rCentral Folder - Cybersecurity Trends · loro partenariato ed il loro supporto. Ma, ben più della...

28

- Cybersecurity Trends Central FolderCentral Folder

29

I partner di Belfort numerosi al Congresso !

I membri dell’IHEDN AR-10 circondano l’invitato d’onore, il Generale d’Armata (5s)

(ret.) Marc Watin-Augouard.

Primo sulla sinistra, Christian Arbez rappresenta la CCI Belfort (di cui è Direttore Generale), mentre il

primo sulla destra, Jean-Luc Habermacher, auditore dell’ IHEDN, rappresenta la Vallée de l’Energie

(di cui è il Presidente Fondatore).

30

- Cybersecurity Trends

Giorno ‘’0’’: 6 DICEMBRE 2017

Giornata sulla prevenzione per adolescenti ed adulti

Uno degli assi fondatori del congresso è di far approfittare la popolazione locale di una giornata gratuita sulla prevenzione rivolta ai pericoli del net e sui mezzi per proteggersi di fronte alle minacce più diffuse. Per

questo, la mattinata è stata organizzata in due sedute di un’ora e mezza ciascuna di cui hanno beneficiato 440 allievi e 32 insegnanti (cioè, 18 classi di studenti, ciò che costituisce il record svizzero in materia !).

La Polizia cantonale del Jura, rappresentata dal maresciallo Daniel Affolter, responsabile della comunicazione e prevenzione, e dall’ispettrice Sylvie Allemann, responsabile delle problema tiche IT presso la Polizia

giudiziaria, ha presentato i problemi in una breve allocuzione ed in seguito è rimasta per rispondere ai quesiti degli studenti.

Daniela Chrzanovski (Swiss Webacademy), ha fatto una presentazione dei rischi maggiori presenti sul Net ed ha animato il gioco-concorso, dotato di premi offerti dall’UBS e UPC.

L’invitato speciale, Pierre-Alain Dard, capo della Brigata dei Minori della Polizia Cantonale di Ginevra, ha spiegato le problematiche alle quali la brigata è confrontata e le leggi in vigore, con molteplici esempi concreti.

La serata per adulti ed imprenditori è stata organizzata con una seduta di un’ora e mezza, seguita da più di 45 minuti di questioni mostrando cosî il vivo interesse suscitato fra i 115 adulti presenti (27 imprenditori ; 28 amministratori IT del settore pubblico e 60 cittadini(ne).

Vi hanno preso la parola :Pierre-Arnaud Fuegg, Sindaco di Porrentruy,

che, nel suo discorso di Benvenuto, ha sottolineato l’importanza vitale per gli adulti di essere sempre al corrente dei pericoli del net al fine di costituire una società solidale e resiliente.

Francisco Arenas, Manager Solution Business Sales Romandie, UPC ha insistito sul nuovo dato che permetterà di differenziare le prestazioni dei fornitori di internet : la cyber-sicurezza del consumatore.

Laurent Chrzanovski ha in seguito trattato delle problematiche attuali, delle minacce e dei mezzi per evitarle, prima di presentare, ad uso delle PME, gli incidenti maggiori sopraggiunti nel 2017 (cause, effetti, lezioni da trarre) ; ha in seguito sottolineato un nuovo privilegio dei cittadini Svizzeri e Lussenburghesi : quello di potersi assicurare contro i ‘’cyber-rischi’’ a prezzi ragionevoli, contrariamente alla maggioranza dei vicini europei. �

Central FolderCentral Folder

31

Il congresso è stato debitamente aperto dal Sindaco di Porrentruy, Pierre-Arnaud Fuegg, di cui riportiamo di seguito il discorso.

«Signore e Signori, carissimi ospiti, in qualità di Sindaco ed in nome della Città di Porrentruy, è un piacere e un onore indirizzarmi a Voi oggi.

Noi ci sentiamo qui, come nel mito che ha portato alla nascita del blasone della nostra città, attestato dai sigilli ufficiali sin dal 13° secolo.

Come avete potuto leggere nella brochure del congresso, il cinghiale, simpaticamente illustrato sui supporti del congresso stesso ed il badge che avete ricevuto, rinvia di per sé a una leggenda interamente legata alla sicurezza. Secondo quest’ultima, «c’era una volta una bestia singolare, che correva a grande velocità, era capace di saltare al di sopra delle mura della città, alte di dieci piedi, come se non si trattasse che di una cinta insignificante. Questo cinghiale provvidenziale fu quindi visto senza alcun dubbio possibile come un messaggero dello spirito protettore della città, ed il Consiglio Municipale decise, durante una cerimonia solenne, che l’animale sarebbe diventato per sempre l’emblema della nobile città di Porrentruy». Questo episodio fece capire ai Consiglieri che parecchie porzioni della cinta erano troppo basse per poter resistere all’assalto di un nemico, e decisero all’istante di rinforzare le tratte in questione.

Le autorità ed i Consiglieri odierni sono sempre più coscienti che la recinzione digitale della nostra città, della nostra amministrazione, della nostra rete di energie e della protezione dei nostri cittadini deve essere rinforzata in modo regolare. Noi abbiamo sete di apprendimento sempre maggiore sulle tendenze

globali che riguardano le minacce diventate mutanti a un ritmo quotidiano, al fine di poter prendere le migliori decisioni, di adeguare i nostri standard, di rinforzare le misure già prese settore per settore, allo scopo di diventare tanto buoni in resilienza quanto siamo già riusciti ad esserlo in termini di gestione dell’utilizzazione delle energie.

È così che durante i primi giorni di maggio, la Municipalità di Porrentruy e la Swiss Webacademy hanno cominciato a costituire il dossier necessario per gettare le basi di una piattaforma macro-regionale di dialogo sulla cyber-sicurezza, che la nostra città potesse accogliere ogni anno. Il 3 luglio, il Consiglio della Città ha votato in favore dell’iniziativa e la Municipalità è diventata la co-organizzatrice dell’evento, assicurandogli un supporto logistico, umano e finanziario. Durante l’estate, tenendo conto delle scadenze estremamente corte che ci separavano dalla nascita della prima edizione, i suoi organizzatori - di cui il sottoscritto - l’hanno nominata «edizione 0.0’’. Oggi, vedendo gli oratori che ci hanno raggiunto, i loro talenti e le cariche che occupano, sono i «cervelli 0.0’’ degli organizzatori che faticano a credere che tutto questo sia ben reale.

La Città di Porrentruy è onorata – ed è dir poco- della loro presenza. La nostra gratitudine, in quanto autorità locale, si estende anche ai decisori delle PME e delle imprese del Cantone Jura e della vicina Francia che hanno accettato di partecipare a questa première.

Siamo inoltre profondamente riconoscenti all’Unione Internazionale delle Telecomunicazioni (ITU), che ha accordato la sua egida all’avvenimento, e alle istituzioni prestigiose dell’Italia, della Francia e della Svizzera che le hanno garantito il loro partenariato ed il loro supporto.

Ma, ben più della legittima fierezza, è già il lavoro che ci sollecita. Un lavoro già in corso per mettere in adeguamento l’udienza della prossima edizione all’altezza dello standard incredibilmente elevato degli ospiti che marcano della loro presenza questa’’ première’’.

Per la riuscita di questo congresso, come per le sfide che ci attendono per i seguenti, vogliamo sottolineare l’implicazione costante e senza falla di Daniela Chrzanovski e di tutta la sua equipe della Swiss Webacademy, così come quella di Jasmine Greppin di Eureca’ Venture. Esse hanno lavorato di concerto, quotidianamente, con l’equipe del Comune, costituita da Magali Voillat e da Anais Cuenat. Rivolgiamo a tutte loro i nostri più vivi ringraziamenti. Giorno dopo giorno, il responsabile dell’avvenimento, Laurent Chrzanovski, in trinomio con Jean-Jacques Wagner e Luca Tenzi, hanno messo a disposizione il loro «savoir faire’’; i loro network professionali si sono ricongiunti con quelli della Città, sbocciando in un risultato a dir poco impressionante: Porrentruy accoglie oggi gli oratori di otto paesi e di sette organizzazioni mondiali, che coprono realmente la sicurezza sotto tutti gli angoli maggiori.

Tutta la Municipalità spera che il congresso e lo charme della nostra città germoglieranno in ciascuno di voi attraverso il sapere, gli incontri e le impressioni personali che vi marcheranno durante questi giorni. In quanto a noi, non ci resta che porgervi il più caloroso benvenuto e con la nostra equipe che si tiene a vostra disposizione, ad auspicarvi il più riuscito dei congressi ed il più piacevole dei soggiorni nella nostra città. �

Il congresso : allocuzione di benvenuto

M. Pierre-Arnauld Fueg

32


Giorno 1: 7 Dicembre 2017Nella sua presentazione “Il motto del

CEO : Essere agile e capace di cambiare la propria visione allorquando si parla di cyber-sicurezza’’, Xavier van NUVEL, PDG e fondatore di Digital Solution e di OpenOnLine (Svizzera) ha portato la sua visione dell’innovazione e soprattutto della resilienza di un’impresa grazie al fattore umano e la sua capacità - o

meno – di adattarsi ad un ambiente e a delle minacce in costante mutamento.

