L’INTERVISTA: a scuola di Cybersecurity con Fabrizio Cilli, CISO di Open Fiber

4 Luglio 2022

D:[Cosa è e che compiti ha il CISO ?]

R: Come responsabile della sicurezza delle informazioni, ha il compito di supervisionare, in un’ottica di governance “partecipata”, le finalità di protezione dei dati, dei sistemi, e delle persone in azienda.

È una figura che definirei di “Junior C-Level”, che ha in più, rispetto all’ IT Security Manager di un tempo, Visione, aderenza e competenza economica sul business in cui opera ed anche, preferibilmente, esperienze dirette in ambienti complessi e critici, maturata nel corso di precedenti esperienze lavorative.

Il CISO ha tipicamente caratteristiche innovative, con forte technical leadership, e ha il compito anche di creare un ponte culturale e comunicativo verso i top level executives e gli stakeholders.

D: [Cosa vuol dire Cyber security per una grande azienda ? e per una PMI ?]

R: A fine anni ‘90 il “distributed computing” ha portato ad un problema sostanziale: dovevamo amministrare l’accesso di tantissimi utenti, alle risorse informatiche che sempre più erano a loro disposizione. In cybersecurity siamo tutti stati amministratori di sistema almeno una volta.

Questo per indicare come, da quegli anni, si è poi passati al periodo storico della “ICT Security” nelle aziende, la definizione con cui abbiamo coperto le nostre nuove attività, e contromisure negli anni 2000, spesso risiedendo all’interno della stessa area che la security doveva controllare.

Prima di allora la Security Aziendale era primariamente la sicurezza “fisica” (difensiva) e degli accessi (perimetrale ma non digitale).

Oggi viviamo in una trama informatica complessa fatta di strumenti, processi e professioni, che costituiscono quello che mi piace definire il “Cybersecurity “Mesh” (trama), l’insieme di tecnologie al servizio del digitale, che garantiscono la difesa della vita civile dentro e fuori l’azienda, nel quinto dominio, quello cibernetico. Questo termine viene spesso abusato e mal interpretato e quindi lo possiamo definire come “l’insieme di attività civili e militari, che nel metaverso, o su internet, garantiscono pace, fruizione e funzionalità, equilibrio, a tutti i cittadini del pianeta.

La Cybersecurity è quindi tutto questo: eredità dei primi rudimentali e perimetrati processi di protezione dei dati, che oggi permea la gestione del rischio, la continuità operativa, la privacy e l’identità digitale. Il tutto, ovviamente, rispettando forti regole di “compliance”.

Se questa è la doverosa premessa, arrivando al punto della grande azienda e della PMI, direi che per le imprese, che sono ecosistemi al pari delle famiglie e delle istituzioni, questo diventa un confine da conoscere e proteggere. Ecco perché si parla di “postura” cyber: come ci si pone, rispetto all’ecosistema digitale in termini di sicurezza?

Le PMI, sono un tesoro di sperimentazione opensource, e allo stesso tempo, un tesoro da difendere. Le PMI, come le istituzioni locali di ogni genere, soprattutto se a bassa profittabilità, devono essere aiutate, informate e supportate da chi può scalare più agilmente tale problematica, in un futuro prossimo fatto di cooperazione pubblico-privato.

Siamo tutti immersi in un contesto di minacce cyber ibride. Non dobbiamo lasciare che le PMI ed i piccoli enti, diventino, o restino, le “entrate posteriori” (backdoor) favorite degli attaccanti: supportiamo una supply chain reciprocamente  sicura, inclusiva e che scambia informazioni proattivamente, verso uno scopo comune.

D: [Quale è l’impatto economico ed organizzativo relativo alla cyber security.]

R: Gli impatti di una scarsa considerazione di questa “trama digitale”, e della cybersecurity che ne assicura il funzionamento, sono equivalenti a quelli di una pandemia mal gestita, o non gestita. Paragone molto forte ma non provocatorio: molto spesso, infatti, le “infezioni” da malware, worm o virus (andando indietro nel tempo) sono state paragonate, e da noi gestite, come vere e proprie propagazioni di codice infetto (ed infettivo, nel caso del malware pro-ransomware).

Questo significa che ovunque la maturità e la postura siano basse, la trama si allenta e le minacce trapelano, di fatto danneggiando i processi alla base dell’economia aziendale; danni subiti a diverso titolo, con diversa entità ed impatto, ma comunque economici.

