Attacchi digitali in Italia: ci dobbiamo veramente preoccupare? Risponde l’esperto

attacchi-informaticiMilano, 27 ott – (di Giuseppe Paradiso) Qual è il punto di situazione sulla sicurezza dagli attacchi digitali in Italia? GrNet.it lo ha chiesto all’ingegner Marco R. A. Bozzetti, presidente di A.I.P.S.I., l’Associazione Italiana Professionisti Sicurezza Informatica, che vanta circa 13.000 associati nel mondo. Bozzetti proprio in questi giorni ha tenuto un workshop allo SMAU di Milano.

Ingegner Bozzetti, quali sono le motivazioni degli attacchi informatici?

Le motivazioni sono molteplici: si va da quelle puramente “criminali” (guadagno economico, frodi, ricatti, furti, spionaggio industriale), all’hacktivism, alla vendetta-ritorsione individuale, terrorismo,
cyberwar, e persino per esibizionismo da parte dell’attaccante per far conoscere le proprie competenze. Tutto ciò è facilitato dalla crescita e la pervasività dell’uso di ICT (Tecnologie dell’Informazione e della Comunicazione, ndr) e dalle innumerevoli vulnerabilità dei sistemi, delle applicazioni, degli utenti, degli operatori.

Come si è evoluta nel tempo la tecnica di attacco ai sistemi informatici?

Siamo passati da quelli di prima generazione (con virus contenuti nei floppy e allegati) degli anni ’80 agli attacchi di quarta generazione: TA/APT, Zero day, quelli condotti con botnet, ramsonware fino agli  attacchi in mobilità (reti wireless, cellulari e palmari).

Marco-Bozzetti-AISPSIIngegnere Marco Bozzetti, presidente di A.I.P.S.I.Oltre al consumatore medio, chi deve preoccuparsi di questo tipo di attacchi?

Siamo sempre potenzialmente sotto attacco, anche se siamo una PMI, uno studio professionale, un esercizio commerciale. La sicurezza dell’ICT è un elemento chiave e va governata per garantire la continuità operativa dell’Azienda o dell’Ente, le informazioni e le risorse ICT sono un asset e come tali vanno protette.

Quali sono i principali strumenti di difesa?

Sono moltissimi. Si va dalla crittografia alle periodiche analisi del rischio, dalla sicurezza delle reti (Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming) ai sistemi di identificazione (user-id + pwd, token, biometria) all’autenticazione, controllo degli accessi ai sistemi ed agli applicativi, senza dimenticare la sicurezza intrinseca dei software. Tuttavia le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione possono non essere sufficienti per individuare e contrastare attacchi come TA e APT (Targeted Attacks e Advanced Persistent Threat), ma esiste tutto un corredo di strumenti evoluti che possiamo mettere in campo: tecniche di intelligenza artificiale, fuzzy logic, statistica bayesiana, il sistematico monitoraggio delle risorse, l’analisi dei carichi di traffico, eccetera.

Tutte queste misure però possono permettersele solo le grandi aziende

I sistemi di protezione non sono solo appannaggio delle grandi strutture e, inoltre, sono necessarie anche per la conformità a numerose norme e leggi nazionali ed internazionali. Bisogna naturalmente sapere come scegliere i fornitori ed consulenti realmente competenti. Le certificazioni professionali sono uno degli strumenti a livello sia di singola persona sia di azienda/ente. In Italia le modalità di svolgimento delle certificazioni sono affidate ad Accredia– Ente Italiano di Accreditamento – che è l’unico organismo nazionale autorizzato dallo Stato a svolgere attività di accreditamento. Accredia applica la Normativa UNI 11506 per la disciplina delle attività professionali non regolamentate come ICT. Per le professioni ICT e quindi la sicurezza Accredia utilizza eCF (European Competence Framework) definito dalla UE. L’importanza della certificazione e-CF (UNI 11506, CEN 16234) ha un intrinseco valore giuridico in Italia e in Europa (se erogata da una associazione registrata presso il MISE) perchè, fra l’altro, si basa sulla provata esperienza maturata sul campo dal professionista, considerando l’intera sua biografia professionale e le competenze ed esperienze maturate nella sua vita professionale (e non solo per aver seguito un corso e superato un esame).

Per concludere, quali sono i consigli che si sente di dare per garantire la sicurezza digitale?

Io li chiamo i 10 comandamenti:

  1. La sicurezza assoluta non esiste.
  2. La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al ripristino.
  3. Il peggior nemico: la “falsa” sicurezza.
  4. La sicurezza è un processo continuo, sia per la parte tecnica sia per la parte organizzativa e di gestione.
  5. La sicurezza “globale” deve essere calata nello specifico contesto dell’Azienda/Ente: i suoi processi, i suoi sistemi, la sua organizzazione, la sua cultura.
  6. Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare quello che si è fatto.
  7. Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top management che deve dare un forte commitment, che deve guidare i fornitori, che deve dare il buon esempio.
  8. Prevenire, prevenire, prevenire: ma per far questo occorre misurare sistematicamente.
  9. La velocità e la complessità degli attuali attacchi è tale che i processi di gestione della sicurezza devono essere automatizzati.
  10. La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole. Essa deve quindi essere “ben bilanciata” tra le varie misure e strumenti.

Per completezza di informazione, i nostri lettori possono scaricare pdf da questo link , il Rapporto 2016 dell’OAD (Osservatorio Attacchi Digitali in Italia).

Flipboard

Lascia una risposta

L'indirizzo email non verrà pubblicato.