Grazie ai tre principi COOPERAZIONE-INNOVAZIONE-ANTICIPAZIONE, l’oratore ha messo in evidenza i vettori che rilevano dell’agilità razionale (pedagogia, proattività, sincronizzazione collegiale ) e quelli che dipendono dall’agilità emozionale (empatia, comprensione della situazione, “ribellione costruttiva’’).

In un mondo sempre più strutturato sui dati trasmessi o scambiati (data) qualunque essi siano gli oggetti tecnologicamente utilizzati, è compito dunque del capo dell’impresa ed al suo CISO di aiutare tutti i collaboratori dell’impresa stessa a sviluppare le proprie facoltà di agilità, a sincronizzare le azioni interagendo al meglio al fine di elaborare delle idee utili al gruppo, ivi compreso in ciò che dipende dalla natura emozionale di ciascuno.

Con una formazione idonea ed una responsabilizzazione di ogni collaboratore, i risultati per l’impresa – in materia di sviluppo del business, di identificazione poi di reazione agli attacchi - possono così beneficiare di una crescita utilizzando le risorse umane già a disposizione prima i considerare il ricorso a terzi per tale o talaltro bisogno

Il primo speaker, Col. Marc-André RYTER (Collaboratore pour la Dottrine in seno allo Stato-Maggiore dell’ Armata Svizzera), ha analizzato in modo chiaro e preciso le sfide e le minacce della trasformazione digitale della “armata 4.0’’, viste nel loro insieme poi ,in particolare, a partire dalla Svizzera tenendo conto della situazione

geopolitica, strategica e di mezzi messi a disposizione.

La forza del discorso, accompagnata dalla proiezione da immagini scelte con cura, ha messo in evidenza la difficoltà del procedimento molto lungo, per i centri decisionali dell’armata, di scegliere un elemento connesso, dal semplice casco del soldato al veicolo semi-blindato o al

drone.Son in effetti i dati reali nel momento dell’analisi preliminare

(finanze, ambiente, demografia e tecnologia) che daranno vita, attraverso la dottrina e l’analisi delle capacità necessarie, all’elaborazione dei concetti di base che servono ad elaborare il capitolato degli oneri (o masterplan) implicando tutte le misure dello sviluppo umane e tecniche che permettono di impegnarsi nell’acquisto e l’adattamento di tutti gli elementi connessi delle armi e degli equipaggiamenti di ultima generazione.

La presentazione ha perfettamente dimostrato la difficoltà e la vera rivoluzione di un modo di pensare che permetta di poter valutare le armi a forte tenore connettivo per rapporto a quello che reggeva fino ad una decina di anni fa, l’acquisto delle dotazioni militari più “convenzionali’’.

L’equazione finale si rivela particolarmente difficile, poiché se il mondo del ”4.0’’ apre un grandissimo numero di prospettive (che permettono di utilizzare al meglio le risorse disponibili ,prima, durante e dopo l’azione), ogni prospettiva è assortita da altrettanti rischi maggiori legati alla vulnerabilità e alla capacità massima di ogni modulo interattivo.

La presentazione fu così ricca di informazioni che farne un riassunto sintetico rileva dell’impossibile, e questo tanto più che l’autore ha fornito gran parte dei frutti della sua ricerca in un articolo pubblicato nel n.1/2017 della Military Power Revue of the Swiss Armed Forces (pp. 50-62), che vi invitiamo a scaricare online1.

Completando perfettamente la presentazione del Col Ryter, fu la volta di Julien Provenzano (CEO della start-up Pré-Ka-Ré) di presentare brevemente al pubblico il prototipo del guanto


33

di fanteria che la sua società sviluppa allo scopo di aiutare i soldati ad effettuare degli “ordini manuali indirizzati attraverso il guanto elettronico’’. Dopo una presentazione dei vantaggi di questo equipaggiamento ed una analisi SWOT del guanto stesso, la cui produzione in sé non pone delle sfide maggiori se non nella taglia ed il consumo del microcontrollore

integrato, l’autore ha dettagliato esaustivamente l’insieme dei rischi e delle problematiche (minacce) che pesano su un tale oggetto se

dovesse cadere in possesso del nemico- o essere reso indisponibile /emettere falsi dati.

Il pubblico ha potuto rendersi conto concretamente, non certo della incontestabile utilità di tale oggetto, ma dell’insieme dei parametri da definire e da limare per risolvere l’equazione della messa in sicurezza di un numero immenso di dettagli che potrebbero diventare dei punti vulnerabili e, quindi, di altrettante misure da elaborare, testare, ed applicare perché il guanto possa superare positivamente gli imperativi e le esigenze implacabili del suo destinatario. Questo esempio ha così, attraverso i dettagli sapientemente forniti dall’autore, reso attento ogni partecipante alla complessità e alle molteplici vulnerabilità di ogni oggetto connesso “civile’’ o “industriale’’ dove le esigenze di sicurezza sono ben inferiori o anche inesistenti.

Completando idealmente il campionario “armata & cyber’’, lo speech di Alexandre Vautravers (Responsabile del Programma di Sicurezza Globale presso il Global Studies Institute dell’ Università di Ginevra e Redattore della Rivista Militare Svizzera) si è concentrato sulla complessità del concetto stesso delle guerre odierne, condotte sia sul terreno digitale, non militare (slittamento fra il “soft power e lo smart power’’) che su quello reale, con il suo seguito di guerre ibride.

Un accento particolare è stato portato sulle dimensioni della guerra al giorno d’oggi, che copre quattro dimensioni : la popolazione e l’economia ; le azioni CIMIC (cooperazioni fra civili e militari) ; le operazioni tattiche e infine tutte le azioni strategiche e operative.

Sezionando il sistema svizzero tal come è stato validato nel 2016, l’autore ha chiaramente dimostrato che nessuna armata riesce più a risolvere, da sola, i conflitti di oggi, se non è assicurata di avere l’aiuto di una architettura istituzionale e privata che copra quasi tutti i campi del “law enforcement’’, delle collaborazioni attive pubblico-privato così come delle

concertazioni regolari con gli eletti ed il mondo politico. Messa in atto progressivamente, questa architettura multi-

stakeholders, che colloca la dimensione “cyber’’ come punto centrale, con ripercussioni in tutte le forme tradizionali di sicurezza,

si rivela dapprima molto complessa, ma incomincia fare le sue prove e, soprattutto, si conferma come la sola soluzione vitale per un paese neutro e federale a vocazione consensuale2.

La presentazione di Marc German (Esperto in Business diplomacy ed in cyber-crime) ha saputo fare il legame tra il mondo militare, messo in sicurezza “per dovere’’ e quello degli affari, spiegando che l’intelligenza concorrenziale e la cyber-sicurezza sono, di fatto, da prendere di petto, e costituiscono le due facce della medaglia della perennità dell’impresa.

I suoi propositi, incitando ad adottare una postura difensiva ma anche offensiva, sono stati percuzienti, nello spiegare un ambiente

34


economico globalizzato in cui le organizzazioni si combattono per accrescere la propria competitività ed ottimizzare la propria redditività e che numerosi concorrenti agiscono senza seguire le stesse regole. Per Marc German, “L’intelligenza competitiva è dominare e sfruttare l’informazione utile per creare del valore duraturo nell’impresa attraverso la messa in opera di azioni coordinate di ricerca, di analisi e di utilizzazione dell’informazione utile ai decisori. In altri termini, l’Intelligenza competitiva è trasformare le notizie in informazioni e trasformare la materia grezza in materia grigia’’.

Senza tuttavia incitare a superare i limiti della legalità domandando dei “black-ops’’ contro i competitori, che purtroppo sono di ordinaria amministrazione, l’autore insiste sul fatto che per sopravvivere, crescere e vincere delle competizioni, un’impresa deve ormai passare all’offensiva cercando e valorizzando l’informazione che gli fornirà un punto di vantaggio. In modo concomitante, essa deve proteggere i propri data, i propri metodi ed il suo “savoir faire’’, cioè il suo tesoro, che è l’oggetto della cupidigia dei suoi concorrenti3.

La seconda sessione, dedicata alle sfide delle tecnologie di ultimo grido, è stata magistralmente aperta dal keynote speech di Martin Lee (Direttore Sicurezza presso Cisco Talos, U.K.). Il ricercatore ha passato in rassegna i grandi attacchi del 2017 ed ha permesso di ritracciarne un denominatore comune, e cioè il punto centrale della sovrapposizione di quattro fenomeni

conosciuti ma in pieno boom: l’evoluzione dei ransomware e dei loro ricavi (che arriva ai 34 miliardi di dollari di entrate all’anno), donde deriva la “democratizzazione delle minacce“, i virus senza bersaglio preciso ma con una potenza pandemica di propagazione (WannaCry, Nyetya…).

