Vi racconto perché nella sicurezza informatica non c'è niente di virtuale Intervista a Paolo Campana

La sicurezza informatica non ha nulla di virtuale. L’avvento dell’IoT e dei sistemi cyber-fisici che caratterizzano l’industria 4.0 rende davvero difficile tracciare una linea tra il mondo fisico e quello informatico.

I cyber-reati hanno impatti sempre più tangibili: non è raro che colpiscano per esempio gli ospedali, impedendo ai pazienti urgenti di ricevere le cure in emergenza.

L’Ing. Paolo Campana, AD di Ecoh Media e Vicepresidente di Confindustria Chieti-Pescara ne ha parlato nel suo discorso di apertura ai lavori di Expo Security 2020, lo scorso 15 ottobre, al porto turistico Marina di Pescara e poi nel corso della trasmissione EconoMIA su Rete 8.

Ed è proprio questo l’argomento che approfondiamo con lui anche oggi, per entrare nel vivo di un aspetto cruciale nella vita delle aziende moderne.

Ingegnere, pensa che oggi mondo fisico e mondo virtuale siano ancora due mondi separati?

Oggi l’Internet of Things annulla la distanza tra mondo fisico e mondo virtuale. Non solo computer e smartphone, ma anche dispositivi di sicurezza e macchinari aziendali sono interconnessi in rete e dialogano con gli oggetti fisici e con le persone che li adoperano.

Perfino di dispositivi di sicurezza fisica sono connessi: OTP, sistemi di accesso con protezioni tecnologiche come il riconoscimento facciale, i computer di bordo di automobili, mezzi di trasporto, macchinari. No, mondo fisico e mondo virtuale non sono più separati.

Può farci alcuni esempi?

Se ci fosse bisogno di prove di quanto siano labili i confini tra virtuale e reale, purtroppo ce ne danno contezza gli impatti dei cyber-reati nella vita delle persone. Se il phishing, l’ingegneria sociale, il furto di dati personali sono già da tempo noti ai più, va rimarcato invece che negli ultimi tempi si sono registrati eventi con conseguenze e implicazioni estremamente gravi.

Non sono rari gli attacchi hacker agli ospedali, per esempio. Già nel 2017 Wannacry ebbe un impatto negativo sull’ammissione dei pazienti, anche in emergenza, negli ospedali colpiti.

Recemente in Germania un attacco ransomware ha impedito all’ospedale di Düsseldorf di trattare una paziente, forzando i medici a trasferirla in un’altra struttura. La paziente non ce l’ha fatta e il ritardo provocato dal cyber-reato potrebbe aver avuto un peso decisivo sull’esito della vicenda. Senza trascurare altre pesanti implicazioni dell’in-sicurezza informatica, per esempio la possibilità di prendere il controllo dei sistemi informatici di aziende, aerei, automobili, infrastrutture sensibili. Direi che la sicurezza informatica è davvero qualcosa di umano, troppo umano.

E sulla salute delle aziende, oggi, quale impatto ha la sicurezza informatica?

Quanto più un’azienda è tecnologicamente avanzata, tanto più la sicurezza informatica è cruciale per il suo benessere. Andrebbe curata un po’ come curiamo la nostra salute con uno stile di vita sano, quotidianamente.

Ecco, anche la sicurezza informatica oggi è una strategia organizzativa che funziona bene se diventa un modus vivendi. Questo vuol dire che è ingenuo pensare di banalizzare un aspetto tanto complesso della gestione di un’azienda, limitandosi a installare qualche software, anche di ottimo livello.

Cosa fare nel concreto?

Per proteggere un’azienda dalle minacce informatiche, che come abbiamo visto hanno impatti decisamente poco virtuali, bisogna curare tre grandi pilastri: la prevenzione del rischio, la mitigazione del rischio e la formazione del personale. Tutto con un monitoraggio costante.

Credo che questa sia la via, oggi, per tutelare nel modo migliore l’incolumità delle persone, la sicurezza dei beni materiali e intellettuali e per prevenire le emergenze legate agli attacchi.

La percezione del rischio però è soggettiva. Allora, come prevenire e mitigare il rischio informatico?

La percezione del rischio è un fenomeno decisamente soggettivo, in cui entrano in gioco tanti fattori psicologici, esperienze, competenze, cultura. Decidere cosa e quanto sia rischioso è un’operazione molto più complessa che calcolare le probabilità che un evento avvenga.

Per fortuna però per la sicurezza aziendale ci sono parametri ISO prestabiliti ai quali aggrapparsi per analizzare e quantificare il rischio informatico: così è possibile svolgere degli assessment attendibili.

In cosa consistono i Risk Assessment per la cyber-security?

In linea teorica, sono autovalutazioni nelle quali bisogna trovare le risposte a domande tipo:

  • Quante informazioni relative all’azienda sono davvero reperibili in Internet? (Molti resterebbero impressionati!)
  • Il mio personale è sufficientemente consapevole dei rischi informatici e delle misure per prevenirli?
  • Quanti sono i possibili punti di accesso per un attaccante?
  • Quanto sono sensibili i dati che tratto?
  • Che impatto avrebbe un attacco informatico sulla vita delle persone che ruotano attorno a questa realtà e quale impatto economico?

Nella pratica, si somministrano questionari alle aziende per valutare quanto sia estesa la rete da proteggere, quali sono le vulnerabilità, quanto sia formato il personale. Si fanno anche penetration test e altre prove tecniche per valutare la tenuta del sistema di protezione. Ancora più interessanti sono le ricerche nel web, anche nel deep web, di quali sono le informazioni sull’azienda effettivamente reperibili in rete: password, firme di manager, conti. Sono dati frequentemente reperibili e spesso le aziende non ne hanno neanche l’idea.

È solo il risultato di queste diverse operazioni che permette di quantificare il rischio e valutare la giusta strategia di mitigazione.

Per approfondire, guarda il video dell’intervento dell’Ing. Campana a EconoMIA su Rete 8:

Ecoh Media ha al suo interno una divisione specializzata in sicurezza informatica, ISEC, con la quale ha partecipato a Expo Security 2020 come sponsor e contribuendo con lo speech ALIENVAULT – Tutte le funzionalità per la sicurezza informatica della tua azienda, in un colpo d’occhio.

Per ulteriori informazioni visita ecohmedia.com/isec