Per contrastare i cyber attacchi di nuova generazione che minacciano l'Europa occorrono coalizione fra tutti i Paesi dell'Unione e prodotti realizzati in base al principio della security by design. Solo così si potrà raggiungere la cyber immunity. È stato questo l'argomento dibattuto nel corso dell'EU Cyberpolicy Forum promosso da Kaspersky.

Protagonisti del dibattito il CEO di Kaspersky Eugene Kaspersky, il membro del Parlamento Europeo Bart Groothuis, il membro della Commissione Europea Lorena Boix Alonso, il Direttore Generale di ANSSI Guillaume Poupard e il membro del Board of Director dell'Industrial Cybersecurity Center spagnola Susana Asensio.

Una questione risaputa

Il problema sul tavolo non è nuovo. Gli attacchi informatici di ultima generazione minacciano costantemente le infrastrutture critiche e le aziende del Vecchio Continente. Appurato che muoversi in ordine sparso non è efficiente, da tempo si sta cercando un modo per condividere informazioni e strategie di difesa che rendano più efficace la risposta al cybercrime.

La presenza al Forum di esponenti del mondo politico e di quello industriale è servita per cercare un punto d'incontro fra i due mondi, atto a concretizzare un obiettivo che nelle intenzioni è lo stesso da tempo. Se n'era parlato già in occasione del Cybertech Europe 2019, quando la pandemia non era nemmeno una prospettiva. Tutti convenivano che la cyber security avrebbe dovuto diventare un elemento infrastrutturale.

Sono trascorsi due anni e le cose non sono cambiate. Anzi, sono peggiorate per via della pandemia. I criminali informatici hanno approfittato di ogni vulnerabilità per colpire istituzioni e aziende in un momento di grande difficoltà. Spesso ci sono riusciti perché le difese non erano all'altezza della situazione.

Qualche mese fa sempre Kaspersky aveva chiamato a raccolta un pool di esperti a discutere della situazione europea. Quello che era emerso era che i Paesi non riuscivano nemmeno a concordare sulla definizione di infrastruttura critica. Normative troppo complicate e di difficile applicazione, mancanza di trasparenza e visione troppo legata ai confini nazionali erano alcuni dei problemi emersi a ostacolo della sicurezza informatica nei Paesi dell'Unione Europea. Problemi che rimangono sul piatto.

L'intervento di Eugene Kaspersky

Eugene KasperskyL'intervento del CEO di Kaspersky a inizio dibattito è stato chiaro: dipendiamo ora più che mai dalla tecnologia e dalle infrastrutture, che sono vulnerabili. Corriamo dei grossi rischi in moltissimi settori, in primis ricerca e trasporti, ma non solo. Quanto accaduto con la pandemia ha messo in risalto le vulnerabilità delle strutture sanitarie, dei centri di ricerca, delle aziende a tutti i livelli.

L'unica strada per uscirne è sviluppare sistemi immuni, costruire strategie comuni per intere aree geografiche (per esempio l'Europa) e avviare un'azione di education alla sicurezza informatica che coinvolga tutti i cittadini.

Il primo punto è un cavallo di battaglia di Eugene che conosciamo da tempo. Si sviluppa dal presupposto che non si può impedire che un'azienda, un'infrastruttura o la pubblica amministrazione vengano attaccate. Però si può fare una cosa molto importante: costruire sistemi che siano troppo costosi da attaccare e violare. Per intenderci, se un data breach potrebbe fruttare un milione di euro, ma per metterlo in pratica bisogna spenderne due, non vale nemmeno la pena provarci. Ecco che quindi arriva l'immunità.