IL quarto fenomeno è senza dubbio il più grave e prenderà del tempo per evolvere, poiché si tratta della compiacenza delle imprese ad usare degli strumenti permeabili, mal programmati, vulnerabili e facilmente attaccabili e che, per di più, utilizzati per lungo tempo con noncuranza semplicemente per ignoranza sono stati attaccati da mesi, o anche da anni. Nelle sue conclusioni, Martin Lee ha insistito sull’importanza dell’architettura informatica delle imprese, che dovrebbe essere rivista ed esaminata punto per punto

e soprattutto delle regole minime da avere, che offrano al pubblico una versione sintetica e meno arida del celebre “NIST frame work”.

Abbondando in tal senso, Roland Iosif Moraru (Professore e Vicerettore all’Università di Petrosani, Romania) ha difeso l’acquisizione di una vera cultura della sicurezza prima ancora di specializzarsi nella messa in sicurezza dei sistemi propri di uno dei due grandi settori dell’economia, poiché le esigenze sono le stesse, ma non figurano nello stesso

ordine di priorità. Per il mondo degli affari, il “top 3’’ è costituito dalla confidenzialità seguita dall’integrità e dalla disponibilità, mentre per il mondo industriale, la disponibilità arriva al primo posto e la confidenzialità all’ultimo.

Per assicurare questa disponibilità al cliente e parare gli attacchi, si tratta di testare costantemente tutti i propri sistemi, di prevedere dei gradi di sicurezza – e di segmentare il sistema di controllo -, di rinforzare regolarmente le componenti del sistema e soprattutto, di possedere delle procedure chiare da mettere in applicazione per ogni collaboratore nel momento stesso in cui un’intrusione è individuata.

La sicurezza sia degli umani come quella delle macchine, la vigilanza costante e la resilienza basata sulla conoscenza quotidiana degli incidenti o degli attacchi contro imprese dal profilo similare sono i tre assiomi di base senza i quali, secondo l’autore, nessuna tecnologia potrà da sola risolvere gli assalti che diventano sempre più perfezionati, mutanti ed evolutivi.


35

Christophe Réville (Cofondatore del Summit IE2S e specialista in intelligenza strategica) ha insistito sui pericoli di introdurre, sotto

la pressione dei rivenditori, di strumenti dotati della funzione “machine learning’’ senza conoscerne tutti gli estremi annessi e connessi in materia di sicurezza.

Spesso presentati agli imprenditori come la panacea in termini di efficacia, di redditività e di riduzione dei margini di errore, questi strumenti possono rivelarsi come la nuova porta di entrata di tutti

gli attacchi di vasta portata. Utilizzando una metafora semplice, l’oratore ha dichiarato che l’intelligenza artificiale” è passata in questi ultimi mesi da un funzionamento ragionato e logico, o “cervello sinistro”, nel quale si compiaceva da almeno trent’anni, - data mining, algoritmi lineari, ecc. – ad un paradigma che integra visione globale e processo intuitivo – molto “cervello destro”. Una rivoluzione caotica nella quale i comportamenti indotti delle macchine disegnano delle improbabili frattali…’’.

Tra l’altro l’oratore ha dato un esempio inquietante, quello di un gruppo di computer connessi che si è liberato dall’inglese (lingua di comunicazione fra i programmatori e le macchine) per incominciare a creare un linguaggio unico, comprensibile solo a loro – finché non sono stati staccati dalla spina. Sarebbe questo l’inizio di una lotta macchina contro macchina che sfugge ad ogni controllo umano ?

Le poste in gioco di una tale possibilità hanno spinto i cento sedici padroni delle più grandi imprese di robotica ad indirizzare una lettera aperta alle Nazioni Unite (il 20.08.2017) ingiungendo alla comunità mondiale di prendere le misure necessarie prima che la lotta fra le intelligenze artificiali non diventi un reale pericolo mortale per l’uomo in caso di utilizzazione armata.

Christophe Madec (Esperto in cyber-sicurezza e Jean Gabriel Gautraud (BESSE’ Conseil), hanno spiegato le difficoltà incontrate dai risk-managers durante i loro incontri di lavoro nelle differenti imprese, in qualsiasi settore di attività, dal momento in cui incominciano ad abbordare il soggetto della cyber-sicurezza. In

effetti, alla base, il risk-manager non è lui stesso un esperto in cyber-sicurezza e, anche quando è stato formato in questo settore, si confronta in seno all’impresa, non a un CISO, ma ad un semplice IT manager e da qui deriva il problema di trovare un vocabolario ed un terreno comune per portare avanti una discussione costruttiva.

Per mancanza di cultura digitale, le imprese - soprattutto quelle del settore primario e secondario, ma anche i PME di ogni tipo, definiscono il rischio come una offesa alla loro posta strategica e non alle loro infrastrutture, delegando al risk-manager dei compiti di verifica e di assicurazione di ciò che il management considera come “critico’’4.

Così, l’impatto multiplo di un attacco cyber moderno, perfettamente illustrato dagli autori, prendendo come bersaglio sia la catena di produzione che le filiere di vendita o di approvvigionamento, trascinando dei pregiudizi interni ed esterni, rimangono incomprese dal patronato. In questo “choc di culture “, senza responsabili formati né infrastrutture in sicurezza, è impossibile assicurarsi come bisognerebbe, ciò che crea una disparità di una vastità impressionante, perfettamente illustrata dagli autori, fra le imprese secondo la loro taglia. Così, in Francia, se il 95% delle imprese del CAC40 sono ormai assicurate contro i cyber-rischi, solo il 3% delle imprese di taglio medio ed il 2% di PME hanno sottoscritto a questo tipo di assicurazione.

Inaugurando la sessione sulle attrezzature e le strategie di nuova generazione, Bénédict Mattey (Cyber Security Executive presso Darktrace) e Hippolyte Fouque hanno introdotto e poi illustrato con sequenze filmate in situazioni reali, i benefici maggiori che possono portare dei prodotti in cui l’Intelligenza

Artificiale è applicata esclusivamente alla cyber-sicurezza.Di fronte ad una quantità di dati in crescita esponenziale; a

degli impiegati con compiti sempre più vari, diventa essenziale

36


permettere alla vigilanza e alla perizia umana di concentrarsi sulle informazioni fondamentali e verificate e sulle anomalie derivate sia da comportamenti umani, che da sistemi il cui funzionamento è anormale, ciò che può significare una semplice disfunzione o l’inizio di un attacco in piena regola.

Fra la nuova generazione di oggetti connessi, si trova certamente l’automobile, tema della presentazione di Yannick Harrel (Capo dipartimento strategie presso il gruppo franco-tedesco Tecnology & Strategy). Soggetto della sua ultima opera, Automobiles 3.0 5, la tecnologia inserita nei veicoli attuali che pone innumerevoli problemi di

sicurezza causati dalle vulnerabilità native dei sistemi e dei modi di comunicazione scelti – e compilati – dal costruttore per uno stesso ed identico veicolo, ciò che fa si che l’automobile di oggi non è più unicamente il frutto del lavoro del costruttore (la marca) ma anche dei fornitori di sistemi di bordo, spesso i giganti del settore IT&C.

Insistendo sul fatto che le falle non sono sempre dovute all’inattenzione o al rifiuto di mettere in sicurezza da parte dei fabbricanti e dei loro subappaltatori, l’oratore sottolinea che numerose brecce di software sono in realtà sconosciute fino a quando dei pirati non le utilizzano con uno Zero Day.

Solamente in seguito queste falle saranno oggetto di correttivi. Due fattori si congiungono per rendere un veicolo poco sicuro poiché troppo equipaggiato in elettronica : la domanda e l’abitudine dei consumatori di disporre di un insieme di funzioni all’interno stesso dell’abitacolo, ciò che rende impossibile la loro limitazione tecnica come per esempio, l’impossibilità di disattivare gli aiuti elettronici che servono alla stabilizzazione del veicolo in

ogni situazione, il tutto associato alla capacità inventiva dei pirati che beneficiano della moltiplicazione dei punti di accesso ai veicoli moderni.

Lo speech di Yannick Harrel si è concluso con una arringa in favore di automobili autonome o semi-autonome la cui componente connessa verrebbe concepita secondo il metodo “security by design’’ ed il suo lotto di dati crittati aventi accesso agli ordini sensibili.

Ritornando sull’ Intelligenza Artificiale (A.I.) e sul suo ruolo nel campo della cyber-sicurezza 4.0, Battista Cagnoni (Cyber Security Expert, Vectra), ha spiegato a lungo le ragioni di avere un SOC (Security Operations Centre) rodato sia nei suoi mezzi umani, le le sue procedure che le sue tecnologie, prima di applicare delle tecniche di A.I. alla sicurezza. Solamente

allora, le applicazioni di sicurezza di ultima generazione – associando A.I. e Machine Learning – possono essere di un reale aiuto e fornire un vero valore aggiunto, permettendo per esempio di eseguire un buon numero di azioni di smistamento umane, lunghe e fastidiose, e di concentrarsi sui dati che indicano delle anomalie. Esse si rivelano particolarmente intuitive, nel campo dell’anticipazione dei metodi di azione possibili dei criminali, e permettendo alla grande maggioranza dei membri del SOC di concentrarsi sulla resilienza, la difesa durante un attacco, la rimessa in ordine delle zone toccate, e in seguito di concentrarsi sull’analisi forense e sull’investigazione dell’incidente.

