuto e che, attraverso la battuta, induce la riflessione.
E dopo avere ricordato la poderosa evoluzione tecnologica che ci ha fatto entrare nella 4° rivoluzione industriale, ma avere anche sottolineato la caducità di qualsiasi innovazione tecnologica, ha evidenziato come una parola che continuerà ad essere centrale anche tra 15 anni c’è, ed è: cybersecurity. E questo perché le sfide sono molto maggiori di quelle del passato: “Il nostro problema è cercare di essere un passo avanti a quello che succede: come nel gioco dell’hockey non si guarda il giocatore ma dove va, o presumibilmente andrà, il dischetto così noi dobbiamo sempre avere gli occhi sul ‘dischetto’”, ha specificato Barzilay, insomma focalizzarsi su quello che sta per succedere più che su quello che sta succedendo o è già successo. Ma questo è estremamente complesso perché, ha ricordato: “C’è una grande asimmetria nel mondo della cybersecurity: è molto più facile essere hacker che essere un’azienda che si deve difendere (a un hacker basta riuscire una volta nel suo intento per vincere, un’azienda deve proteggersi sempre); l’hacking costa poco (nel darknet si trova di tutto al costo di pochi dollari) mentre la security costa molto”.
Il mondo criminale è un’industria con un suo ecosistema
Viviamo in un mondo dove il crimine informatico è profondamente cambiato: “Stiamo parlando di una vera e propria industria, con un ecosistema e una supply chain dove ognuno ha un suo ruolo: c’è chi si specializza nel furto delle credenziali di accesso ai conti correnti (il cui costo nel darknet va da 1,5 a 3 dollari) e c’è chi è specializzato nell’utilizzo di queste credenziali per hackerare il conto e trasferire denaro” e ogni anello della catena ha suoi specialisti, con siti, sempre nel darknet, degni delle più famose corporation dove si acquistano con estrema facilità pacchetti software per sferrare attacchi, dove ci sono addirittura call center di supporto o che possono essere utilizzati “a consumo” per far parte della catena di attacco (ransomware che si fingono banche di primaria importanza e indicano numeri di call center cui chiamare per avere informazioni, in modo da dare maggiore veridicità al messaggio maligno).
L’esperto ha poi snocciolato una serie di casi, più o meno conosciuti, ciascuno dei quali esemplifica una tipologia di rischio che si vanno presentando a tutti livelli: di paese, di azienda e personali.
- Il caso Sony: come si influenza la libertà di espressione
Il caso è abbastanza noto. Sony Picture nel 2014 sta realizzando il film The interview basato su un’ipotetica e ironica intervista al leader nordcoreano Kim Jong-Un. Il regime non apprezza e manda subito una lettera di protesta, che rimane inascoltata, alla casa di produzione. In poco tempo gli hacker del fantomatico gruppo Guardiani della Pace violano il network di Sony Pictures diffondendo sul web alcuni film non ancora usciti al cinema, pubblicando le mail dei dipendenti e provocando danni per milioni di dollari (l’esperto di sicurezza informatica Hemanshu Nigam sostiene ammontino a mezzo miliardo). Sulla questione interviene anche il presidente Obama, ma il film non esce comunque nelle sale (non si trovano distributori) e The Interview verrà poi messo a disposizione da Google su YouTube Movies e da Microsoft su Xbox Video. Le autorità nordcoreane hanno sempre sostenuto di essere estranee alla violazione della rete Sony, ma certo è che nessuno ha più fatto film sul dittatore nordcoreano: “E questo significa limitare la nostra libertà di espressione”, ha sottolineato Barzilay
- Il caso Target: la responsabilità della security si sposta verso il business
Il secondo caso portato dall’esperto di sicurezza riguarda Target (sul cui nome Barzilay ironizza: “Ma come gli è venuto in mente di chiamare un’azienda ‘Bersaglio’?”), azienda americana di distribuzione farmaceutica: negli ultimi giorni dello shopping natalizio del 2013, Target rivelò che gli hacker avevano trafugato fino a 70 milioni di record riguardanti clienti; si trattò della più nefasta operazione di hackeraggio di dati di consumatori finali mai avvenuta fino a quel momento. I clienti punirono l’azienda i cui affari ebbero una battuta di arresto. Conseguenza? “Il CEO è stato licenziato, non il CIO o il CISO: la responsabilità della cybersecurity si è chiaramente spostata dal lato tecnico al business”, ha specificato Barzilay.
