Cybersecurity: ora sotto attacco c'è anche la fiducia

Michele Colajanni è docente di Ingegneria informatica all’Università di Bologna. Svolge le sue attività di ricerca nel campo della cybersecurity, in ambito sia tecnologico sia manageriale, e i suoi interessi di ricerca si estendono alla progettazione e testing di sistemi scalabili e resilienti, anche mediante l’utilizzo di strumenti di big data analytics e machine learning. Fondatore della Cyber Academy per la formazione di hacker etici e del Centro di Ricerca Interdipartimentale sulla Sicurezza e Prevenzione dei Rischi (CRIS) presso l’Università di Modena e Reggio Emilia, dirige il corso di perfezionamento in Cyber Security Management della Bologna Business School. Il suo keynote speech aprirà, il prossimo 25 maggio, l’edizione 2021 di Banche e Sicurezza, l'evento promosso dall’ABI e organizzato da ABIServizi, in collaborazione con ABILab, CERTFin e Ossif, che ogni anno fornisce la mappa per affrontare il cyber e il phisical risk all’interno dell’industria finanziaria.

Considerata la sua profonda esperienza nel settore della cybersecurity, Colajanni porterà la sua visione dello scenario complessivo con cui realtà bancarie e industriali dovranno confrontarsi nei prossimi anni, aprendo la discussione che vedrà coinvolti i maggiori gruppi bancari italiani, società di consulenza, esperti di sicurezza, ma anche ospiti illustri come il direttore della Polizia Postale Nunzia Ciardi e l’avvocato Guido Scorza, dell’Autorità garante per la Privacy.

Uno degli aspetti interessanti della sicurezza informatica è la sua evoluzione continua. Non si può mai stare tranquilli perché dall’altra parte vi sono avversari competenti, spesso fantasiosi e talvolta senza scrupoli. La sicurezza informatica è nata come sicurezza dell’informazione, ma i tre parametri fondamentali, Riservatezza, Integrità e Disponibilità del dato, hanno assunto priorità differenti a seconda dell’organizzazione e del momento. Di recente, molta focalizzazione è stata rivolta all’affidabilità dei sistemi e dei servizi messi a rischio da attacchi ransomware e di Denial of Service. Ma in un mondo sempre più data driven, condivido che il dato stia riacquistando il suo predominio in termini sia di riservatezza sia di integrità, spesso la cenerentola delle tre qualità. Il tema non riguarda solo la reputazione delle organizzazioni, ma anche l’affidabilità delle soluzioni, le possibilità di disinformazione e la stessa Intelligenza Artificiale moderna che si basa sui dati e sul learning. Se inquini la fonte di apprendimento, i risultati saranno errati o addirittura pericolosi.

Il tema della certificazione del software è complesso e scivoloso, quindi ogni semplificazione è errata. Il software è lo strumento più sofisticato che l’uomo abbia mai inventato: è dinamico, componibile, reattivo rispetto all’ambiente e all’utilizzatore. I sistemi moderni sono estremamente complessi e comprendono componenti elettronici, di comunicazione, di software di sistema, e di software applicativo. Il software di un prodotto può avere centinaia di migliaia fino a milioni di linee di codice. Verificare che funzioni correttamente in qualsiasi condizione è impossibile come dimostrano anche teoricamente i tanti teoremi del secolo scorso da Turing in poi. Riuscire a verificare che un produttore malevolo abbia introdotto delle linee di codice che possono essere sfruttate da un attaccante è -diciamo - improbabile, a meno di clamorosi eventi o errori. Inoltre, c’è da considerare il problema dell’evoluzione del software: il “diavolo” potrebbe non trovarsi nella versione del prodotto certificato, ma essere introdotto al primo aggiornamento.Quindi, se non si prevede una de facto impraticabile ri-certificazione a ogni rilascio, il rischio rimane. Questo non significa che un organismo di certificazione non sia utile, se non altro a fini dissuasivi e di aumento della consapevolezza. Inoltre, indurrà a migliori metodologie di sviluppo del software di cui un mondo basato sul digitale ha tanto bisogno.Tuttavia, trovo errato lanciare il messaggio che possiamo sentirci sicuri solo perché un prodotto avrà superato la certificazione. C’è la fase di installazione, di configurazione, di aggiornamento e ciascuna di queste è soggetta a errori umani più o meno colposi.