Per di più, esse favoriscono un’omogeneità ed una coerenza nelle azioni dei membri dell’equipe, permettendo di evitare al massimo delle frizioni durante la gestione della crisi propriamente detta. Ma, Battista Cagnoni è prudente: a suo parere, molti delle procedure di cyber-sicurezza assistiti dall’A.I. non sono ancora completamente a punto, uscendo appena dalla fase teorica e archetipale alla fase di messa in opera sul mercato. Inoltre, ed è probabilmente uno dei punti più importanti, a nostro avviso, di questa presentazione, la messa in evidenza, in modo reiterato, del fatto che i due termini (A.I. e Machine Learning) diventano – come troppi vocaboli utilizzati nel mondo digitale - dei veri “ripostigli per tutto’’, inducendo clienti, utilizzatori e anche specialisti a dover sistematicamente verificare di che si tratti esattamente. Il qualificativo “esoterico’’ utilizzato dall’oratore per designare le tecniche di Supervised Machine Learning


37

è perfettamente corretto, poiché questa definizione copre dei semplici aspetti euristici fino a quelli ben più complessi dei modelli più performanti, spesso utilizzati in concomitanza.

Aprendo il dibattito sulle nuove strategie, Luca Tenzi (Specialista in Convergence) ha sottolineato che all’ora del 4.0, la semplice convergenza fra il campo fisico e quello numerico, non è stata capita.

Ne è la prova una constatazione recente di Scott Borg, Directeur of the U.S. Cyber Consequences Unit: As long as organisations treat their physical and cyber domains as separate, there is little hope of securing either one. The convergence of cyber and physical security has already occurred at the tecnical level. It is long overdue at the organizational level.’’

Il più grande problema di questa inadeguatezza, è che essa si rifà alla natura stessa delle generazioni che sono al potere oggi, altrettanti individui che non sono nati e non sono cresciuti nell’era digitale.

Così, il discorso di Luca Tenzi, lungi dal rivolgersi alle sole corporazioni, è di una grande utilità per ogni imprenditore, poiché il “ 4.0’’ fa si che numerose vulnerabilità e pericoli, che non concernevano prima che delle imprese molto grandi, sono ormai anche quelli delle PME e degli affari di media grandezza.

Compilando uno stato della questione6 attraverso illustrazioni semplici ma molto percuzienti – come quelle che illustrano i diversi punti vulnerabili di una stampante-scanner wifi d’ufficio -, l’oratore continua in seguito il discorso su tutti gli errori volontariamente prolungati per colpa di coerenze e di cultura (macchina da presa video, reti di aria condizionata, allarmi collegati non si sa come a dei server e sorvegliati dai responsabili della sicurezza fisica), poi ci conduce nel mondo reale degli oggetti “4.0’’ con, in primo luogo, dei grafici impressionanti che mostrano la crescita esponenziale della vendita di droni (in particolare per la sorveglianza di infrastrutture o ancora per la consegna di pacchi) dove – quasi – solo quelli destinati alle entità governative sono stati muniti di hardware in cui la sicurezza si riserva la parte del leone.

Concludendo sulla necessità assoluta di comprendere la sicurezza come un tutto, la citazione conclusiva – che è valida anche al rovescio – è spietata : “The lack of technical knowledge of phisical

security service providers on IP- based systems and IT platforms provides an ideal opportunity for cyber-attacks’’ (PSIM Video Surveillance Report 2017, v.6).

Arthur Lazar (Vice Direttore del centro Cyberint del Servizio Romeno di Intelligence), ha portato un punto di vista geostrategico globale completando perfettamente così il discorso precedente. Nella lunga ricerca che ha condotto - e pubblicato7 - sulla definizione ed il ruolo del cyber-potere, l’autore dimostra che ormai, quest’ultimo ingloba tutte le altre

forme del potere tradizionale. Se si trattasse solo di questo, non si tratterebbe che di un adattamento del mondo contemporaneo ai nuovi mezzi tecnologici disponibili.

Purtroppo non è per niente così. Certo, un vero cyber-potere statale deve, per durare, riposare su una struttura omogenea costituita dai quattro poteri convenzionali, ma diventa anche un potere in sé, disponibile per delle entità ibride anche non-statali.

Peggio ancora, si assiste ad una fusione ormai totale fra il mondo online ed il mondo offline, a un punto tale che ben presto saremo portati a non più potere chiaramente differenziarli, ciò che esporrà i meno resilienti a degli attacchi a tutto azimut, ivi compresi nei campi tradizionalmente considerati come appartenenti alla sicurezza “fisica’’.

Tuttavia con un ottimismo improntato di sobrietà, Arthur Lazar riafferma che al giorno d’oggi se dei gruppi criminali o terroristi,

«Online and offline worlds will merge to such a degree that we will no longer be able to differentiate them»

38


delle entità anonime e degli Stati deboli possono, certamente, acquisire delle capacità offensive e creare dei danni talvolta severi, il vero cyber-potere rimane nelle mani degli Stati più potenti. Questo stato di fatto è dovuto, giustamente, alla presenza di altre forme di potere, che permettono agli Stati di agire in modo intelligente nella difensiva come nell’offensiva.

Per questo, essi hanno a disposizione tutte le basi governative, economiche, militari, sociali, legali e legittime per legiferare, regolamentare, innovare, contrattaccare, rinforzare la propria resilienza ottimizzando la collaborazione con i cittadini ed il settore privato, iniettando delle somme colossali in funzione delle decisioni politiche e delle possibilità economiche, altrettanti campi che un attore non governativo o uno Stato-pirata non possiede.

La sola condizione? Avere degli Stati “smart’’, delle élites politiche al corrente delle sfide e dei consiglieri tecnocrati lungimiranti che capiscano quali sono le poste a corto, medio e lungo termine, alfine di investire regolarmente in questo campo e creare i dialoghi necessari ad una solidarietà Stato-Impresa-Cittadino e intra-statale.

La quarta ed ultima seduta del primo giorno, dedicata alle poste degli scambi di informazione, ha avuto inizio con una vera “première’’: in diretta dal Regional Operations & Intelligence Center (ROIC) di New Jersey, Joe Billy Jr. in persona (ex Vice-direttore dell’FBI) ed il Luogotenente Jeremy P. Russ (New Jersey State Police) hanno insistito sull’importanza di una collaborazione reale ed efficace fra il settore privato e le differenti istituzioni pubbliche specializzate nella lotta contro la criminalità in tutte le sue forme.

Grazie alle azioni del Lt. Russ, responsabile del Private Sector Advisory Group (PSAG) e alla messa in opera del Fusion Center, il New Jersey si è dotato di un “one-stop-shop’’ per le imprese, che

collaborano attivamente alla sicurezza (dalla segnalizzazione di un semplice individuo potenzialmente pericoloso in un negozio, alla domanda di aiuto per un attacco informatico in atto), mentre il ROIC fornisce formazioni, consigli, assistenza e gruppi di incontro, apprendendo a sua volta quali sono le sfide maggiori del sistema economico e sociale dello Stato in questione.

Joe Billy Jr. ha invece rievocato il modello costituito da qualche ROIC esistenti negli Stati Uniti, di cui quello del New Jersey è di gran lunga il più efficiente.

Posti sotto il controllo della Polizie dello Stato concernente, essi concentrano degli agenti di quasi tutte le agenzie governative americane (FBI e Homeland Security in testa), ciò che ha permesso di accorciare al minimo il tempo di risposta alle allerte così come lo spiegamento di tale o talaltra forza

sul posto in funzione del tipo di incidente.

Ha anche ricordato che il modo di finanziamento (pubblico-privato) incitava ancor più ad una eccellente e reciproca collaborazione, poiché ciascuno dà e riceve nello stesso tempo. L’idea stessa di tale ‘ fusion center ’ rispondendo in qualche sorta agli interrogativi sulla convergenza posti dall’intervento di Luca Tenzi, è assolutamente innovante poiché le équipe sul posto 24/365 si occupano di tutti i casi di sicurezza, dal semplice crimine all’atto terroristico e dal data hack al cyber-attacco di rilievo, passando attraverso tutte le forme di disastri naturali o umani che possono accadere nel loro raggio di azione.

La condivisione di tutti i ragguagli sui pericoli informatici – con lo scopo di proteggere le informazioni sensibili – è stata al centro del discorso di Chems-Eddine Zair (CISO dell’Unione Internazionale delle telecomunicazioni – ONU/Ginevra).

Egli ha spiegato la nascita, nel 2014, poi la messa in opera della STIP (Shared

threat intelligence platform) comune a tutte le agenzie dell’ONU al fine di costituire un ambiente circostante messo in sicurezza permettendogli, così come ai suoi omologhi di altre agenzie, di lavorare di concerto e di rinforzare la loro resilienza globale.