- Elezioni USA 2016: la manipolazione politica
Il terzo caso è notissimo e riguarda la manipolazione dell’opinione pubblica da parte di Cambridge Analytica tramite Facebook durante le ultime elezioni presidenziali americane e dimostra un rischio ancora maggiore dei precedenti: la possibilità per un gruppo di hacker di cambiare il destino politico di un paese, ma anche i comportamenti e i “desideri” di intere fasce di popolazione,
I 3 problemi cui dovremo porre attenzione
“Come proteggerci? Possiamo rendere i nostri sistemi inattaccabili? Sappiamo bene che questo è impossibile, dove c’è digitale c’è una possibile violazione”, ha quindi affermato l’esperto avviandosi alla conclusione: “Ma ci sono tante cose che dobbiamo conoscere e imparare in un processo di attacco: come si concilia, e se si concilia, con gli hacker? Come si comunica la notizia di un attacco? Quali sono le azioni da mettere in campo immediatamente?”.
Ma soprattutto bisogna porre attenzione a 3 problematiche:
- la nostra privacy: “Non siamo poi così diversi: a un determinato input corrisponde un certo numero, limitato, di output. Non è così difficile prevedere come ci comporteremo, e manipolare il modo in cui ci comporteremo, se i nostri dati sono disponibili. Oggi pensiamo che tutto sia gratis e invece lo paghiamo con la nostra privacy”, ha detto Barzilay: “Il privacy mining sarà un grande problema del futuro perché passiamo da un passato che è off a un futuro che è on. Basandosi su tecniche comportamentali come l’anchoring [processo non conscio che porta il nostro cervello a valutare le informazioni che riceve basandosi sulla prima a cui si è trovato di fronte ndr] è possibile manipolare le opinioni”.
- l’IoT: “Siamo in un bellissimo mondo iperconnesso dove gli oggetti fanno le cose al posto nostro, ma attenzione: le soluzioni tradizionali di security non funzionano con l’IoT. C’è un compromesso tra usabilità e sicurezza, per esempio perché si utilizzano i comandi vocali invece delle password, che inevitabilmente comporta dei rischi”, ha sottolineato l’esperto internazionale di security.
- le auto a guida autonoma: “Cambieranno tantissimo il mondo, ma se i device che le fanno funzionare vengono hackerati si possono verificare situazioni molto pericolose: basta cambiare la destinazione e potreste essere rapiti oppure prenderne il pieno controllo e chiedere un riscatto immediato per impedire che vi schiantiate contro un albero, nuovi tipi di ransomware insomma”.
Barizlay ha quindi concluso il suo intervento con quelle che ritiene il solo modo per prepararsi a questo futuro: “Se volete essere responsabili in tema di cybersecurity dove sviluppare una strategia di security multidimensionale: investire in prevenzione, rilevamento, risposta, in cyber intelligence, in detection, ma la cosa importante è lavorare insieme. I criminali sono molto bravi a collaborare, noi dobbiamo essere più bravi di loro: dobbiamo scambiarci informazioni, conoscerci, creare una community, momenti come questi che stiamo vivendo qui sono importanti, dobbiamo collaborare. E poi incorporare la security in tutte le nuove attività e progetti fin dal primo giorno, la security by design è fondamentale. Infine semplificate l’ambiente della security in modo che sia più facile da gestire: è il percorso per aumentare il livello di security”.