Il rischio che il quantum computing rompa la crittografia tradizionale non è più da collocare in un futuro lontano. Lo sottolinea con chiarezza Alessandro Donelli, Chief Technology Officer di SimpleCyb, quando spiega che la scala temporale si è compressa e le aziende (in particolare quelle di piccole e medie dimensioni) stanno affrontando un rischio concreto senza esserne coscienti.

In particolare, il rischio attuale è impersonato dal noto fenomeno harvest now, decrypt later, in cui gli attaccanti copiano oggi i dati cifrati delle aziende (pur non essendo in grado di leggerli), e li conservano in attesa di disporre della potenza computazionale necessaria a violarli. "Molti non denunciano gli attacchi subìti, tengono nascosto il fatto che forse sono stati copiati dei dati durante un attacco, contando sul fatto che comunque i dati in questione sono cifrati, quindi non leggibili" spiega Donelli. Tuttavia, questa tranquillità non è avallata dai dati tecnici perché si basa sulla "convinzione che un'encryption base sia sufficiente, quando di fatto non è così". Certo, il danno non è immediato, così come le relative conseguenze; ma intanto il dato viene esfiltrato, rivenduto ad altri gruppi nel darkweb e conservato con pazienza. Prima o poi il conto arriva, e questo momento “si sta avvicinando sempre di più. Il termine che ci si aspettava di cinque anni, in realtà potrebbe arrivare prima".

Con l’indicazione encryption standard si fa riferimento, ad esempio, al protocollo TLS e all'algoritmo RSA: entrambi si basano su crittografia asimmetrica che un computer quantistico sufficientemente potente potrebbe violare tramite l'algoritmo di Shor, rendendo retroattivamente decifrabili i dati intercettati oggi. Diverso è il caso dei backup locali cifrati con AES-256: questo standard simmetrico è considerato resistente al quantum computing, ma rimane vulnerabile se la fase di scambio o protezione della chiave usa algoritmi asimmetrici deboli.

Alessandro Donelli, Chief Technology Officer di SimpleCyb

Per le VPN il problema si pone in modo diverso ma altrettanto serio. Anche le implementazioni con Perfect Forward Secrecy, che generano chiavi effimere per ogni sessione, restano vulnerabili allo scenario harvest now, decrypt later: un attaccante che registra il traffico oggi potrà decifrarlo retroattivamente non appena disporrà di un computer quantistico in grado di rompere l'algoritmo di scambio delle chiavi, tipicamente Diffie-Hellman. "Il dato che sta passando, se mi metto nel mezzo, lo posso leggere", sintetizza Donelli. Il problema coinvolge anche i dati che oggi sembrano privi di valore critico, ma che hanno una proiezione temporale lunga: "ci sono clienti con progetti che partono oggi e terminano fra cinque anni. Se al terzo o quarto anno qualcuno li copia, potrebbe agevolare chi vuole rubare quel progetto".

PMI: il bersaglio che non si sente tale

La distanza tra percezione e realtà è particolarmente marcata nelle PMI. Donelli lo affronta senza giri di parole: "la PMI lavora basandosi sul fatto che se un'applicazione funziona, ed era sicura quando è stata comprata, allora continua ad esserlo". I top manager di queste aziende ignorano il problema, e spesso non esistono responsabili della sicurezza interni, quindi "si ragiona sulla fiducia del dipendente, e sulla convinzione di non costituire un obiettivo appetibile per gli attaccanti, pensando che i dati di cui sono in possesso non siano sensibili".

È un'autovalutazione sistematicamente sbagliata. Le PMI italiane producono spesso oggetti tecnici e progetti complessi, con un valore competitivo che va ben oltre la percezione che ne ha l'imprenditore. "Un progetto, un'analisi sviluppata in produzione può aver richiesto mesi di lavoro". La situazione è aggravata dalla posizione che molte di queste aziende occupano nelle filiere industriali: un produttore di componentistica specializzata può non avere rilevanza in sé, ma costituire un punto d'accesso facile a un cliente enterprise di prestigio.

E qui emerge la differenza sostanziale di approccio fra enterprise e PMI, che è storica oltre che culturale: "l'enterprise ha subìto molti attacchi dal 2018, o li ha subìti un'altra azienda con cui collabora. La PMI ha iniziato ad essere un bersaglio dal 2022-2023 in poi" ricorda Donelli. L’enterprise ha avuto tempo e modo per adattare i propri processi. La PMI, invece, tende ancora a nascondere gli incidenti, nonostante le normative, come la NIS2, che rendono questa strada sempre meno praticabile.

A rendere il quadro più complesso ci sono le scelte tecnologiche: molte PMI usano prodotti gratuiti di encryption. "Il prodotto gratuito è open, il suo codice è visibile. Un attaccante che utilizza cloud o altri strumenti per analizzare il tipo di encryption, dispone di strumenti che un tempo non c'erano". E l'infrastruttura di backup, che dovrebbe essere la rete di sicurezza ultima, è spesso la più esposta: "vediamo partner che attivano copie di backup su dispositivi diversi, ma tutti non cifrati. L'attaccante va a prendere il backup perché vi trova un dato accessibile, già compresso e pronto per l’esfiltrazione". I NAS di livello consumer, con utenze admin/admin e log disabilitati, diventano punti di raccolta ideali per chi vuole copiare in modo silenzioso.