Le loro capacità di difesa contro le minacce in corso, ma anche la loro facoltà di anticipazione delle minacce future, si è ritrovata moltiplicata, poiché questa piattaforma offre da un lato la possibilità di capire l’anatomia degli attacchi subiti da altre agenzie, ma anche, d’altra parte, di mettere a giorno regolarmente le procedure di resilienza di ogni organizzazione, che diventano così immuni se sono prese di mira con le stesse tecniche utilizzate durante un attacco che ha toccato un’agenzia consorella.

Lo scambio di informazioni è rimasto al centro del dibattito, ma questa volta nella sua sfaccettatura vulnerabile, con il Dr. Stephen Foreman (Responsabile dei metadata, della gestione e della rappresentazione dei dati presso l’Organizzazione Mondiale della Meteorologia - WMO / ONU – Ginevra).

Allorquando si è responsabili dei dati in un’organizzazione così importante, ha spiegato il Dr Foreman, si può essere sia il bersaglio che la vittima collaterale di un attacco.

La WMO, ricevendo senza sosta dei bollettini delle agenzie specializzate di ciascuno dei 185 Stati membri, ma anche dei differenti satelliti come pure di una molteplicità di mezzi di trasporto aerei e marittimi connessi, deve ormai vegliare, da un lato alla veridicità di queste informazioni, ma anche alle loro implicazioni su terzi.

La sfida non è minore, poiché in qualche decennio, gli stessi rapporti sono passati da 50 linee baud (telex), poi da corti messaggi testi, a files in rappresentazione binaria o documenti XML, raggiungendo ormai parecchi gigabit, nei quali possono nascondersi diversi malware.


39

Nel secondo registro, quello dei “ fornitori di informazioni rese vulnerabili’’, la WMO, ha dovuto lavorare in stretta collaborazione con parecchie agenzie governative e militari, ma anche con armatori, proprietari e noleggiatori dei…cargo marittimi. In effetti, è apparso dall’inizio della crisi del Corno d’Africa che la trasmissione dei dati meteo che ogni nave di grande tonnellaggio faceva attraverso le frequenze convenzionali era utilizzata dai pirati per reperire, poi assaltare questi stessi natanti.

La giornata si è conclusa con una corta nota di Laurent Chrzanovski (Manager del Congresso e Redattore della rivista Cybersecurity Trends) sulle conseguenze positive e negative della “Conformità’’ (compliance). Al contatto permanente delle grandi imprese, l’oratore ha potuto in questi ultimi anni notare, in primis con l’approccio imminente dell’entrata

in vigore del GDPR, l’aumento esponenziale di quadri e di impiegati puramente amministrativi, aiutati da numerosi giuristi e da specialisti in sicurezza, la cui sola attività consiste nel redigere rapporti di conformità ad uso interno poi ad uso delle istituzioni statali – quelle stesse istituzioni che, a livello U.E., saranno meno del 30% in media ad essere “compliant’’ al GDPR nel maggio 2018…

Nel momento in cui tutte le imprese si lamentano della mancanza di specialisti in sicurezza, Laurent Chrzanovski giudica

pericoloso che la maggior parte dei consigli di amministrazione non considerino questa stessa sicurezza, mal capita, che per la via indiretta delle multe incorse in caso di hack o di non conformità nei loro metodi di protezione dei dati, come se si potesse isolare l’elemento “dati confidenziali’’ dall’insieme dell’ecosistema di sicurezza… Tutto questo ci invita a ricordare la crescita esponenziale di numerosi amministratori per un solo medico nelle strutture mediche americane, raggiungendo così una disparità di quasi 200 contro 1 ed un aumento dei costi di 2300% in quasi 40 anni…

Dal lato positivo, ma non meno inegualitario, il GDPR, nei paesi in cui il mercato delle assicurazioni va bene, come in Svizzera o nel Lussemburgo, ha visto in questi ultimi mesi lo sviluppo di un’offerta destinata ai cittadini, che scelgono ormai con implicazione e atteggiamento proattivo i dati che desiderano proteggere, rimanendo ben presto gli unici, grazie alle protezioni proposte a dei prezzi a minima, a potersi permettere dei processi negli Stati Uniti, poiché la maggioranza degli assicuratori assume gli oneri per avvocati ed esperti fino ad un milione di franchi svizzeri8.

L’avvenimento conclusivo del primo giorno: il lancio, da parte di Marco Essomba, Norman Frankel e Laurent Chrzanovski della 1° edizione di Cybersecurity Trends in lingua tedesca, la 5° lingua della rivista trimestrale gratuita di awareness.

L’equipe della Swiss Webacademy: Andreea Mihet, Marius Amza e Daniela Chrzanovski.

40


GIORNO 2: 8 DICEMBRE 2017L’allocuzione di Rosheen Awotar-

Mauree (Unione Internazionale delle Telecomunicazioni, Programme Officer presso l’Ufficio Europa), ha spiegato al pubblico le ragioni del sostegno della Agenzia al congresso di Porrentruy, ma ha soprattutto permesso di chiarire il ruolo leader di questa istituzione nel campo della Cyber-sicurezza, un’attribuzione

conferita nel 2007 dall’A.G. dell’ONU.In questo quadro, l’ITU ha sviluppato un framework per aiutare

gli Stati membri a sviluppare in continuazione le proprie capacità di resilienza e compila regolarmente il Global Cybersecurity Index, la cui ultima edizione è appena uscita9.

Questo indice, classificando gli Stati secondo la loro robustezza, è basato su un insieme di parametri di sicurezza digitale dei paesi, includendo non solo le attività degli attori pubblici, ma anche le iniziative di partenariato pubblico-privato, le formazioni e le capacità umane e tecniche.

Il primo invitato speciale, Christos Tsolkas (Vice-Presidente di Philip Morris International – PMI) ha saputo con il suo discorso introdurre perfettamente il pubblico nel cuore stesso del soggetto: la gestione umana di una crisi maggiore.

Brillante oratore, ha spiegato nei dettagli le due maggiori crisi che ha dovuto affrontare, in qualità di direttore di PMI Grecia quando la crisi economica è scoppiata, poi in quanto direttore di PMI Ucraina in pieno Euromaidan con i suoi corollari di violenze e con gli impiegati divisi sul soggetto. Passando in rivista numerosi avvenimenti drammatici di

ogni sorta – prendendo l’esempio del 2014 – a livello planetario, ha dimostrato che nessuno è al riparo e che la gestione di una crisi maggiore non ha che una sola soluzione: costruire delle formidabili equipe offrendo a ciascun impiegato la possibilità di svilupparsi sul piano personale e collettivo.

Ma, per riuscire questo, bisogna imparare a costruire una propria proposta all’interno del business-model di una impresa. Un discorso che deve avere una propria ragione di essere e che si trasmette ai propri collaboratori.

Bisogna ormai saper innovare in modo sistematico, al di sopra e aldilà degli spazi esistenti, collocando l’utilizzatore all’epicentro della propria riflessione (user-centered design). E’ in questo paradigma che risiede la migliore possibilità di resistere al peggio e, ancor meglio, di produrre rivolgimenti tanto positivi che inattesi.

L’invitato seguente non era altro che Costin Raiu (Direttore del Global Research and Analysis Team di Kaspersky Lab). Il celebre ricercatore ha passato in rivista le minacce persistenti (APT) del 2017 e i loro costanti mutamenti, ma anche le vulnerabilità che hanno permesso gli “ exploit” dell’anno e le più importanti “fughe”. L’aspetto più inquietante rivelato

in questa presentazione è lo sfruttamento sempre più polivalente di tutti gli elementi, come lo rileva il caso “Lazarus“, un gruppo specializzato nel cyber-spionaggio di punta e nelle tecniche di cyber-sabotaggio, che ha lanciato la propria “filiale’’, “Bluenoroff“, specializzata nella frode bancaria di levatura e le cryptocurrency mining.


41

Gli attacchi si fanno sempre più sofisticati, utilizzano innumerevoli mezzi di camuffamento per dissimulare i loro autori e soprattutto, sono sempre più vicini all’immagine di un camaleonte: un attacco che assomiglia ad una frode bancaria può di fatto nascondere una prodezza riuscita di spionaggio industriale o ancora, un attacco di tipo crypto-ransomware maschera un vero tsunami di malware destinati ad immobilizzare delle catene intere di produzione o di distribuzione.

A questo si aggiungono i gruppi specializzati nella propaganda e la contropropaganda specializzata, incitando il mondo politico e mediatico ad abbandonarsi ad attribuzioni frettolose, spesso statali. L’intossicazione e le “ false bandiere” sono così diventate uno degli scopi maggiori della cyber-criminalità di levatura, allo stesso modo delle consegne “ gratuite’’ di vulnerabilità o l’utilizzazione di programmi open-source, che confondono ancor più gli specialisti nelle loro ricerche sulle origini e sugli scopi perseguiti da tale o talaltra minaccia.

La moltiplicazione degli attori, le risorse in possesso dei gruppi più in avanti, l’utilizzazione volontaria dei leaks e lo spionaggio portato avanti con lo scopo della disruption del sistema finanziario sono in piena crescita, e bisogna aspettarsi ad un potenziamento di questi fenomeni nel prossimo anno, ha concluso Costin Raiu.