 L’unico elemento che non comprendo è perché nel nostro Paese si sia voluto far ricadere l’onere della certificazione sull’azienda cliente e non sull’azienda fornitrice, come sarebbe più logico e come avviene per qualsiasi prodotto industriale.

È necessario un ripensamento legislativo. Ho comunque molta fiducia nelle catene di trust, che si instaurano tra clienti e fornitori per reciproco interesse e apprezzamento, rispetto a una logica di controlli e sanzioni. 

Mi permetta di dire che è sempre stato così: se non ho certezza dell’identità, non posso avere alcuna sicurezza. Nello specifico, le banche, dopo alcune resistenze iniziali dovute a una clientela informaticamente immatura, hanno intrapreso la strada giusta dell’autenticazione a più fattori e l’uso della One Time Password nel caso di operazioni critiche. Alcuni clienti ancora si lamentano, ma la strada è corretta. Trovo che questa scelta abbia anche un valore educativo fondamentale di cui dovremo essere grati alle banche, che si sono assunte per prime la responsabilità di introdurre un fattore di sicurezza all'inizio un po' impopolare. Anche se l’autenticazione a più fattori è più scomoda della semplice password, ci abitueremo; tutte le aziende, ma proprio tutte, dovrebbero adottare soluzioni simili per i loro dipendenti.

Mi permetta di rafforzare il suo concetto citando un documento della Banca d’Italia che sintetizza sia i rischi, sia i metodi per affrontarli. «Il sistema finanziario è un obiettivo privilegiato per gli attacchi informatici e i danni dovuti a queste aggressioni possono essere ingenti. Poiché la minaccia cyber è pervasiva, anonima, polimorfa, asimmetrica, e transnazionale richiede risposte di sistema che coinvolgano, oltre a tecnologie difensive, anche aspetti organizzativi e comportamentali». Posso confermare che questo approccio sistemico è ben compreso e applicato da tutte le grandi banche nazionali. La strada che funziona è sempre la solita: consapevolezza del CEO e del Board, committment da parte loro verso un dipartimento di sicurezza, coinvolgimento di tutti i dipendenti e miglioramento continuo. La strada errata, che tante aziende di qualsiasi settore hanno praticato per troppi anni, è stata quella dell’unica risposta tecnologica da parte dell’IT, che da solo non può influenzare i necessari aspetti organizzativi e comportamentali.

Innanzitutto, trovo corretto non parlare solo di problemi, ma di analizzare gli aspetti positivi di questa società digitale e delle opportunità che comporta per il business e per il cittadino. Vedendo il 5G e l’IoT ancora tangenziali per il core business bancario, oltre alla cybersecurity che abbiamo già trattato ampiamente, trovo estremamente interessante il tema del Cloud. L’accordo dello scorso anno tra Intesa Sanpaolo, Tim e Google, con la migrazione di parte del sistema informatico della banca sui nuovi datacenter italiani di Google, sarà ricordato come un cambiamento storico dirompente non solo per il nostro Paese. Si aprono scenari di innovazione interessantissimi, i cui sviluppi saranno tutti da valutare nell’ambito dei Big Data e del machine/deep learning con le molteplici possibili applicazioni di profilazione, analisi dei profili di rischio adattativi, sistemi di trading dinamici. L’insieme di questi scenari riguardano aspetti tecnologici, di business, di sicurezza, ma anche normativi. Penso che ci voglia il coraggio di aprire un tavolo tra diversi stakeholder per rivalutare serenamente e pragmaticamente alcuni aspetti del regolamento GDPR nel precipuo interesse degli utenti e delle aziende europee, talvolta bloccate dalle norme e superate da dinamiche aziende internazionali di data broker senza scrupoli né vincoli. Sono convinto che tra il Far West e l’asfissia, l’Europa possa trovare una strada che consenta al mondo finanziario del nostro continente di operare ad armi pari nel rispetto dei nostri princìpi.