La sicurezza informatica è un settore ormai cruciale nello sviluppo delle aziende e della Pubblica Amministrazione, ma ancora manca la giusta sensibilità per comprendere i rischi enormi di una arretratezza senza confini. Ne abbiamo parlato con Carlo Mauceli, CTO di Microsoft, per capire di cosa ha bisogno il nostro Paese per uscire da questa situazione.
L’informatica è ormai entrata prepotentemente nei processi produttivi di qualsiasi azienda: tantissimo dipende ormai dai computer sia nel settore privato sia in quello pubblico.
Dati sensibili, documenti, atti, pagamenti transitano ogni giorno sulla rete aziendale, come fosse la linfa vitale che fa funzionare processi e produzione.
Ma cosa accade se il fluire di questa linfa fosse interrotto? Tutti sono concordi: sarebbe un disastro. Cosa si fa, quindi, per proteggerlo? Quasi niente nella maggior parte dei casi e non abbastanza nel resto, con pochissime eccezioni.
Siamo andati a trovare Mauro Mauceli, CTO di Microsoft Italia, nel suo ufficio proprio per fare due chiacchiere con chi è a contatto ogni giorno con aziende ed enti che devono proteggersi contro le minacce informatiche e la sensazione è che la maggior parte di loro sembra non aver idea di come fare.
“In Italia” – ci dice Mauceli – “il panorama della sicurezza delle informazioni è davvero grigio, tanto nella Pubblica Amministrazione quanto nel settore privato.”
Il problema principale è che non si è sviluppata quella sensibilità necessaria a vedere la sicurezza come uno degli aspetti principali da tener presente quando si prepara un business. Oggi, la sicurezza è ancora vista come un costo che nessuno vuole sobbarcarsi.
“Il problema” – ci spiega – “è che poi i costi arrivano davvero quando si verifica una intrusione. La spesa tipica per il recovery da un attacco in una media azienda è di circa 3 milioni di dollari”.
Al fermo dell’attività, infatti, vanno poi a sommarsi i costi dell’intervento di recupero e pulizia veri e propri, oltre alla necessità di ricostruire spesso completamente l’infrastruttura per eliminare le falle che hanno portato al disastro.
“Troppe reti” – continua Mauceli – “non sono progettate partendo dal concetto di sicurezza: non sono Secure by Design, come si dice in gergo . Le aziende e gli enti si limitano ad applicare qualcosa che dia una impressione di protezione a quello che è un colabrodo.”
“Otto aziende attaccate su 10 non vengono colpite perché espressamente prese di mira da attacchi super sofisticati, ma perché non applicano le patch di sicurezza. Quando entriamo in un’azienda o un ente, ci capita di trovare server con un arretrato di 100/150 patch da applicare. Quale può essere la sicurezza in questi casi? E pensare che applicarle non costa niente o quasi…”
Probabilmente questi casi sono il retaggio dell’antico adagio “se funziona, non aggiustarlo“, una filosofia di vita che non può più essere applicata al giorno d’oggi perché se il malfunzionamento di una macchina può causare dei danni, una intrusione informatica (che avverrà se non c’è un’attenta manutenzione) comporta problemi molto più seri.
“Eppure, sono pochissimi quelli che fanno del risk management sensato. Ci si limita quasi esclusivamente a un discorso di difesa perimetrale, tralasciando tutto quello che va oltre ed è più importante al giorno d’oggi.” – osserva Mauceli.
“Le soluzioni in cloud” – continua il CTO – “sono ingiustamente sottovalutate, le si guarda con sospetto quando in realtà sono gli strumenti più avanzati che un responsabile IT possa sfruttare. Senza scendere in soluzioni particolarmente complesse, basti pensare al sistema di controllo della posta.”
Per esempio, proprio Microsoft propone un sistema chiamato Advanced Threat Protection che prevede una “detonation chamber“: quando un allegato a un messaggio non viene riconosciuto, il sistema in cloud lo sposta in un’area protetta e lo apre, analizzandone il comportamento e bloccandolo se compie azioni illecite.
Una applicazione emblematica che già ci fa pensare al fatto che fare sicurezza “fuori” dall’azienda è intrinsecamente più sicuro che farla “dentro”.