L’ultimo invitato speciale fu il Generale d’Armata (5S) (ret.) Marc Watin-Augouard (Fondatore del Forum Internazionale di Cyber-sicurezza). Con il brio che lo caratterizza, il Generale si è abbandonato ad una vera arringa in favore della rinascita di un’Europa sovrana, svelando l’aspetto più sconosciuto del GDPR: una vera arma diplomatica e commerciale che l’UE ha

finalmente in mano, dopo una lunghissima gestazione.In effetti, ormai, per poter commerciare con i Paesi dell’Unione,

i Paesi terzi devono ora armonizzare le proprie leggi al fine di rispettare questa normativa e garantire i diritti dei loro clienti e dei loro fornitori se questi ultimi sono europei.

Se l’Europa è forte, essa potrà servirsi del GDPR per andare molto più lontano, come imporre la localizzazione all’interno delle sue frontiere dei server che contengono dei dati inquadrati dal regolamento.

Ottimista, il generale considera che il GDPR è il primo strumento che permette infine all’UE di negoziare alla pari compreso con le grandi potenze, avendo finalmente delle norme precise ed obbligatorie per chiunque voglia fare affari con i suoi membri.

Mauro Vignati (Responsabile Cyber dei Servizi di Intelligence della Confederazione) ha brevemente spiegato la sua missione. Senza fornire molti dettagli, che il suo statuto non gli permette, ha comunque messo l’accento su un argomento chiave: con delle risorse umane in accordo alla taglia del Paese, la cooperazione internazionale rimane

la sola soluzione, allo stesso modo degli scambi automatici di informazione con gli attori principali del campo privato.

La sua priorità principale, in effetti, è di difendere la Svizzera ed i suoi interessi strategici in primis di fronte alle minacce permanenti più pericolose (APT e le loro mutazioni). Il lettore avido di più dettagli troverà uno stato della questione nei rapporti esaustivi di MELANI10, il cui secondo rapporto semestrale 2017 è atteso fra poco.

Il Col. Anton Rog (Direttore del Centro Cyberint del Servizio Romeno di Intelligence) ha incominciato descrivendo il modo di funzionamento della struttura che dirige con le sue priorità.

Sotto la sua direzione, il Cyberint ha preso una nuova dimensione, aprendosi a numerosi partner, al fine di rinforzare non solo il livello nazionale di resilienza, ma

anche di perfezionare le conoscenze dei membri delle sue equipe.Il Cyberint è stato così uno dei pilastri del Cydex, il primo esercizio

di crisi nazionale in materia di cyber-sicurezza, riunendo non meno di 60 entità pubbliche e private e analizzando le loro capacità di prevenzione, di allerta, di reazione e di collaborazione.

Il lancio di un master in collaborazione con l’Università Politecnica di Bucarest, così come l’organizzazione, con molti partner, del “Romania Cybersecurity Challenge’’, che ha visto affrontarsi delle squadre venute da tutta Europa, dimostrano così l’apertura del Servizio verso le altre istituzioni pubbliche, verso il settore privato e verso altri Stati, una componente rinforzata da 5 anni di collaborazione attiva del Cyberint (più di 5000 ore di lavoro annuali) in seno alla Cyber Coalizione dell’ OTAN.

42


Nicola Sotira (Presidente del Global Cybersecurity Center) ha dipinto un quadro impressionante - ed insieme preoccupante – della trasformazione digitale delle imprese verso le piattaforme mobili al servizio del cliente. Preso fra l’incudine ed il martello (i bisogni del marketing e la volontà dell’utilizzatore do beneficiare di interfacce semplici per

gli smartphone), il CISO deve saper essere, alla volta, tollerante, adattativo e in qualche sorta deve “salvare il salvabile’’ perché almeno, su un supporto così vulnerabile, le applicazioni fornite dall’impresa che difende, siano le più sicure possibili. Il discorso, carismatico, dell’oratore - che opera da vent’anni nel settore privato multinazionale ed in particolare italiano, non offre nessun’altra interpretazione plausibile sul futuro delle relazioni venditore-cliente, già a corto termine, quasi totalmente smartphone-oriented, con un aumento probabilmente esponenziale di questo mezzo dall’entrata in vigore della liberalizzazione totale delle transazioni bancarie (Normative PSD2) nel giugno 2018.

Le competenze dei SOC, dei CISO, dei CSO, devono evolvere rapidamente poiché tutto l’ecosistema di difesa e di resilienza dovrà essere al tanto delle vulnerabilità e dei punti deboli di ogni smartphone, ciò che moltiplica i rischi all’infinito in rapporto a quelli che conoscono, affrontano e combattono in modo “tradizionale” laptop e server.

Nicola Sotira conclude con una nota di ottimismo che non è legata all’ecosistema numerico specializzato, ma bensì… al cittadino, con una questione che è ben lontana dalla retorica: “Do you trust the figures that appear on your mobile phone’s display as much as you trust the money you have in your wallet?’’.

L’individuo lambda accetterà di non fidarsi che alle cifre che appariranno sul suo mobile, di abbandonare la moneta e le carte di credito, e di vedere ogni sorta di intruso venire a proporgli dei finanziamenti tanto attraenti quanto pericolosi non appena farà un ordine il cui montante supera i suoi mezzi?

Un secondo sguardo prospettico e altrettanto inquietante è stato presentato da Mika Lauhde (CEO, 65° Security, Finlandia). Membro di tutti gli stakeholder groups che contano in UE (Enisa, Europol, EC ecc.), l’oratore ha voluto ponderare un certo numero di espressioni di allegrezza continentale la cui innocenza è sorprendente. NIS, GDPR ed altre

normative sono, certo, dei passi in avanti che l’autore non contesta – ed ai quali ha contribuito quale membro delle organizzazioni che le hanno proposte – ma incita a non mischiare “buon grano e loglio’’.

L’Europa, benché rinforzata giuridicamente, ha già perso tutte le battaglie tecnologiche, ciò che rende quasi legittimo il fatto di chiedersi se il GDPR potrà migliorare l’intimità dei suoi propri concittadini.

Mika Lauhde, erigendo un parallelo fra le forze presenti, constata semplicemente che di fronte al GDPR dell’UE si trova (almeno) una grande potenza che accumula la padronanza (ed una messa in opera già effettuata da lungo tempo) dei suoi propri sistemi di operazione attraverso computer, dei suoi propri standard di sistemi operativi in materia di smartphone, dei suoi propri standard in materia di cyber-sicurezza, dei suoi propri certificati obbligatori, delle sue proprie manifatture di microprocessori, delle sue proprie applicazioni di controllo di smartphone e dei suoi propri sistemi di controllo delle reti sociali. Altrettanti elementi utilizzati da ogni cittadino europeo ma sfruttabili da multinazionali e governi terzi senza alcun limite.

Peggio ancora, l’oratore sottolinea un certo numero di ricerche di punta europee (in criptaggio, trasmissioni, sistemi specifici) che per mancanza di sbocchi coerenti sono state comperate e adottate da grandi potenze nel campo civile ma anche fin nel campo dell’aeronautica militare di avanguardia. Mika Lauhde non può che concludere che trascorsa la fase “legiferante’’, l’UE deve ormai ridiventare padrona di un certo numero di strumenti di base delle tecnologie utilizzate da chiunque, se vuole sopravvivere nel mondo di domani altrimenti che nel ruolo di consumatore passivo.

La mattinata si è conclusa con un ultimo elemento, instabile per natura e riguardante pienamente la sicurezza, che deve ormai

tenerne conto: il riscaldamento climatico. La presentazione di S.E. Abdallah

Mokssit (Segretario Generale del Pannello Intergovernativo sul Cambiamento -IPCC) chiamato all’ultimo momento a recarsi ad un summit all’estero, è stata tenuta dal Dr. Stephen Foremann (WMO). Questa allocuzione ha rappresentato il punto culminante dell’elemento di


43

rottura desiderato dagli organizzatori del congresso. In effetti, fenomeni metereologici di una rara intensità – per non dire violenza – indotti da un riscaldamento climatico, sono un fattore perturbante maggiore in un mondo iperconnesso poiché possono, sia interrompere delle trasmissioni o delle reti “energetiche, che distruggere delle infrastrutture critiche.

I punti messi in avanti nella presentazione di S.E. Mokssit, una “première’’ dopo la loro consegna durante l’ultima seduta governativa COP, mostrano le conseguenze dirette dei cambiamenti climatici: problemi di povertà e di alimentazione da cui deriva l’intensificazione dei fenomeni migratori e rischi importanti di inondazioni di zone sempre più vaste. Peggio ancora, è negli studi globali dell’IPCC che risiede il problema della sicurezza: la percezione della responsabilità umana riguardante la propria contribuzione al cambiamento drammatico in corso è molto variabile. Ora, se la responsabilità di questo nuovo dato, sui ghiacciai, gli oceani, le piogge, incomincia ad essere integrata ed accettata a livello mondiale, non è di gran lunga il caso per ciò che riguarda l’impatto di tutti questi stessi aspetti metereologici, sulla salute, la qualità della vita e soprattutto… la sicurezza. Da qui, il finale, in forma affermativa, della presentazione dell’IPCC - sia chiaro che esauriente - “ Oui, le changement climatique est aussi un danger majeur pour la cyber-securité “.