Secure by design

All'atto pratico significa principalmente due cose. La prima è che ogni prodotto, hardware o software che sia, dev'essere fabbricato in base al principio secure by design. Ossia deve integrare la sicurezza fin dalla fase di progettazione, per fare sì che il prodotto finale sia sicuro, e di conseguenza lo sia il contesto in cui viene inserito.
Lorena Boix AlonsoL'esempio più banale è quello delle videocamere di sorveglianza: la facilità con cui si possono violare mette a rischio le abitazioni e le aziende in cui vengono installate, e le persone che sono all'interno di questi edifici. Ogni chip, ogni libreria, dev'essere concepito in maniera che sia difficile da violare. I prodotti finiti in cui questi componenti saranno inseriti saranno quindi sicuri, e ciascuno contribuirà a rendere sicuro l'ambiente in cui verranno utilizzati.

La questione quindi non è proteggere la propria rete, ma proteggere tutti i prodotti che la compongono, di modo da renderla intrinsecamente sicura. Solo nel momento in cui ogni singolo componente è sicuro, i rischi si abbassano perché si crea un sistema immune che tiene al sicuro tutta la supply chain.

La seconda questione riguarda la gestione delle criticità. È necessario rendere note le vulnerabilità dei propri prodotti e correggerle. Non dev'essere ammissibile che una falla nella sicurezza venga taciuta per non arrecare al produttore un danno d'immagine. Sapere che esiste una vulnerabilità, e che è disponibile una patch, dev'essere il punto di partenza per aumentare la protezione contro i cyber attacchi. E se questi si verificano è doveroso da parte delle vittime condividere le informazioni sull'accaduto, di modo che tutti possano conoscere le tattiche di attacco messe in atto e difendersi.
Susana Asensio

Dalla teoria alla pratica

Lorena Boix Alonso ha sottolineato che la Commissione Europea sta lavorando per rendere legge a livello comunitario la richiesta a ogni azienda di implementare soluzioni conformi a un preciso programma di risk management. L'obiettivo è proprio il secure by design citato sopra.

Ma non sarà facile coinvolgere tutta l'industria europea. Le piattaforme richiedono standard a cui non tutti sono in grado di adeguarsi, basti pensare alle scarse possibilità della piccola e media impresa. La stessa capacità dei provider di far fronte ai requisiti è un nodo critico.

La formazione

Quello della formazione è un passaggio facile da comprendere e da attuare, se ce n'è la volontà. Chi conosce le minacce può riconoscerle quando gli si presentano e reagire nel modo corretto. Non solo l'IT manager o l'informatico, tutti. Perché tutti viviamo immersi nella tecnologia. Tutti riceviamo email di phishing, truffe via SMS o social, leggiamo fake news, navighiamo su siti canaglia. Dallo studente della scuola primaria in poi, tutta la popolazione dovrebbe essere formata a intervalli regolari sulle minacce informatiche a cui è esposta e sulle azioni da fare per scongiurare problemi.
Guillaume Poupard

Costruire strategie comuni

Dei tre aspetti attenzionati da Eugene Kaskpersky, questo è il nodo più complesso. Poupard, che in quanto direttore generale di ANSSI conosce bene i problemi sul campo, sottolinea che la posizione della Commissione è lodevole e i propositi sono ambiziosi. Tuttavia, il presupposto affinché funzioni è che gli Stati siano capaci di collaborare.

Bart Groothius va oltre e mette a fuoco un nodo tecnico importante: non esiste un sistema europeo capace di bloccare i server comando e controllo usati dagli attaccanti. Non disponiamo di un blocco attivo contro i cyber attacchi. Groothius fa notare che molte aziende, soprattutto le più piccole, non sono protette. Alcune proteggono il perimetro ma non le email, che sono il mezzo d'attacco più usato. Il risultato è che spesso ci facciamo sorprendere dall'ovvio. È da questi punti che bisogna partire per costruire una cyber posture comune.

Bart Groothuis
Al riguardo qualcosa si sta muovendo. Lorena Boix Alonso ricorda la creazione del Centro per la cyber security europeo a Bucarest. Sarà un'eccellenza che beneficerà degli investimenti necessari per cambiare la prospettiva europea della cyber security. Auspichiamo di poterne vedere presto i benefici.