Pierluigi Paganini, tra i massimi esperti di cybersecurity in Italia, racconta a Intellisync l’evoluzione delle minacce informatiche e la posizione assunta dall’Italia nel contrasto alla criminalità informatica.
Q: Oggi ci troviamo in un mondo sempre più connesso, in cui il rischio informatico cresce sempre di più e in cui nessuno, né l’utente digitale né l'azienda, piccola o grande che sia, può sentirsi al riparo. Nella sua carriera ha raccolto moltissime informazioni sulle minacce, come si sta evolvendo il panorama nell'ambito della sicurezza informatica?
A: Il panorama della sicurezza informatica, diversamente da molti altri ambiti, è un panorama in rapida evoluzione, perché segue un contesto tecnologico vorace ed estremamente dinamico. In questo periodo stiamo osservando un incremento significativo del numero degli attacchi, ma ciò che preoccupa è la loro sofisticazione. Molto spesso, ci troviamo di fronte ad attacchi alle supply chain che con una singola operazione riescono a colpire una pletora di aziende di medie e grandi dimensioni, causando danni di proporzioni internazionali.
Un altro fenomeno estremamente preoccupante è il fatto che spesso le organizzazioni criminali sono avvantaggiate da tutta una serie di strumenti che prima non esistevano. Ad esempio, oggi si è consolidato il fenomeno del Cybercrime-as-a-Service, un modello in cui organizzazioni di cybercriminali offrono i propri servizi e le proprie infrastrutture ad altri gruppi criminali che si vogliono impegnare in questo tipo di attacchi.
Oggi è sempre più semplice organizzare un attacco, anche avendo un set di skills limitate. Ipotizzando di voler organizzare una campagna di phishing, è veramente semplice acquistare template che possono essere utilizzati per colpire una determinata platea di persone o ricevere una lista di potenziali obiettivi organizzati per aree geografiche e per settore di competenza.
Un altro esempio che rientra nel Cybercrime-as-a-Service è il cosiddetto Ransomware-as-a-Service, un modello in cui esiste una rete di affiliati ai quali viene offerto il ransomware già pronto, con il codice malevolo sviluppato da terze parti e in cui le organizzazioni criminali mantengono per sé una parte del riscatto pagato dalle vittime.
Q: I recenti sviluppi con l’intelligenza artificiale stanno dando man forte a questi attacchi. Qual è il ruolo dell'AI oggi?
A: Quello che posso dire relativamente all’intelligenza artificiale – anche se oggi è un termine abusato – rientra in quella che è l’applicazione di alcuni modelli che sono propri dell’AI ma che si ispirano alle reti neurali e ai processi di deep-learning e che vengono sostanzialmente usati come difesa; oggi abbiamo delle soluzioni che utilizzano processi siffatti per analizzare dati nel più breve tempo possibile e gestire un’eventuale risposta alla minaccia incombente. Il rovescio della medaglia è che, effettivamente, sistemi del genere possono essere utilizzati per l’offesa, soprattutto da parte dei nation-state actors, attori che operano per conto di governi stranieri che possono avere queste capability e possono utilizzarle per muovere attacchi verso gli stati avversari.
A: Allora al di là della mia impressione, oggettivamente ci sono delle dichiarazioni fatte da chi ci governa che sono eloquenti. Quando il ministro Colao sostiene che il 95% per infrastruttura pubblica è vulnerabile ad attacchi cibernetici, di fatto sta facendo un’ammissione di uno stato di non resilienza della nostra infrastruttura nazionale e questo si traduce in una vulnerabilità intrinseca dell’ecosistema. Siccome oggi il sistema della Pubblica Amministrazione, di fatto, presenta quella che è l’ossatura di tutti i processi di governo ed è quindi assimilabile, nella mia visione, a tutta l’infrastruttura critica nazionale, posso dire che un’affermazione del genere conferma quella che è la mia percezione, ovvero che oggi si sta accelerando tanto ma sicuramente siamo ancora molto vulnerabili ad attacchi informatici.
Q: Che si traducono, infine, ad attacchi alla business continuity...
A: Esattamente. Mi viene da dire che purtroppo non posso che essere d’accordo con l’affermazione del Ministro Colao. Se poi guardiamo alla sfera privata, abbiamo la quasi totalità delle aziende estremamente vulnerabili.