Un punto di vista in più – e che punto di vista! – da aggiungere a quelli di Arthur Lazar ed altri oratori che hanno insistito sul fatto che la nostra vita (e la nostra sicurezza) fisica e digitale sono ormai indissociabili.

Margherita Natali (Legal Support to the Division of Information Technologies, Infrastructure Service Section, International Atomic Energy Agency - IAEA) ha offerto al pubblico una delle presentazioni più realistiche che abbiamo ascoltato finora sul tema dell’intercettazione delle comunicazioni dei gruppi di criminalità organizzata.

Quali metodi, quali risultati, quali responsabili e soprattutto … quale è la legalità di tali pratiche?

L’approccio pragmatico del mondo d’oggi, permette in effetti di parlare senza tabù e di pensare secondo gli obiettivi da raggiungere. Nel quadro del cyber-potere che raggiunge ed ingloba i poteri tradizionali, secondo l’oratrice, la governance, sostituisce progressivamente la sovranità e le multinazionali più gli individui possono rivaleggiare con gli Stati-Nazione “attori del sistema westphaliano’’. É così che Stati, multinazionali e criminali hanno i loro propri strumenti professionali di intelligence sul net, i loro propri mezzi di comunicazione, e che la compromissione di questi ultimi genera sia delle brecce a forte impatto economico che dei buoni esiti nella lotta contro la criminalità. In questo quadro, nessuno dovrebbe sfuggire al dovere di contribuire, al suo livello, alla prevenzione e alla lotta contro le azioni criminali, grazie ad una comunicazione rinforzata fra tutti gli attori.

Per spiegare concretamente il suo ragionamento Margherita Natali ha fornito l’esempio degli “Internet Relay Chat Channels” (IRC), che hanno la tendenza a soppiantare le reti sociali per certi tipi di conversazione.

Ora, queste reti si rivelano talvolta come delle belle truffe (“l’anonimato’’ garantito poi rivenduto a terzi), talaltra come dei mezzi utili per far perdere ogni traccia di sé, qualunque sia lo scopo ricercato – legale od illegale.

In questo ambiente che utilizza il Deep Web (Tor in particolare), si ritrovano sempre più cittadini ed attori economici di rilievo, il cui ruolo potrebbe giustamente essere quello di far filtrare delle comunicazioni “dubbie’’, renderle pubbliche, al fine di permettere in seguito di costruire un deep web più trasparente.

In effetti, la posta nella lotta contro la criminalità è che questi IRC sfuggono ad ogni legislazione, possono essere degli strumenti al servizio di certe forme di anarchia e di corruzione in detrimento di tutti gli accordi internazionali e dei quadri nazionali.

Così, se gli attori del web – dalle multinazionali ai cittadini, dalle istituzioni dell’ONU ai Governi - potessero pervenire a formare un nuovo “sistema westphaliano’’, quest’ultimo sarebbe l’unico a presentare tutte le garanzie di neutralità, di equità e di legalità

44


permettendo di mettere in opera progressivamente dei progetti destinati al bene comune.

Marco Essomba (CEO, iCyber-Security, Reading), nel suo speech “Full Stack Cyber-security Defence”, ha insistito sulla necessità di riformare in profondità l’organigramma ed il modo di funzionamento delle grandi imprese e delle industrie.

Secondo l’oratore – laureato 2017 del premio UK CyberSecurity Industry Presonality of the year - si ha oggi una segmentazione

drammatica del trattamento delle poste di sicurezza in sette campi maggiori, senza che nessuno sia capace di dominarne almeno due, ciò che porta anche le imprese più avanzate nelle loro capacità di cyber-sicurezza a cadere in trappole o a mal parare degli attacchi per i quali esse sono tuttavia perfettamente equipaggiate in mezzi umani e tecnologici.

Secondo l’oratore, solo una visione olistica della leadership, accompagnata e consigliata in ogni tempo da un ufficiale della sicurezza con larga apertura di spirito, può cambiar la posta. Questa visione si basa soprattutto su addestramenti congiunti e inter-dipartimentali, vitali per far fronte a degli attacchi sempre più sofisticati e che prendono di mira tutte le procedure di una impresa, dalla finanza ai mezzi di produzione, e dove la componente umana è la più vulnerabile di tutti.

E’ assolutamente vitale, in questi “ 7 livelli” della difesa, avere delle equipe motivate da direttori di una nuova generazione, in particolare fra gli ingegneri, che dominino, poi spieghino agli altri, almeno 3 dei 7 livelli – o strati -, facendo così il ponte necessario con gli specialisti degli altri livelli ed i professionisti di nicchia il cui solo obiettivo è di essere i migliori nell’ambito che è loro affidato.

Olivier Kempf (Esperto in sicurezza, membro dell’IRIS e della Cattedra Saint-Cyr SOGETI Thales di Cyber-difesa), ha esposto la sua visione a proposito di due elementi che stanno sconvolgendo profondamente le nostre società e che, se sono mal gestiti, sono fatti per affrontarsi: da un lato, la cyber-difesa, e dall’altro, l’accelerazione esponenziale della trasformazione digitale.

La cyber-difesa è dapprima un affare di protezione delle reti (cyber-sicurezza). Essa comporta altre funzioni classiche, più aggressive

(sorvegliare, influenzare, sabotare). Essa si riposa sulla padronanza delle reti, dei dati e dei flussi, ciò che passa spesso attraverso un contingentamento di questi stessi e attraverso delle restrizioni di utilizzazione, che si tratti di igiene informatica o di dispositivi con più sicurezza, induriti in funzione dell’informazione manipolata. Detto in altro modo, la cyber-sicurezza ha

tendenza a restringere le possibilità di accesso.D’altro canto, secondo l’oratore, si assiste al contrario, ad

una rivoluzione numerica, designata spesso dalla nozione di trasformazione digitale. Quest’ultima riposa sull’attenzione agli utilizzatori, una ultramobilità, degli usi decentralizzati, dei metodi agili di sviluppo dei prodotti.

Al di là di questa ultra-mobilità, la sfida sottostante è quella dei dati, il cui numero, già enorme crescerà con proporzioni insospettate, sia a causa di nuovi usi, sia attraverso l’internet degli oggetti. Il data è l’energia del XXI secolo, la fonte della ricchezza e della potenza di domani. Dall’infocloud alla blockchain, dai Big Data all’intelligenza artificiale, si assiste ad una specie di corsa di velocità che costituisce una nuova rivoluzione informatica. Quest’ultima si basa su una moltiplicazione dei flussi e degli scambi di dati e quindi una liberazione degli usi e permessi di accesso, nelle imprese private come nelle organizzazioni pubbliche.

I due movimenti appaiono contradditori (restrizione o liberazione?). Per Olivier Kempf, il primo è necessario, il secondo ineluttabile. Bisognerà quindi portarli avanti entrambi, frontalmente.

Illustrando perfettamente i propositi dell’oratore precedente, Pascal Buchner (Direttore ITS & CIO, International Air Transport Association - IATA) ha descritto dapprima come funziona uno degli ecosistemi più complessi in assoluto: il mondo dell’aviazione civile, che lavora in “silo’’ ed è vulnerabile in una molteplicità di punti in funzione del livello di resilienza di

una struttura data e delle capacità offensive dell’aggressore. Come ha sottolineato l’oratore, anche se, idealmente, questo

settore potrebbe avere più mezzi per accertare la sua sicurezza,


45

là dove “il dente duole’’, è ancora e sempre nel fattore umano, la complessità dei processi di decisione e, peggio, nelle nicchie di settore o territoriali in cui la predisposizione alla collaborazione non è ancora e di gran lunga acquisita. Come esempio, Pascal Buchner, ha dato le cifre dell’ISAC, la struttura di cyber-sicurezza ad hoc creata da alcuni giganti americani quali Boeing, GE ed altri (raggiunta dalla IATA nel 2015, che spinge i suoi membri a farne parte), che dissemina in tempo reale le informazioni, le vulnerabilità e le buone pratiche: solo 46 compagnie aeree vi hanno aderito, raggiunte da una ventina di centri OEM, parecchi fornitori di servizi, aeroporti e catene di approvvigionamento. É una buona base, ma di gran lunga insufficiente a causa della ripartizione geografica dei centri (in grande maggioranza situati nell’America del Nord, l’Europa dell’Ovest, l’Australia e l’Asia del Sud-Est), il numero delle compagnie aeree e di aeroporti presenti su scala mondiale e l’espansione costante del mercato.

Le priorità della IATA, oltre a portare rapidamente il più gran numero degli attori a far parte di centri di cyber-sicurezza, è di creare dei ponti fra le grandi regioni geostrategiche ed i differenti settori che non hanno vocazione a comunicare facilmente fra loro per delle molteplici ragioni. É ugualmente urgente di mettere fine alla nascita di innumerevoli iniziative parallele portate avanti da diversi regolatori, e di stabilire degli standard che permettano di assicurare la confidenzialità degli scambi di dati sensibili quali i dati di volo ma non solo. Per esempio, la IATA ha sviluppato un vero “war game”, una simulazione di crisi totale della durata di 1h45’ che può essere utilizzata come modello per qualsiasi membro che lo desideri.