Indicativo è anche il caso dei firewall mai aggiornati, da cui gli attaccanti entrano in rete, sfruttando vulnerabilità pubbliche mai corrette, e di cui nessuno monitora i log. Casi come questo costituiscono il problema strutturale a cui si faceva riferimento anche sopra: la tecnologia di difesa comprata e poi abbandonata a sé stessa non protegge nulla, anzi, crea un falso senso di sicurezza che è peggiore dell'assenza di difese. In casi come questi, spesso lo strumento (hardware o software) è presente, ma viene sfruttato parzialmente o non viene usato del tutto per mancanza di manutenzione, di competenze, di tempo e altro.

Dietro a queste situazioni, che nella PMI sono diffuse, c’è un gap culturale: la parte cyber non è visibile, non si tocca con mano, quindi il tempo dedicato a configurare, aggiornare o evolvere non è percepito come un beneficio per il business. L’azienda preferisce investire in macchinari, che migliorano un aspetto visibile e tangibile della produzione.

Da dove si comincia

Il percorso che Donelli indica alle PMI per colmare il gap e mettere in sicurezza i dati parte dall'inventario, per il vecchio adagio secondo il quale non si può proteggere ciò che non si sa di avere. "Capire quali sono i dati di valore è il primo passo per tutelare quel valore". La mappatura consente di sapere dove si trovano i dati sensibili, se sono on-premise o in cloud, chi vi può accedere, come sono configurate le condivisioni. "Spesso la cartella con i dati di maggior valore è accessibile a tutti: questa visibilità va ristretta, identificando chi può accedere dall'esterno, depennando le utenze generiche, quelle di ex dipendenti, quelle dei fornitori di servizio che accedono con strumenti non tracciati".

Sulle piattaforme cloud di collaborazione il problema è particolarmente insidioso, perché "molto spesso le imprese ignorano di aver lasciato abilitato OneDrive agli utenti, che condividono dati anche all’esterno". Anche i fornitori terzi, dal consulente amministrativo al tecnico che fa assistenza da remoto, devono essere trattati come possibili vettori perché “hanno potenzialmente accesso a dati molto sensibili e potrebbero accedere con strumenti gratuiti senza avvisare o senza rendersi conto del rischio".

Sul fronte della crittografia, il messaggio è preciso: attivare la cifratura "di livello più alto possibile, perché permette di allungare il momento in cui le informazioni potranno essere decifrate da persone non autorizzare. Sono da proteggere con la cifratura sia i sistemi che i backup, è necessario verificare che la cifratura sia effettivamente attiva, e che siano attivati log di accesso a file server e directory "perché sono l’unica traccia per capire se è avvenuto un furto di informazioni da parte di chiunque, incluso un dipendente".

Laddove esistono soluzioni già installate, spesso bastano gli aggiornamenti: "molti clienti hanno acquistato un software che è tuttora attivo e funzionante, ma in assenza di un contratto di manutenzione non è mai stato aggiornato, quindi è poco o per nulla efficace. SimpleCyb installa agenti XDR proprietari, li correla con il SIEM, e gli agenti vengono sempre mantenuti aggiornati. Gli alert vengono gestiti H24. Lo stesso deve valere per tutto l’hardware e software installato".

Il nodo dei costi

Sul tema dei costi, Donelli sgombra il campo da un malinteso comune: adeguarsi non richiede necessariamente investimenti straordinari. "Potremmo parlare di cifre comprese fra 4 e 8 mila euro per sistemare una situazione di un cliente medio piccolo che magari ha già in casa quello che serve, ma non lo sta usando bene o non lo aggiorna perché è scaduto il contratto di manutenzione o non lo ha sottoscritto".

L'elemento che può sbloccare la situazione nelle PMI, secondo Donelli, è un approccio diverso all'assessment: "spesso queste aziende hanno paura di chiamare perché non sanno quali costi si troveranno ad affrontare. Sono necessari dei pacchetti di assessment che in pochissimo tempo possano prospettare un budget chiaro di aggiornamento. SimpleCyb sta lavorando in questa direzione con i propri partner di canale, a cui fornisce già un set di domande guida da porre al cliente finale al momento dell'installazione degli agenti” sottolinea Donelli.

Il canale ha un ruolo decisivo in questa catena, anche perché la PMI difficilmente arriva autonomamente alla consapevolezza. Il messaggio deve arrivare dal partner, che deve saper tradurre un problema tecnico in un rischio di business comprensibile per un titolare che ragiona per commesse, clienti e reputazione. E ai quali è importante far presente che, senza la compliance normativa, "rischiano di perdere delle commesse, rischiano di perdere clienti. E la protezione dei dati sensibili è fra le priorità previste, tra le altre, anche dalla NIS2.