Ovviamente abbiamo anche le realtà virtuose che hanno compreso che la cybersecurity non è un costo da abbattere. Oggi con l’istituzione del Perimetro nazionale cibernetico e con una globalizzazione spinta in cui vediamo aziende italiane lavorare nella catena del valore di aziende straniere, avere dei requisiti stringenti in termini di cybersecurity significa qualificare un’interlocuzione e rendere un’azienda più interessante nel dialogo di una collaborazione e di una partnership.
Q: A questo punto risulta naturale continuare con una riflessione sulla neonata Agenzia per la Cybersicurezza Nazionale (ACN). Come pensa che risolverà i nostri problemi strutturali, non solo dal lato della promozione di una cultura della sicurezza informatica ma anche dal lato dell'adozione di una strategia di sicurezza informatica nazionale?
A: Allora, innanzitutto l’evento di costituzione dell’Agenzia per la Cybersicurezza Nazionale per me è da accogliere con grande interesse, facendo un plauso a chi ha reso possibile la realizzazione di un’agenzia del genere. Dietro c’è il lavoro di tante persone che si stanno battendo già da anni e la consapevolezza che un’esigenza spinge all’azione di nuove infrastrutture e nuove metodologie. Ovviamente l’Italia deve dotarsi di una strategia e quindi il principale compito di un’agenzia del genere è quello di sovraintendere al disegno di questa strategia nel sistema paese Italia. Non dimentichiamoci che dalla capacità del sistema paese di difendere il proprio asset, le proprie infrastrutture critiche e i propri dati ne va della sovranità nazionale. Poi ovviamente all’Agenzia si chiede come consentire il dialogo dall’entità nazionale con quelle straniere, in un contesto che è quello del cyberspazio. Non dimentichiamoci che il cyberspazio è per sua natura immateriale e quindi teoricamente io posso poter ricevere un attacco da qualunque parte del mondo ed è quindi difficile da localizzare. Questi sono i principali compiti che noi abbiamo assegnato all’Agenzia per la Cybersicurezza Nazionale.
Q: In merito al Perimetro di sicurezza nazionale cibernetica, pensa che sia positivo l'ampliamento di quest'ultimo a tutti quei soggetti che pur non essendo compresi nel novero degli Operatori di Servizi Essenziali (OES) ai sensi della Direttiva NIS, svolgono tuttavia dei ruoli chiave per il nostro paese?
A: Io ho partecipato alle audizioni del Perimetro. È un disegno molto importante, che sancisce di fatto un processo che deve evolversi nel tempo. Si è partito ovviamente da un nucleo forte di aziende, dal cui funzionamento riteniamo possa dipendere l’erogazione dei principali servizi all’interno del sistema paese. Il dover comprendere nel tempo tutti quegli attori che fanno parte della filiera operativa e organizzativa è un atto dovuto. Per quale motivo? Perché sostanzialmente un attacco contro delle entità molto spesso non è un attacco diretto ma è un attacco che individua l’anello debole nella catena del valore. Se all’interno del Perimetro non includiamo in maniera progressiva tutte le aziende, troveremo proprio in un’azienda esterna al Perimetro l’anello debole che andrà a compromettere non solo l’azienda stessa ma anche le aziende interne al Perimetro. Il modus operandi è, dunque, il seguente: si individuano le aziende critiche, si inseriscono all’interno del Perimetro e man mano che si consolida si chiederà alle aziende che vogliono operare con quelle interne al Perimetro di adeguarsi con dei sistemi che rendono questa cooperazione sicura. Queste “aziende di secondo livello” richiederanno a loro volta alle aziende che vogliono lavorare con loro di adottare nuovi requisiti di sicurezza, allargando così a macchia d’olio il Perimetro di sicurezza nazionale cibernetica.
Q: Alla luce di questo, possiamo dire che gli anelli deboli possono essere tanti. Soprattutto nelle aziende, molto spesso, la mancanza di consapevolezza e di educazione alla sicurezza informatica può portare a gravi danni e sarebbe buona norma implementare delle best practices. Pensa che la formazione possa essere l’asset principale su cui puntare e che l’aggiornamento dei dipendenti sui temi della security, del GDPR e della cybersecurity contribuisca anche alla protezione a cui ambire?