Lo scenario? Il peggiore possibile: un nemico più che talentoso ha infiltrato con successo sia gli aerei che i loro produttori, implicando un evento concernente l’insieme degli attori, ciò che richiede una coordinazione immediata, degli scambi e condivisioni di informazioni senza dilazioni, al fine di rimediarvi. Questa simulazione si è rivelata eccellente per riflettere a posteriori sulla fluidificazione dei procedimenti, le ragioni delle discordanze nella cooperazione o nella comunicazione, e per definire per il futuro i ruoli e le responsabilità di ciascuno in caso di crisi.

Il cammino verso una difesa pro-attiva è lungo a causa delle reticenze verso una collaborazione costante, e non a causa di procedimenti complessi. L’oratore lo ha sottolineato parecchie volte; il framework difensivo ottimale proposto è semplice ma deve

essere messo in opera con costanza e rigore. Il pilastro fondamentale che deve accompagnare ogni impiegato delle imprese del settore lungo la loro carriera è e resta la formazione continua alla sicurezza, un elemento sostenuto da controlli umani e informatici più regolari e sistematici e che utilizzano le ultime tecnologie in materia.

Come si è potuto osservare durante tutto il discorso di Pascal Buchner, non è il momento di drammatizzare, ma di utilizzare tutti i mezzi possibili che permettano di far comprendere a tutti gli attori, come negli altri settori, che una vera collaborazione, degli scambi in tempo reale, una vera “unione sacra” trans-settoriale e internazionale è l’unica chiave possibile per rispondere efficacemente ad un attacco di punta, il giorno in cui questo sopraggiungerà.

Il Col. Xavier Guimard (Vice Direttore del STSISI –Servizio delle tecnologie e dei sistemi d’informazione della sicurezza interna presso il quartier generale della Gendarmeria Nazionale) ci ha fatto partecipi delle sue ricerche sulle strategie da adottare di fronte alla criminalità informatica. Analizzando più di 10 anni fa le capacità umane ed il tempo che

avevano a disposizione i criminali, lo STISI è riuscito a mettere in atto i suoi propri sistemi informatici, più di un centinaio di migliaio di telefoni mobili crittati, un API e uno JAM autonomi e fatti su misura. Ma, nell’ottica dell’oratore, stanco dell’utilizzazione a tutto campo della parola “strategia” utilizzata nelle comunicazioni odierne, un vero stratega deve anticipare, costruire, adattarsi prima di essere minacciato. É una scienza e non una teoria che deve dare origine ad un foglio di via, un errore che fanno numerose istituzioni.

46


Il vantaggio di una buona strategia è di riuscire ad uscire dalle gogne e di adottare dei concetti di disruption per difendersi meglio e contrattaccare. Per il Col. Guimard, la chiave di volta del sistema è il suo architetto, la cui apertura di spirito gli permette di creare un insieme difendibile dai responsabili tecnici. Così, non c’è più bisogno del “CISO”: ogni ufficiale è un CISO e aiuta in ogni momento il CIO che diventa responsabile-in-capo della sicurezza.

Con un uso intenso dell’open-source e del concetto “all in the browser’’, degli ingegneri con talento ed un rinforzo massiccio delle attitudini e delle capacità umane, la strategia di cui parla l’oratore, messa in atto a livello nazionale dalla Gendarmeria, non è forse “vendibile’’ ad una impresa concorrente, ma in ogni caso ha fatto le sue prove per assicurare la difesa dello Stato.

Lo speech del Col. Marc-Andrée Ryter (Collaboratore per la Dottrina in seno allo Stato-Maggiore dell’Armata Svizzera), ha concluso idealmente il congresso. Dopo la sua presentazione data nella prima giornata, dedicata alla posta in gioco della modernizzazione delle Forze Armate all’ora del “4.0’’, il Col. Ryter ha dipinto un quadro così sorprendente che raro da parte di

un militare: si, le strutture civili e le armate sono esposte agli stessi rischi. I due settori collaborano, parecchi sistemi ed applicazioni identiche vi sono utilizzate e numerosi progressi tecnologici civili hanno anche degli sbocchi militari.

Tutto questo sullo sfondo del ritmo sfrenato dell’innovazione, le costrizioni di bilancio ed una competizione ormai globale. La ripetizione, con delle scadenze, inedite finora, dei cicli di innovazione, delle somme messe in gioco nel campo dello sviluppo tecnologico, i nuovi campi di applicazione delle tecnologie polivalenti o convergenti (come l’A.I.), ma anche l’ambiente (sociale e meteorologico) sono altrettanti fattori che sono difficili e tuttavia fondamentali da comprendere.

Ad ogni nuova opportunità corrisponde al meno un nuovo rischio o perlomeno la crescita, qualche volta esponenziale, delle vulnerabilità e dei pericoli esistenti. Infine, nel cyber-spazio, le azioni ostili sono quasi tutte ibride: esse ledono sia il settore civile che le forze armate, spesso come preludio o come accompagnamento di operazioni convenzionali di ben più grande ampiezza. In questo quadro, dei danni ad un sistema nazionale hanno degli

impatti che possono mettere i pericolo tutti i mezzi esistenziali di approvvigionamento della popolazione, ancor prima di causare delle perdite o dei danni critici nei ranghi delle forze armate.

Questa presentazione, ben al di là dei dati esposti, dimostra a che punto i due mondi (civile e militare) non possono più ignorarsi e devono collaborare per rinforzare la resilienza dell’ecosistema comune. La dottrina e le tendenze osservate con la lente di ingrandimento dalle forze armate possono, per esempio, essere riprese e trasposte come metodo di pensiero e di ragionamento in seno ad una impresa, ciò che l’aiuterà grandemente ad accrescere la sua resilienza, mentre i risultati dei test sulle nuove tecnologie messe in opera nel privato, possono aiutare la riflessione dell’armata nei suoi processi di definizione di una modernizzazione riuscita e messa in sicurezza. �

1 Testo originale in francese : http://www.vtg.admin.ch/en/media/publikationen/military-power-revue.html ; tradotto in esclusività in Cybersecurity Trends Editie Romana 3/2017 e Deutsche Ausgabe 1/2017, prossimamentenell’edizioneitaliana 2018/1.

2 cf. A. Vautravers, Cybersécurité pour Genève, in Cybersecurity Trends Edition Suisse 2017/2

3 Cf. The consequences of a poorlyunderstood and poorlymanagedcybersecurity: a system thatdeviatsefromitsowndutiesdestined for implosion ! VIP Interview with Marc German, Cybersecurity Trends Editie Romana 3/2017, English Edition 3/2017, EdizioneItaliana 4/2017

4 Cf. in complemento : Challenges and threats in cybersecurityseenfrom a top riskmnager’s point of view. VIP interview with Jean-Luc HABERMACHER, in Cybersecurity Trends Editie Romana 3/ 2017, English Edition 2/2017, EdizioneItaliana 4/ 2017, Deutsche Ausgabe 1/2017

5 cf. dellostessoautore ‘’ Automobiles et IoT : liaisons dangereuses ’’, in Cybersecurity Trends Editie Romana 4/2016 , Edition Suisse 2/2018 , English Edition 2/2017, EdizioneItaliana 1/2017, Deutsche Ausgabe 1/2017

6 cf. Sicurezza, ma anche comunicazione, comprensionedellatecnologia e possibili trends nelmondocorporate e nelleorganizzazioniinternazionali. Un’intervistaesclusiva con Luca Tenzi, in Cybersecuriti Trends, Editie Romana 2016/1, EdizioneItalia 2017/1

7 cf. A.Lazar, Cyberpower, a viewinto future power, pubblicato in Cybersecurity Trends : Editie Romana 2/2017, English Edition 2/2017, EdizioneItaliana 3/2017

8 Cybersecurity Trends Editie Romana 4/2017, English Edition 3/2017, EdizioneItaliana 4/2017, Deutsche Ausgabe 1/2017

9 https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf10 https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-

sur-la-situation/rapport-semestriel-2017-1.html


47

I co-organizzatori (Laurent Chrzanovski, Jean-Jacques Wagner, Luca Tenzi), la cui emozione era palpabile, hanno in seguito concluso il congresso congedandosi dagli oratori e dal pubblico, ringraziandoli per una “première’’ nella quale

il numero dei temi abbordati ed i risultati ottenuti sia dai contenuti offerti dagli speaker che dalle discussioni informali, continueranno a nutrire le riflessioni di tutti.

Disclaimer : © Ce livre blanc a été rédigé par Laurent Chrzanovski et n’engage que son auteur.

rCentral Folder - Cybersecurity Trends · loro partenariato ed il loro supporto. Ma, ben più della...

Documents

Transcript of rCentral Folder - Cybersecurity Trends · loro partenariato ed il loro supporto. Ma, ben più della...