Due chiacchiere con gli Autori - Cyber security - Finalista Premio Cerruglio

Cyber Security 

Raffaele Marchetti - Roberta Mulas

 

Io sono uno di quelli che crede che tutto ciò che possa succedere, succede agli altri mai a me. A maggior ragione nell'uso quotidiano del computer. Cosa vuoi che succeda? Mi chiedo ... mi chiedevo sempre. Le password? La data di nascita, il nome del cagnolino. 
Raffaele Marchetti e Roberta Mulas mi hanno convinto del contrario. Dopo aver letto il loro saggio sulla cyber security ho cambiato idea e, credetemi, lo farete anche voi. 
Ecco due chiacchiere con gli Autori.

Prof. Marchetti perché si scrive un libro sulla cyber security?

Perché è la dimensione della sicurezza che richiede maggior attenzione oggi. Il governo e le organizzazioni internazionali se ne stanno occupando sempre più. Ma per sua natura il rischio cyber non pone una minaccia che possa essere fronteggiata adeguatamente soltanto a livello governativo. È essenziale che anche le imprese e gli utenti individuali prendano consapevolezza dei rischi, e che da un lato investano di più su questo fronte e dall’altro adottino standard più elevati di igiene cibernetica.

Si stanno formando delle nuove figure professionali? Tipo gendarmi del cyberspazio?

Di attori cibernetici ce ne sono tanti, di buoni (gli hacker etici) e di cattivi (i terroristi cyber). Il problema sorge dalla facilità attraverso la quale si può arrivare ad essere capaci di provocare danni ingenti. Per costruire una bomba atomica ci vogliono investimenti e conoscenze molto sofisticate. Per attaccare un sito o una infrastruttura critica ci vuole conoscenza molto più accessibile e poche risorse per comprare sul dark web le armi cibernetiche del caso.

I governi, la polizia, l’esercito, l’intelligence, così come le imprese, stanno facendo significativi investimenti per fronteggiare questo nemico diffuso. Abbiamo bisogno di gendarmi del cyberspazio, ma ancora di più abbiamo bisogno di prendere consapevolezza che i dati sono il bene più prezioso nella nostra società e che come tale va protetto.

Non pensa che sarebbe necessario adottare una serie di regole ferree da parte delle istituzioni nazionali e internazionali? Naturalmente se si è poi in grado di farle rispettare

A livello internazionale ci sono vari tentativi di regolare lo spazio cibernetico, ma per ora rimangono perlopiù dichiarazioni di principio. Manca un accordo tra le grandi potenze: ci sono interessi divergenti e manca ancora una asimmetria della deterrenza. Quando raggiungeremo tale simmetria del terrore riusciremo anche a limitare l’uso delle armi cibernetiche cosi come abbiamo fatto nei decenni passati per le armi convenzionali.

Nel caso del phishing, ad esempio, il reato si determina nel phishing in sé o nel successivo eventuale furto di denaro se riesce ad avere le credenziali del proprio conto in banca?

il phishing è di solito ricondotto alla fattispecie di truffa; nel caso in cui non si determini l'evento di danno patrimoniale, potrebbe trovare configurarsi il tentativo (art. 56) in relazione alla ipotesi criminosa di parte speciale.

Nel caso in cui si riesca ad individuare un hacker o comunque un delinquente del web quali possono essere le pene da infliggere? Esiste un elenco di cybercrime?

Dipende dalla tipologia di condotta posta in essere. Nel nostro sistema vi sono diverse figure riportabili ai c.d. computer crimes (ad es. frode informatica, 640 ter c.p.; l'accesso abusivo a sistema informatico etc. 615 ter c.p.; le diverse ipotesi di danneggiamento informatico); accanto a queste vi sono figure quali ad es. Pedopornografia on line oppure reati comuni (diffamazione) che si caratterizzano in modo peculiare nel caso di realizzazione on line.

Lei ha suggerito una serie di risposte individuali alle minacce e delineato delle buone pratiche aziendali pensa che possano bastare a difendersi completamente o soltanto a limitarne i danni?

La difesa, o meglio e più realisticamente la minimizzazione del danno, le si persegue attraverso un’azione congiunta a livello pubblico e privato. Da un lato il governo deve rafforzare il tipo di difese necessarie a mettere al sicuro il perimetro critico nazionale e soprattutto le infrastrutture critiche. Dall’altro le imprese devono investire di più sulla sybersecurity e fattivamente collaborare con le istituzioni per ciò che riguarda, per esempio, la condivisione delle informazioni sui crimini che subiscono. Infine, gli individui devono aggiornare il loro comportamento digitale e rendersi conto che accanto alle enormi opportunità ci sono anche seri rischio nel mondo cibernetico che sta sempre più colonizzando quello fisico.

