Cybersecurity, serve il “portiere” delle imprese contro gli hacker – Artser

Nella guerra, termine non improprio, della cybersicurezza gli hacker sono gli attaccanti e giocano sporco. Imprese, istituzioni e cittadini sono invece i difensori e devono fare di tutto per prepararsi, formarsi e reagire perché «se da un lato la cybersecurity si lega alla conoscenza della tecnologia, dall’altro serve sempre più per irrobustire e dare continuità al proprio business. Dimostrare di sapere evitare, o respingere, un attacco informatico è e sarà sempre più nel futuro un fattore competitivo in grado di fare la differenza. Il rischio per chi non si adegua? La caduta libera degli ordini». A dirlo è Michele Colajanni, professore di ingegneria informatica all’Università di Bologna, direttore del corso di perfezionamento in Cybersecurity Management alla Bologna Business School, fondatore della Cyber Academy per la formazione di hacker etici e del Centro di Ricerca Interdipartimentale sulla Sicurezza e Prevenzione dei Rischi (CRIS) all’Università di Modena e Reggio Emilia.

Professore, quanto sono legate fra loro cybersicurezza e Intelligenza Artificiale?

Per ora, tutti utilizzano la IA: attaccanti e difensori. I primi, che hanno il vantaggio di non doversi preoccupare di regolamenti, norme e direttive, usano molto bene l’Intelligenza Artificiale per perpetrare truffe, eseguire scansioni mirate sulle vulnerabilità tecnologiche e umane delle aziende, intromettersi nelle loro funzionalità. I difensori, invece, la usano per scansionare migliaia di eventi al minuto per poter individuare alcune anomalie. Il lavoro è immane.

Cosa si può fare?

Bisogna dire ai collaboratori delle aziende e ai cittadini, perché anche questi sono vittime di truffe, di prestare la massima attenzione agli strumenti, vecchi e nuovi, con i quali vengono attivati gli attacchi informatici. Pensiamo alla deepfake: questa tecnica realizza una sintesi dell’immagine umana basata sulla IA ed è sempre più utilizzata per diffondere videomessaggi che, utilizzando volti e voci di personaggi famosi, estorcono somme di denaro. E la si usa anche per truffare le imprese: finti amministratori delegati, o proprietari di un’azienda, chiedono motivazioni credibili di emettere bonifici a favore di fornitori e clienti. Già oggi, la deepfake è molto accurata e precisa. Nel futuro lo sarà ancora di più. D’altronde, funziona perché fa leva sulla fiducia che si riversa nei personaggi pubblici. Sentirsi dire da Enrico Mentana, direttore del Tg di LA7, o dal Governatore della Banca d’Italia Fabio Panetta (poco tempo fa utilizzati per alcune deepfake) “gli altri lo sapevano e tu no”, “cerca di essere fra i primi”, “non perdere questa occasione” potrebbe stimolare gli appetiti di chiunque. Il consiglio è questo: mai fidarsi. Anzi, meglio essere un poco paranoici o malfidati perché oggi i criminali hanno dalla loro molte più armi rispetto a quante ne possano avere imprese, istituzioni e cittadini. Infatti, se ad una mail si tende a credere sempre meno, ad un video di una persona che sta sotto i riflettori, sì. Insomma, se lo vedo ci credo.

Le Pmi come possono usare la IA per anticipare o contrastare gli attacchi informatici?

Le Pmi, così come tutte le imprese, hanno un problema di fondo: la direttiva europea NIS 2, aggiornamento cruciale nella legislazione Ue per quanto riguarda la sicurezza delle reti. Questa le coinvolge pienamente perché si tratta di norme che cambiano la prospettiva dalla quale, fino ad oggi, si è guardata la cybersicurezza: ora gli amministratori delle aziende saranno i diretti responsabili delle contromisure, e della loro implementazione, messe in atto per contrastare i crimini informatici e dovranno anche seguire un corso per apprendere le basi della materia. La cybersicurezza, a questo punto, non sarà solo un problema dell’amministratore di sistema o del consulente esterno, ma un problema di tutela del proprio business. La direttiva europea dice chiaramente che un’impresa è sempre coinvolta perché nella filiera per la quale lavora ci sarà sempre un’attività che rischia. Pensiamo ad una fonderia che realizza un impianto industriale diretto ad una infrastruttura critica: l’imprenditore dovrà essere garante di quel pezzo. L’Intelligenza Artificiale può aiutare, ma arriva dopo.

Ci spiega?

È inutile montare un motore a reazione su una bicicletta: per alcune aziende i tempi di usare la IA non sono ancora maturi perché mancano le conoscenze di base. Inoltre, la direttiva europea chiede che vengano adottate tantissime contromisure quando, invece, per una Pmi ne basterebbero quattro per tutelarsi, tanto per cominciare, dai ransomware. Che rappresentano il 90% degli attacchi informatici perpetrati contro le piccole e medie imprese. Quel poco che si può adottare agli inizi non risolverà il problema, ma almeno aiuterà ad affrontarlo

Quali sono le quattro contromisure?

