Accendiamo la luce sul futuro
La serie di fantascienza Star Trek è ambientata nell’anno 2264. Gli esseri umani viaggiano nella galassia insieme agli alieni, aiutati da computer, propulsione più veloce d
Smart working, scuola a distanza e digitalizzazione hanno aumentato le minacce che arrivano da hacker e pirati informatici. A che punto è l’evoluzione della cybersecurity in Italia? L’impegno del Gruppo Unipol.
Joseph Popp è un nome che a molti non dirà niente. A molti, ma non a tutti. Perché per chi si occupa di cybersecurity quel nome e quel cognome hanno un significato ben preciso: appartengono all’autore di uno dei primi attacchi informatici della storia effettuato per estorcere soldi. Nel dicembre del 1989 il biologo Popp inviò 20 mila floppy disc ad altrettanti studiosi impegnati nella ricerca contro l’Aids. Un disco all’apparenza innocuo, contenente informazioni scientifiche, ma con all’interno un minaccioso virus trojan, capace di impedire l’accesso a tutti i file del PC. A tutti, meno che ad uno: quello che richiedeva il versamento di denaro per riattivare una fittizia licenza e poter accedere nuovamente a tutti i file.
Popp fu subito arrestato, ma furono diversi i danni arrecati agli studi dei ricercatori coinvolti. Trent’anni dopo i virus informatici non si propagano più su floppy disc, la rete ha accelerato tutto e lo smart working, la didattica a distanza e la crescente digitalizzazione ha posto il tema della sicurezza sempre più al centro dell’attenzione.
Le parole chiave degli attacchi informatici
Ma come avvengono i principali attacchi informatici? Per rispondere a questa domanda non possiamo ignorare tre parole-chiave: Malware, abbreviazione di ‘Malicious Software’, entra in un dispositivo per rubare informazioni sensibili o diffondere virus via mail; Phishing, il classico inganno informatico. Attraverso questa pratica si inviano comunicazioni agli utenti con loghi contraffatti di banche o aziende. Il destinatario viene così raggirato e invitato a fornire dati sensibili o password; Ransomware, un tipo di malware che riesce a bloccare un computer, impedendo l’accesso all’utente sino a quando questi non pagherà un riscatto, spesso richiesto in bitcoin. Dalla truffa del biologo Popp ad oggi i ransomware si sono evoluti e nel 2017 uno di loro, Wannacry, riuscì a infettare i sistemi informatici di molte grandi aziende e organizzazioni in tutto il mondo.
«Oggi il ricorso ai ransomware ha raggiunto una pericolosità elevata perché non è più generico, ma sempre più targettizzato e con obiettivi definiti», ci ha detto Paolo Lezzi, Vicepresidente dell’European Center for Advanced Cyber Security e fondatore di InTheCyber Group.
Ma come funziona l’attacco attraverso ransomware? «Volendo semplificare, possiamo dire che una volta individuata una vulnerabilità, il cybercriminale buca il sistema, scala i privilegi, diventando amministratore e inizia a cancellare i vari livelli di backup (questo è un lavoro che può durare anche mesi). Una volta ultimata questa operazione, lancia il ransomware, chiedendo un riscatto per riattivare i sistemi che ha bloccato. Il danno ulteriore può essere rappresentato dal fatto che spesso le aziende decidono di non pagare, perché confidano nei backup, non sapendo che prima di chiedere il riscatto gli hacker li hanno cancellati».
Tra i 5 impegni che il Gruppo Unipol si è assunto nei confronti dei propri stakeholders ai fini della protezione e valorizzazione dei dati personali (“Unipol Data Vision”), oltre a rispetto, informazione, comprensione e creazione di valore, viene dato ampio risalto alla protezione dei dati personali. Per il Gruppo, la tecnologia e l’innovazione sono fattori abilitanti ed imprescindibili nel costruire protezione in ogni campo del proprio operato. Ne sono chiari esempi l’utilizzo dei Big Data ed i primi passi compiuti verso la biometria, adottando tra i primi in Europa una soluzione grafometrica, la “Firma Elettronica Avanzata”, per la sottoscrizione delle polizze.
Nel campo specifico della cybersecurity e delle relative tecnologie informatiche, come si muove Unipol e quali sono le principali contromisure messe in campo? L’abbiamo chiesto a Cristiano Ramponi (responsabile Architettura, Progetti e Gestione Sicurezza S.I.), Sergio Insalaco (responsabile Governance Standard, Continuità e Sicurezza S.I.) e Fabrizio Menesello (responsabile Governance Sicurezza S.I.) di UnipolSai.