D.ssa Mulas, nel libro "Cyber Security" lei ha descritto perfettamente la nascita e l'evoluzione della sicurezza informatica. Possibile che non si riesca a tenere sotto stretto controllo questo dark web?

È vero che il dark web pullula di attività illecite, dalla vendita di armi e droga, dalla pedopornografia ai servizi di hacking. L’anonimato del dark web, tuttavia, si è anche rivelato utilissimo per aggirare i controlli di stati autoritari e permettere a giornalisti e whistleblower di condividere informazioni in maniera più sicura. Al di là della discutibile desiderabilità di mettere sotto stretto controllo il dark web, farlo si rivelerebbe costosissimo e forse impossibile. Questo non vuol dire, però, che il dark web non venga sorvegliato: per esempio, lo scorso luglio le attività investigative congiunte di FBI ed Europol, insieme alla polizie di vari paesi, hanno portato alla chiusura di AlphaBay, il più grande mercato della droga del dark web, con circa 40.000 venditori e oltre 200.000 clienti.

In che percentuale vengono scoperte le minacce? 

Anche le compagnie che offrono soluzioni di sicurezza informatica osservano da vicino il dark web per scoprire le più recenti minacce in modo da sviluppare modi per difendersi. Ogni giorno sono centinaia di migliaia i nuovi malware creati e il numero degli attacchi è in costante aumento (una media di 94 attacchi gravi al giorno nel 2017, secondo il rapporto Clusit). È impossibile sapere con certezza quanta parte degli attacchi cibernetici venga scoperto perché molto spesso le aziende che li subiscono tendono a non denunciarli, quando anche se ne rendano conto. Le aziende americane, a seconda delle stime, impieghebbero tra i 140 e i 200 giorni, in media, per accorgersi di aver subito un cyberattack.

E quante frodi o reati vengono evitati grazie alla prevenzione?

Microsoft sostiene che i computer non protetti da antivirus siano 5,5 volte più suscettibili di essere infettati rispetto a quelli che utilizzano un software di protezione. Tuttavia, la loro capacità di individuare le minacce ha subito notevoli contraccolpi negli ultimi anni. I produttori di antivirus trovavano un nuovo malware ogni 12 minuti nel 2005, nel 2016 uno al secondo. E moltissimi non riescono a trovarli: il 30% secondo alcune stime.

E' possibile fare di più?

Assolutamente sì. Le nostre difese dal crimine informatico sono ancora drammaticamente basse. Ma oltre a difendersi è necessario farsi trovare preparati: proteggere le informazioni più importanti, avere back-up dei propri dati, istituire protocolli in caso di attacco, ma anche semplicemente utilizzare delle password sicure e cambiarle di frequente. Infatti, un generale rafforzamento della cultura della cybersecurity potrebbe evitare moltissime minacce, non solo quelle di cui tutti noi possiamo diventare vittime, ma anche frodi informatiche mirate ad aziende, in cui spesso accade che sia l’individuo l’anello debole tramite il quale viene sferrato l’attacco.

Nonostante questi grossi problemi, ormai in casa tutto è collegato alla rete anche gli elettrodomestici. E' una cosa sbagliata o almeno in casa si è fuori pericolo?

Sicuramente qualunque dispositivo connesso alla rete può essere attaccato, quindi quel che stiamo facendo è allargare la superficie a rischio di attacco, con ogni nuova stampante, caffettiera e telecamera di videosorveglianza che installiamo a casa nostra. E anche in questo caso, spessissimo non vengono rispettati i più basilari criteri di “igiene cibernetica”, come cambiare sempre la password fornita col prodotto.

Parlando di soggetti privati o piccole aziende, non certo di Istituzioni come la Difesa o simili, tenuto conto della necessità di usare la rete è maggiore il prezzo da pagare per la prevenzione dei danni o quello della riparazione? 

La prevenzione a livello aziendale, può aiutare immensamente a evitare infezioni da malware e frodi informatiche. I costi del crimine informatico nel settore privato sono elevatissimi: secondo uno studio del Ponemon Institute una media di 11,7 milioni di dollari per azienda globalmente, in Italia circa 6,7 milioni. Ma contro alcuni costi non c’è riparazione possibile, come nel caso di furto di proprietà intellettuale. Questo non fa che sottolineare l’importanza di adottare strategie di sicurezza, e infatti gli investimenti in cybersecurity delle aziende sono in forte crescita (Gartner prevede 96 miliardi di dollari nel 2018).

Grazie ai proff. Marchetti e Mulas e, a proposito del Premio Cerruglio, in bocca al lupo! 

Valter