Prima: eliminare le password e adottare un fattore ad autenticazione multifactor così come fanno le banche. Ricordiamo che gli hacker rubano le password utilizzate in azienda anche dai dipendenti, entrano nel sistema e sfruttano le vulnerabilità dei software (che ci sono sempre) per muoversi lateralmente. Seconda contromisura: aggiornare sempre e immediatamente i software. Terza: segregare la rete e procedere con un backup sicuro. Se questo lo si fa sul server che sta nella stessa rete della copia primaria, l’attaccante lo distrugge. Quarta: nelle nostre aziende c’è una cultura del prodotto fisico, ma non quella del guasto causato da una persona umana che lo crea intenzionalmente. Si tratta di un pericolo invisibile che va affrontato con una formazione adeguata.

Quali sono i punti deboli della IA applicata alla cybersicurezza?

A volte si cade nell’atteggiamento malsano del “tutto è maturo e tutto funziona”. La IA funziona bene in alcuni contesti, mentre in altri deve essere migliorata. Ottimi risultati li sta dando nel riconoscimento di immagini e volti, in quello delle targhe, nel controllo qualità di prodotti industriali su larga scala e nei giochi. Inizia a funzionare anche in alcune diagnosi sanitarie. Funziona, inoltre, anche nel rilevamento delle anomalie ma solo se l’azienda ha un traffico di rete stabile. Nel caso in cui questo sia soggetto a variazioni continue, l’Intelligenza Artificiale crea falsi positivi. Oggi, infatti, il 99% degli allarmi è falso. Insomma, segnala attacchi che non sono attacchi. Bisogna essere realisti.

Esistono sistemi di IA “su misura” per le piccole e medie imprese?

Se nel mondo non esistono due imprese uguali fra loro, tutto deve essere fatto su misura. Ma le Pmi questi abiti sartoriali non se li possono permettere. In realtà, sull’Intelligenza Artificiale queste imprese ci sono poco perché non hanno ancora realizzato che la cybersicurezza non è un capriccio, non è semplicemente un insieme di norme, ma business. È sulla tutela della continuità del business, infatti, che si sta orientando la legislazione. Un attacco informatico blocca la produzione, la logistica, la fatturazione: un fermo macchine, con tutto ciò che ne consegue, costa. Quindi, adeguarsi alle direttive sulla cybersicurezza significa rendere il proprio business più resiliente e robusto. È questo a fare la differenza.

Per farlo bisogna superare qualche resistenza culturale?

È così. Essere attaccati non è una vergogna. Il tema sul quale concentrarsi è come l’impresa è preparata a reagire ad un attacco. La stragrande maggioranza delle aziende non ha la preparazione adeguata, ecco perché devono attrezzarsi facendo riunioni con il management e i consulenti, addestrando i dipendenti, pianificando esercitazioni per mettere in luce non solo le falle del sistema informatico ma anche di quello organizzativo. Negli ultimi dieci anni, la percentuale tra vulnerabilità tecnologica e vulnerabilità umana si è ribaltata (il 90% degli attacchi si basa su quest’ultima) perché i collaboratori di un’impresa sanno poco o niente degli attacchi informatici: è bene che l’imprenditore dica loro che la cybersicurezza è una vera guerra e li formi per affrontare gli attaccanti. Ogni attacco evitato è un risparmio per l’azienda.

I dati di Confartigianato dicono che per le imprese risulta difficile reperire il 69,9% di progettisti e amministratori di sistemi: quanto conta la formazione e, soprattutto, quale formazione?

Per aiutare le piccole e medie imprese bisogna concentrarsi sulla filiera alla quale appartengono: fare rete permette di condividere strumenti e strutture, ed è la migliore soluzione per poter condividere costi, vantaggi e professionisti che lavorano nella cybersicurezza. In pratica, si tratta di una condivisione di professionalità che mettono al sicuro le imprese da eventuali concorrenze sul business e le affiancano, invece, nell’affrontare problemi e rischi comuni. Le stesse associazioni di categoria potrebbero giocare un ruolo sostanziale.

Quali sono i vantaggi per le Pmi che adottano la IA nella Cybersecurity?

Un’azienda sicura, che dimostra di sapersi difendere, aumenta la propria attrattività: questo, in futuro, sarà sempre più un fattore competitivo differenziale. E’ l’Europa a chiederlo e a mettere in chiaro un concetto fondamentale: se le imprese, piccole e grandi, non daranno garanzie sotto il profilo della cybersicurezza, certi servizi e prodotti non riusciranno più a venderli. Chi si attrezzerà in anticipo avrà un vantaggio competitivo nei prossimi anni. Però, un’ultima cosa la devo dire…

Prego…

L’Europa sta alzando di molto le richieste alle imprese sovraccaricandole di obblighi, e questo non va bene. La normativa non deve spaventare, ma agevolare. Solo semplificandola potrà aiutare le aziende, soprattutto le Pmi, ad adeguarsi in fretta, e in modo strategico, a ciò che serve nell’immediato per mettersi al sicuro. La Ue si sta concentrando troppo su ciò che non riguarda il business delle aziende. Invece, dovrebbe fare il contrario per permettere agli imprenditori di lavorare meglio e di diventare più resistenti.