«Tra le tante tecnologie messe in campo – racconta Ramponi – va citata l’introduzione della Strong Authentication: per ridurre la possibilità che un attaccante possa sfruttare i canali di accesso remoto messi a disposizione degli utenti durante il lavoro agile, viene utilizzato un secondo fattore di identificazione basato su un codice casuale generato da un’app sullo smartphone. Ogni utente viene riconosciuto per quello che sa (la password) e per quello che ha (lo smartphone con la relativa app)». La solidità di base della sicurezza degli accessi logici è inoltre garantita da una soluzione di Identity Management, irrobustita da uno strumento di gestione degli accessi privilegiati (PAM).
L’anello debole della cybersecurity, come di ogni altra tipologia di sicurezza, rimane il fattore umano, la cui vulnerabilità rappresenta un rischio rilevante. «Sul fenomeno del phishing – precisano Insalaco e Menesello – manteniamo sempre la massima attenzione, lo riteniamo una delle principali minacce alla base degli incidenti più gravi, causati da malware ed attacchi ransomware. Sempre più gli hacker fanno leva sull’ingenuità e mancanza di consapevolezza dell’utente finale per fare breccia nei sistemi informatici. È come se un ladro di appartamento, piuttosto che forzare la porta blindata, si facesse dare con l’inganno le chiavi di casa dal proprietario. È indispensabile affiancare alle difese tecnologiche anche attività d’informazione e formazione costante verso gli utenti sulle minacce cyber e sulle modalità per riconoscerle e difendersi. Per questo motivo il Gruppo Unipol da alcuni anni eroga attraverso la propria Academy corsi di cyber security ai propri dipendenti ed intermediari».
Secondo la società di sicurezza informatica russa Kaspersky, nel 2019 sono state attaccate almeno 174 città, con un incremento del 60% rispetto all’anno precedente. Un pericolo crescente che fa leva sempre più sull’intelligenza artificiale. «Come tutte le cose umane, la tecnologia non è mai totalmente positiva o negativa, ma dipende dall’uso che ne faccio. La tecnologia può offendere, ma anche difendere e sta nell’uomo capirlo. Ecco perché va affiancata a professionalità che capiscano il suo utilizzo. La tecnologia senza uomini non può fare niente. E questo vale anche per l’uso delle intelligenze artificiali e del machine learning».
Un’altra tendenza che ha complicato la sicurezza informatica è quella della migrazione in cloud dei sistemi informatici di sempre più organizzazioni. «Andare in cloud è sicuramente una decisione che ha tanti benefici di efficienza e riduzione dei costi – sottolinea sempre Paolo Lezzi – ma l’azienda che migra i propri sistemi usa server esterni, ma deve continuamente implementare e gestire configurazioni in prima persona in modo da difendersi da ogni attacco».
La tecnologia in futuro però potrebbe venirci in soccorso, difendendoci dagli ormai comuni furti di credenziali. Ne sono convinti gli esperti di CISCO che nel loro report “CISCO Benchmark Report” hanno individuato nell’approccio “passwordless” un aiuto concreto alla nostra difesa. Per questo, secondo CISCO, si deve continuare a investire nella “biometria“, l’utilizzo del proprio corpo (voce, impronte digitali, volto) nei processi di identificazione anche su larga scala.
Secondo il Rapporto Clusit 2020, nel 2019 gli attacchi cyber nel nostro Paese hanno raggiunto i 139 episodi al mese, +47,8% rispetto alla media 2014-2018. Una data importante nella strategia italiana contro gli attacchi informatici è quella del 21 ottobre 2020, giorno in cui è stato pubblicato in Gazzetta Ufficiale il DPCM che stabilisce le regole del Perimetro nazionale di sicurezza cibernetica. Il provvedimento individua una lista secretata di circa centocinquanta operatori, che nei prossimi sei mesi dovranno compilare una lista di hardware e network utilizzati. Qualora uno dei centocinquanta operatori subirà un attacco, dovrà comunicarlo obbligatoriamente entro sei ore al CSIRT, il regista della cybersecurity italiana, che eventualmente farà scattare l’intervento del Nucleo per la sicurezza cibernetica.
«Un passo avanti importantissimo – commenta Paolo Lezzi – ma il problema rimane quello di rilevare gli attacchi che non sono visibili, perché progettati per non esserlo. Per questo il momento della detection (della rilevazione del virus) è fondamentale“. Senza dimenticare che occorre anche alzare la guardia anche culturale. “Ancora troppo spesso non si presta la dovuta attenzione alla nostra difesa informatica che non è l’ultimo tassello della strategia aziendale, ma riguarda lo stesso business. E per farlo occorre sempre più consolidare la partnership pubblico-privato, che metta insieme le migliori risorse del paese, coinvolgendo anche la difesa».