D: [Ci parli della Sicurezza logica delle infrastrutture critiche]

R: È chiaro che dovendo vivere immerse in un contesto inevitabilmente digitale, le aziende che realizzano e gestiscono infrastrutture critiche, come l’azienda per cui ho l’onore di lavorare, ormai modernamente organizzate con tecnologie più o meno distribuite o anche di recente creazione, devono essere preparate.

Le recenti iniziative pubbliche in materia, sia italiane che europee, sono la più chiara dimostrazione di una presa di coscienza e testimonianza: la Cybersecurity delle infrastrutture critiche è un tema di tutti e per tutti.

Viene battezzata infrastruttura critica ogni impresa o ente, che contribuisce al vivere civile: per questo, in questi casi, dico che la cybersecurity diventa “everyone’s business”.

D: [Quali sono le minacce più importanti]

R: Beh la risposta, se la domanda è posta al CISO, è: quelle che scalano la classifica di diffusione, e gravità, e creano maggiore impatto.

Se la domanda fosse posta ad uno specialista operativo che combatte attivamente le minacce informatiche più gravi, probabilmente direbbe che sono di due tipi: quelle più profonde, incastonate in vecchi firmware o vecchio linguaggio macchina, oppure erroneamente inserite in un nuovo chip, perché non immaginate nel percorso funzionale del prodotto; poi ci sono quelle più subdole e periferiche, quali le botnet con milioni, se non miliardi di sistemi dormienti, pronti a scatenare enormi danni proprio perché distribuite.

Nel contesto cyber, il primo esempio è quello che consente la “trasformazione in arma” (weaponization) di un malware come StuxNet o l’insorgenza di vulnerabilità come SPECTRE, nonché intercettazione illegale; il secondo esempio è invece quello delle grandi “interruzioni di servizio” (DDoS – Distributed Denial of Service), che ci hanno impedito recentemente di utilizzare i social, ed in alcuni casi persino internet.

Per un’infrastruttura critica questi sono motivi di protezione, ma non solo, anche di indagine; parleremo forse più avanti del tema della cyber intelligence.

Per un’azienda o una PMI, una minaccia del genere, sfruttata con pazienza, nella modalità che viene detta in slang “low and slow” (basso profilo e pazienza), può significare l’interruzione o anche la fine, dell’operatività dell’azienda.

Mi viene da dire come davanti le porte della metropolitana di Londra: “Mind The Gap!”.

D: [In un recente convegno organizzato da OGI la vice presidente dell’Agenzia per la Sicurezza Nazionale ha detto che il loro compito è aumentare la capacità di cyber sicurezza del paese. Sei d’accordo?]

R: Completamente d’accordo, e grato, aggiungerei. Parlare di questi temi in modo competente e diffuso è il primo contributo alla lotta contro l’asimmetria informativa, di cui spesso ci si giova.

Il nemico pubblico numero uno delle “Cybersecurity Operations” è l’oscurità, la mancanza di cooperazione, e conseguenza delle due, la mancanza di tempismo nella prevenzione e nella risposta.

Sono fortunato spettatore di un momento storico, in cui la mia passione lavorativa di gioventù, diventa uno dei pilastri del vivere civile.

Sono orgoglioso di dare un contributo e credo anche che costruire una sana e forte “costituente” (Constituency), pubblica e privata indistintamente, a livello nazionale, sia il modo migliore di esporre e ridurre i crimini informatici che più ci affliggono negli ultimi anni.

La mancanza di scambio di informazioni relative alla cyber intelligence, favorisce chi sfrutta in silenzio le vulnerabilità meno note. Io proporrei persino passi più decisi verso lo scambio di informazioni operative, che mi auguro sempre più semplice in futuro.

C’è molto lavoro da fare, e serve la passione ed il contributo di tutti gli esperti. Non ho mai visto un generale, vincere un confronto in battaglia solo contro l’esercito nemico. Siamo una squadra, molto grande, ma siamo una squadra sola, quando si parla di interesse nazionale.

D: [Pensi che l’Italia debba aumentare la propria autonomia tecnologica in ambito cyber ?]

R: Lo penso nei termini di favorire le PMI Cyber con un flusso costante e sano di investimenti, e le grandi Enterprise con aree dedicate alla ricerca, banale o complessa che sia.

Lo penso perché ho vissuto e visto sudore e sangue per lo sviluppo di prodotti “nostri”, innovazione e creatività di decine di ingegneri e manager, sciogliere, come neve al sole, magari per un solo accordo mancato. Miopia, non posso desiderarla per il nostro Paese.

