Trend Micro, tra i brand storici nel panorama della cyber security mondiale, incontra la stampa per un appuntamento ormai tradizionale, il Security Barcamp. Giunto al quarto anno, si tratta di un momento di riflessione e analisi in ambito sicurezza; l’azienda, assieme a suoi esperti, espone la propria visione e pone interessanti spunti di ragionamento.
Quest’anno, molte sono le variabili in campo: cambiamenti tecnologici, come 5G, IoT, smart devices, per non parlare della situazione geopolitica. Non esistono più confini alla cyberwar, qualsiasi dispositivo connesso può essere attaccato. Anzi, un interessante studio di Trend Micro dimostra quanto facile (e potenzialmente pericolosissimo) sia bypassare i controlli radio di un sistema di gru. Ancora oggi, rimane l’e-mail il veicolo principale per le infezioni, con l’83% del totale. I file infetti rappresentano il 14% e il restante è suddiviso fra server exploit e URL malevole. Cosa ci dice questo? Che il fattore umano è il vero punto debole della sicurezza informatica.
Gastone Nencini, Country Manager di Trend Micro Italia, ha ricordato come il nostro Paese, purtroppo, appaia fra le prime 15 nazioni al mondo per attacchi in ognuna delle categorie; certo non un risultato di cui andare fieri e un punto importante su cui riflettere. Un trend importante si riscontra negli attacchi sia verso IoT domestici, che verso infrastrutture Industrial IoT; è altamente probabile che assisteremo ad una crescita esponenziale, coerente con la diffusione di questi dispositivi.
Secondo il manager italiano, non ha quasi più senso parlare di perimetro informatico. Ecco perché anche le connessioni domestiche, molto facilmente accessibili, possono essere una vera testa di ponte per accedere perfino al mondo business: ricorda Nencini, praticamente nessuno (ad esempio) cambia le password di default del router del proprio ISP. Con una rete domestica facilmente attaccabile, avere una VPN che permetta una tipica attività “home office” diventa perfino dannoso: è infatti possibile entrare a far parte, in modo trusted, di un network aziendale ma con una macchina compromessa. E, ovviamente, un eventuale hacker potrebbe già aver ottenuto i privilegi dell’utente, cosa sempre più grave al progredire della posizione occupata nella gerarchia aziendale.
Lo strumento principale per accedere ai dati del malcapitato, è il social engineering, veicolato via e-mail. Come già detto, molto meno frequente l’hacking di server. Del resto, la recente scoperta di un gigantesco database di e-mail (Connection #1) su uno storage cloud di Mega, definisce i termini del fenomeno: centinaia di milioni di e-mail (anche se non necessariamente hackerate) realmente esistenti, cui veicolare massicce campagne di phishing. L’accesso ai nostri dati, ad esempio, permette di usare uno smart speaker nelle nostre case per la raccolta di dati estremamente sensibili (oltre che privati).
Antonio Fumagalli, responsabile sistemi informatici dell’Ospedale Papa Giovanni XXIII, ha parlato della problematica sicurezza dal punto di vista ospedaliero. Nel caso in questione sono presenti ben 3.500 PC, 300 server, ma anche centinaia di badge reader e badge, centinaia di frigoriferi con medicinali. E ancora: i totem per distribuire i biglietti per beni e servizi, tutti dotati di IP e facenti parte della rete. Ecco quindi aumentare a dismisura la dimensione del perimetro informatico. Gli stessi medici hanno carrelli con PC e barcode reader mobili, utilizzati per andare in reparto. Fumagalli ricorda come il “fattore sicurezza” sia incredibilmente complesso da gestire, per non parlare di una serie di macchinari, non sostituibili in tempi brevi, con sistemi operativi non più supportati a livello di patch di sicurezza (uno su tutti, Windows XP). Anche sistemi di single sign-on non sono sufficienti a garantire al 100% la sicurezza del sistema. Del resto, è opportuno ricordare che oggi non esiste alcun sistema totalmente certo, salvo quelli spenti e scollegati dalla rete!
Alberto Meneghini, Managing Director di Accenture Security, ha sottolineato il tema delle capacità e delle skill. Emerge nuovamente il peso preponderante del fattore umano, come anello debole della catena; la risposta a e-mail di spoofing avviene sempre da una persona fisica. Ecco perché le aziende stanno tornando alle basi, per meglio “educare” la forza lavoro, con programmi di security awareness che siano il più vicino possibile all’utenza. Una vera urgenza, determinata anche dai 5 miliardi di dispositivi IoT che, utilizzati in modo poco accorto, potrebbero trasformare il perimetro informatico in un vero e proprio colabrodo. Si aggiunga, ad esempio, l’incredibile impatto che potrebbe avere un hacking di massa di veicoli a guida autonoma. Ecco perché è importante lavorare su applicazioni e device che siano sicuri come design, pensando alla sicurezza come priorità nello sviluppo e non applicata ex post, con tutti i limiti del caso.
Si è dibattuto a lungo sul tema della condivisione delle informazioni di cyber security: mentre gli hacker nell’underground sovente collaborano fra loro, scambiandosi informazioni ed esperienze, il mondo enterprise fa ancora una grande fatica a pensare di “aiutare” un concorrente, per non parlare di rendere noto di essere stati oggetti di hacking (basti pensare al danno di immagine e alle conseguenze in ottica GDPR). È auspicabile, per il 2019, un netto cambio di tendenza, nell’interesse collettivo.
La sessione offerta da Trend Micro è stata molto interessante e ha ben dipinto la situazione della sicurezza informatica, soprattutto offrendo una chiara prospettiva non su un futuro possibile, ma semplicemente anticipando quelli che sono scenari praticamente certi. Sicuramente il tema che è emerso con maggiore forza è che il livello di consapevolezza negli utenti è drammaticamente basso; un tasso di alfabetizzazione informatica superiore è indispensabile. Non tutti i problemi emersi saranno risolvibili in tempi brevi, anche per via dei costi spesso ingenti richiesti per ammodernare macchine industriali o sanitarie. Dovremo, quindi, mantenere altissima la soglia di attenzione, innalzando il livello di competenze informatiche di base, senza le quali tutto il resto ha davvero poco senso.