A: La sicurezza è fatta di tanti aspetti: l’aspetto tecnologico è senz’altro importante, ma non si può prescindere da quello umano, che molto spesso rappresenta l’anello debole della sicurezza. Nella quasi totalità degli incidenti, l’attaccante sfrutta un errore umano, un errore indotto (per esempio attraverso campagne di social engineering) con cui può modificare il comportamento della vittima e innescare l’attacco. Tutto ciò si evita con la formazione e io reputo che la parte formativa abbia oggi un valore non dissimile da quello tecnologico. Oggi avere un’azienda con un personale formato in termini di sicurezza significa avere un’azienda più resiliente, al pari di un’azienda che utilizza un insieme di strumenti tecnologici che consentono alla sua infrastruttura di essere più sicura alla minaccia cibernetica.
Q: Qual è il settore più colpito oggi e in direzione di quale settore si sta evolvendo la minaccia cibernetica?
A: Tra i settori più colpiti abbiamo storicamente il settore finanziario, perché è il settore che per sua natura gestisce il denaro e che oggi si sta allargando nel settore delle criptovalute. Sicuramente il secondo settore tra i più colpiti è il settore sanitario e in termini di trend è quello che sta vivendo periodi da incubo, perché il dato sanitario ha un valore nettamente più elevato rispetto a un numero di carta di pagamento. Le carte di credito hanno un limite temporale o sono comunque soggette a blocco. Il dato sanitario, invece, accompagna l’individuo nel tempo e una volta che un criminale prende possesso dei dati sanitari di un individuo li può utilizzare per varie tipologie di frode. Ovviamente poi, complice la pandemia, stiamo assistendo a vari attacchi al settore retail, facilitati dallo spostarsi di molte attività online come lo sviluppo degli e-commerce.
Q: L'America con Biden sta avviando un piano di investimenti per proteggere le infrastrutture del paese. L’Italia è in ritardo?
A: Sì, siamo in ritardo perché abbiamo creato da poco un’Agenzia che si occupa di questo. Siamo in ritardo perché stiamo inseguendo una minaccia alla quale abbiamo dato il tempo di svilupparsi e che oggi subiamo. Siamo in ritardo perché, oggettivamente, dalle nostre università oggi non esce un numero sufficiente di professionalità atte a soddisfare la domanda (se consideriamo il numero di laureati specifici in materia cyber security dello scorso anno, posso dire che non possono soddisfare le richieste dell’Agenzia stessa già da sola). E proprio nella mancanza di professionalità io vedo uno dei principali problemi con il quale ci dovremmo confrontare nel prossimo biennio. Non abbiamo capacità sufficienti per poter soddisfare l’attuale richiesta del mercato e questo è anche positivo perché chi si cimenterà oggi in questo settore non avrà problemi a trovare un impiego.
Q: Dal lato del privato, cosa si sente di suggerire ad un utente o ad un'azienda?
A: A chi amministra un’azienda direi di considerare la cybersecurity come un investimento e non come un costo da tagliare. Questo perché molto spesso veniva considerato come un investimento minore e da ridurre all’osso. Fare prevenzione significa rendere l’azienda più resiliente ad attacchi e quindi far diventare un’azienda che performa meglio e questo si traduce in un commitment forte che lo spinge ad adottare delle politiche forti in termini di sicurezza. Quello della cybersecurity è un investimento che darà i suoi frutti nel giro di 6 mesi o 1 anno. Le aziende che più avranno investito in sicurezza saranno quelle che emergeranno, perché non avranno blocchi all’operatività e potranno lavorare in contesti dove viene richiesta una qualifica di sicurezza e potranno accedere al mercato. Mi farebbe piacere pensare che aldilà delle imprese e aldilà dei governi, si facesse di più per il singolo individuo; quindi, quello che auspico è che arrivi sempre di più l’esigenza di cybersecurity al cittadino.
Biografia
L’ing. Pierluigi Paganini è CEO di CYBHORUS, ricopre attualmente l’incarico di adjunct professor presso l’Università Luiss Guido Carli in materia CyberSecurity. Paganini è membro del Ad-Hoc Working Group on Cyber Threat Landscapes di ENISA (European Union Agency for Network and Information Security) e Collaboratore del gruppo SIPAF – Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze.
L’ing. Paganini ricopre inoltre il ruolo di consulente strategico per alcune aziende private ed organizzazioni governative. Il suo blog Security Affairs, votato miglior blog europeo nel 2020 e 2021, è considerato uno dei primi 5 al mondo in materia cyber security. Pierluigi è autore di diversi libri, l’ultimo dei quali è Digging the Deep Web: Exploring the dark side of the web.