Sono fermamente convinto che per “fare propria” una disciplina, soprattutto STEM, ci voglia esperienza empirica, e faccio una semplice domanda a tutti i nerd di ieri, oggi in posizioni di leadership in questo settore, e chiedo: “ma non siamo stufi, di usare componenti software core di terze parti, senza neanche sapere come li hanno creati? Con quali scorciatoie? Con quali elementi rubati all’open source? O con quali soluzioni non ottimali, ma che una volta compilate, non possiamo migliorare?”

Possiamo, fare, meglio: lo so, l’ho toccato con mano, ho contribuito a provarci.

Penso che aumentare la nostra autonomia sarà semplicemente una conseguenza, se scegliamo la strada giusta e se impariamo a bilanciare profitto ed innovazione, come, e mi ripeto, so che si può fare.

D: [Quanto conta la formazione alla cyber sicurezza del personale non specialistico all’interno delle aziende ?]

R: Tanto quanto quella sulla Safety e sulla sicurezza fisica. Non manderemmo mai un nostro collega e collaboratore a fare qualcosa che lo potrebbe mettere in pericolo. Allo stesso tempo impariamo che nell’organizzazione aziendale è importante sapere chi è deputato a fare cosa in caso di emergenza.

È esattamente la stessa cosa con quella che chiamiamo “Cybersecurity Awareness” (Corsi sulla Consapevolezza Cibernetica), è importante considerarli parte della formazione al dipendente sulla sicurezza.

È importante tanto quanto le istruzioni per la sanificazione durante una pandemia. Devono essere visibili, accessibili, e possibilmente fornite a tutti.

D: [Che ne pensi della recente vicenda dell’attacco hacker e del messaggio degli stessi hacker filorussi Killnet alla CSIRT italiano  (Computer Security Incident Response Team Italia) “Eccellenti specialisti, non siamo riusciti a colpirvi”]

R: Una domanda controversa per una vicenda controversa. Nel mio personale percorso, all’interno della tematica che ho chiamato “cyber intelligence”, ho imparato a non dare giudizi affrettati su casi complessi o controversi, finché tutte le informazioni in mio possesso mi consentano di parlare. Ma non è questa la mia risposta, naturalmente.

Diciamo che, mentre per un caso come quello dei coniugi Occhionero (https://www.alessioporcu.it/articoli/occhionero-spionaggio-sentenza-condanna/) è possibile intraprendere un percorso processuale che poggia su indagini dirette, nei casi come quello di cui alla domanda invece, nasce un altro problema: quello dell’attribuzione (Crime Attribution).

Le indagini nello spazio cibernetico, o nel metaverso, sono nell’80/90% indirette o derivate, e nel 70/80% cifrate e intenzionalmente deviate verso quelle che si chiamano “False Flags” (falsi indizi).

Nei casi di “Distributed denial”, una delle minacce più impattanti che ho citato prima, come sembra essere in questo caso, attribuire ogni singolo attacco durante la giornata in questione, ad un singolo team, è già di per sé complesso. Non impossibile, semplicemente complesso.

E allora dico: gli slogan, sono solo slogan. Le dichiarazioni, sono dichiarazioni.

Invece focalizziamoci sulle azioni svolte dai “bersagli” di quei giorni. Sulla scelta di avere o non avere quelle contromisure in campo, che hanno contribuito a fermare gli attacchi: ogni risposta messa in atto da colleghi operanti in ognuno di quei target, e tutte le comunicazioni e gli scambi che intercorrono in questi casi tra CNAIPIC, CSIRT Nazionale, ed i vari Security Operations Centers (SOC) impattati, che hanno portato a torto o a ragione a fermare o rallentare gli attacchi, quelli sono degni di nota.

Il resto è propaganda.

Questo è ciò che la cybersecurity oggi deve affrontare, ed anticipare: https://techcrunch.com/2022/06/18/microsoft-and-meta-join-google-in-using-ai-to-help-run-their-data-centers/. Mentre naturalmente continuiamo a migliorare rispetto alle tecnologie correnti.

La prossima grande sfida è difendersi da intelligence artificiali che scrivono il software, invece di difendersi da un collega sviluppatore che ha fatto un potenziale errore.

E in tal senso mi viene una battuta, se mi è consentita un pizzico di ilarità, indipendentemente dal fatto che il dipendente Google abbia o meno svelato la prima intelligenza generale autonoma: “Con il collega sviluppatore ci parlo io, con l’AI, ci parlate voi?”

Redazione di Open Gate

Condividi questo articolo:
Open Gate Italia Srl | Via Cesare Beccaria 23, 00196 Rome | VAT IT09992661000 | REA RM-1202504 | authorized capital 111.111,00€
Developed by Thinknow