“Quanta infrastruttura di sicurezza può mettere in piedi un’azienda al suo interno? Per quanti soldi possa spendere, sarà sempre una versione minima di quello che può esser offerta da una struttura in cloud che gira in un datacenter dedicato e può contare sui dati che arrivano dall’analisi di milioni di casi”.
Quali sono i problemi che Microsoft vede ogni giorno nelle aziende e negli enti in cui va a fare consulenza?
“La classifica è lunga” – risponde Mauceli – “ma diciamo che sei passi possono bastare a coprire la maggioranza dei casi:”
- L’obsolescenza dei sistemi è sconfortante. Ci sono servizi critici che girano su macchine e sistemi di 10/15 anni fa, quando la sicurezza era una cosa molto diversa da quella che è oggi.
- Non viene fatta manutenzione sui sistemi esistenti: le patch non vengono applicate e questo lascia aperti i sistemi a falle che risalgono a lustri fa.
- Le credenziali non vengono protette in maniera adeguata. I motivi sono tantissimi, ma il problema principale è che se le password di amministrazione o degli utenti escono dalla rete, è ovvio che prima o poi qualcuno entri.
- Sono pochissimi i casi in cui si definiscono dei ruoli sulle macchine: se non devi installare del software, perché il tuo utente dovrebbe essere di tipo amministrativo?
- Non c’è abbastanza competenza nelle aziende per configurare in maniera appropriata tanto gli application quanto i gli authentication server.
- Non ci si fida della cloud, quando invece è un alleato potentissimo e a costo ragionevole.
Secondo Mauceli, piccole e medie imprese nonché pubblica amministrazionesono i bersagli tipici di queste casistiche. Cosa bisognerebbe fare, quindi, per smuovere un po’ le acque? Cosa si deve fare in Italia per uscire da questa situazione di immobilismo?
“C’è da fare tanto, ma intanto notiamo che le cose stanno cambiando. Già il fatto che nell’ultima finanziaria si sia parlato di destinare 150 milioni di euro allo sviluppo della cybersecurity è un dato importantissimo che può servire a gettare le basi”.
L’istituzione di un organismo centrale che coordini gli sforzi in materia di sicurezza informatica sarebbe assolutamente il benvenuto e potrebbe organizzare una serie di attività tese a migliorare la situazione.
Innanzitutto, serve molta formazione, ma soprattutto dal punto di vista del business. Bisogna far capire alle aziende e agli enti che la sicurezza non è più una spesa a parte, ma una voce integrante dell’infrastruttura. Servono corsi e operazioni mirate al contatto con chi decide come devono funzionare i computer.
Poi servono anche più sforzi da parte di scuole e università nel formare tecnici specializzati in sicurezza. Gli attuali corsi di laurea soffrono un po’ della stessa sindrome delle aziende: la sicurezza non è integrata in tutti gli aspetti che si insegnano, ma gestita come un capitolo a parte.
Dopo averli formati, bisogna anche certificare questi tecnici in modo che possano proporre soluzioni di qualità al mercato, per garantire standard elevati sia nella Pubblica Amministrazione, dove la sicurezza del dato del cittadino dovrebbe essere un dovere morale, sia nel privato dove in caso di intrusione si ha un danno economico notevole.
“Un buon punto di partenza” – conclude Mauceli – “sarebbe quello di iniziare una serie di collaborazioni tra pubblico e privato in modo daportare la competenza delle aziende che conoscono bene questo settore in un ambito che ha problematiche complesse che non possono essere analizzate solo da aziende esterne o solo da personale interno”.
Se la NSA ha deciso di collaborare con Microsoft per garantire la sicurezza di alcuni sistemi destinati alla sicurezza nazionale, non si capisce perché non si possano stipulare degli accordi per cose di livello meno impegnativo.
Ma c’è un’ultima cosa su cui Mauceli ci fa riflettere:
“Mettere in piedi tutte le linee guida del mondo è poi inutile se le leggi non si fanno rispettare. Ho detto poco fa che i problemi più grandi derivano da obsolescenza e mancanza di manutenzione, ma miamo un’occhiata a quanto dice la legislazione sul trattamento dei dati. È già stato scritto e ben dettagliato che i sistemi che trattano i dati personali dovrebbero essere aggiornati e revisionati ogni sei mesi, ma cosa succede invece? Che andiamo negli enti e troviamo macchine con 150 patch arretrate. Così non si va da nessuna parte.”
