Economia della scena del crimine

Gli esperti sono d'accordo: la cybersicurezza deve essere massicciamente migliorata sotto molti aspetti. Solo in Svizzera, ci sono migliaia di sistemi vulnerabili conosciuti - dalle macchine controllate a distanza con interfacce aperte ai fornitori di servizi finanziari che non hanno equipaggiato i loro sistemi operativi con gli ultimi aggiornamenti di sicurezza. Nicolas Mayencourt della Dreamlab Technologies AG l'ha già sottolineato in occasione delle Giornate svizzere della sicurezza informatica, che hanno avuto luogo il 27/28 febbraio a Friburgo. Durante la giornata della qualità svizzera, parlerà della sicurezza informatica globale e locale. E può fornire cifre impressionanti: "Le prime 10 aziende di Internet fanno 500 miliardi di dollari di profitto all'anno. I profitti del narcotraffico sono stimati a 750 miliardi di dollari all'anno. Il crimine informatico 'guadagna' 1500 miliardi, tre volte di più di quelle compagnie internet con tutti i loro bei prodotti". In breve: il crimine informatico è davvero un fattore economico, anche se dalla parte "sbagliata".

Crimine ben organizzato
Nicolas Mayencourt è in realtà un hacker. Lui, o meglio la sua società Dreamlab Technologies AG, penetra nei sistemi informatici stranieri. Tuttavia, Nicolas Mayencourt incarna il "lato buono" e testa i sistemi per la loro sicurezza con i suoi hack. E questa sicurezza non è la stessa ovunque. Ma chi sono le persone che sfruttano queste lacune di sicurezza per attività criminali? Cosa cercano? "Di solito i soldi", dice Nicolas Mayencourt. Distingue tra diversi tipi di criminali informatici. Prima di tutto, c'è il cyber-attivista. "Sviluppa attività criminali per vari motivi. Tra questi vi sono i cosiddetti web deface- ments, cioè la modifica non autorizzata di siti web, ad esempio con messaggi politici rilevanti. Questo è quello che abbiamo sperimentato nel periodo precedente all'iniziativa dei minareti o nel 2017, per esempio". È molto diverso per coloro che semplicemente si introducono nei sistemi informatici di altre persone e li scansionano per ottenere informazioni utilizzabili. Con tali informazioni - dati di carte di credito, identità internet, indirizzi IP "aperti", profili di social media trapelati e altro ancora - le reti simili alla mafia fanno un sacco di soldi sulla darknet, per esempio.

"Queste organizzazioni sono altamente profes- sionali e sono dotate della massima qualità e capacità di resilienza", sa Nicolas Mayencourt. "Si potrebbe anche imparare da loro".

Piccola causa, grande danno
L'esperto di cybersicurezza descrive il phishing e gli inganni di tutti i tipi come "sempreverdi": "I perpetratori stanno diventando sempre più sofisticati. Possono usare profili di social media trapelati per fingersi, per esempio, un amministratore delegato, imitare la sua scelta di parole e quindi ottenere un CFO per trasferire rapidamente un milione di euro in una certa località", dice Nicolas Mayencourt, delineando uno scenario sempre più comune. E le PMI ne sono spesso colpite. Sono le vittime di un approccio a volte troppo poco caloroso alle informazioni personali su Internet. Ma si può anche ottenere un'infezione "stupida" per caso, come è successo al gruppo logistico Maersk nel 2017: il virus informatico "Notpetya" ha portato a una perdita completa di dati. L'azienda era completamente paralizzata. Con l'aiuto dei clienti - che dipendevano dalle consegne - ogni singolo contenitore doveva essere riassegnato correttamente a mano e in forma analogica. "In tre mesi, Maersk ha dovuto investire 250 milioni di euro solo nella gestione dei danni. Ed era solo una questione di rimettere in funzione l'IT, niente di più", dice Mayencourt. Motivo sufficiente per il CEO di Maersk per rendere pubblico questo caso e dimostrarlo: Ehi, sveglia, questo potrebbe accadere a qualsiasi azienda, quindi investite di più nella cybersicurezza!

La sicurezza informatica è un vantaggio competitivo
Una chiamata che Nicolas Mayencourt non ripeterà mai abbastanza: La sicurezza informatica non deve più essere vista solo come un fattore di costo, ma come un investimento per il vantaggio competitivo. "Certo, alla gente non piace vedere qualcosa che costa 1000 franchi in più solo per renderlo davvero sicuro. Ma la qualità nella sicurezza è anche un vantaggio competitivo". Lo Stato, i media e l'economia hanno il dovere di aumentare la consapevolezza della sicurezza informatica. Avverte: "Siamo nel mezzo dell'era digitale, il 5G sta per essere introdotto, niente funzionerà più senza il mondo digitale. E se questo mondo digitale non è sicuro, crollerà". La Svizzera farebbe quindi bene a non mettere in pericolo la sua reputazione di qualità in materia di sicurezza informatica.

Nicolas Mayencourt in conversazione
L'autoresponsabilità è scritta in grande in Svizzera. Ma i vostri esempi di mancanza di sicurezza informatica mostrano che il percorso verso la negligenza non è lontano, e il rischio per l'intera economia è notevole. Cosa significherebbe se lo Stato dovesse "ordinare" certe misure che in realtà dovrebbero rientrare nella responsabilità personale?

Nicolas MayencourtIl cyber non si ferma alle frontiere cantonali. Inoltre non importa se sei un civile o un militare. La nostra protezione dei dati è molto ben sviluppata, quasi il gold standard, e anche la separazione dei poteri funziona molto bene. Abbiamo un sistema politico molto stabile. Ma il fatto è che il cyber sta mettendo in discussione questi concetti di base. Non dobbiamo permettere che questo accada. In altre parole, dobbiamo condividere più informazioni tra di noi e dobbiamo stabilire degli standard comuni. Se questo

"Il 'fare' può essere delegato, la responsabilità no"

Che venga per decreto dall'alto o dal basso è di secondaria importanza. Il cyber collega tutti noi. Se non abbiamo tutti lo stesso livello e non ci aiutiamo a vicenda, allora qualsiasi misura sarà inutile. Se, per esempio, ho un alto livello di sicurezza nella mia azienda, ma la fornitura di elettricità nel nostro cantone viene meno, allora questa sicurezza non mi serve più a molto. Dovremmo quindi lanciare un dibattito pubblico su come possiamo continuare a mantenere la nostra separazione dei poteri, ma continuare a condividere alcune informazioni, anche con la comunità imprenditoriale, e rendere obbligatorio il flusso di informazioni - in entrambe le direzioni. Si tratta di come raggiungere un livello comune di sicurezza.

Quindi si tratta dello scambio di informazioni, anche del trasferimento di dati. Lei ha menzionato la nostra ben sviluppata protezione dei dati. Ma ci stiamo ostacolando a vicenda, vero?
Giusto, questa è una contraddizione. Non ci aggireremo definendo alcune eccezioni e regole che contraddicono la protezione dei dati - per certi usi.

In altre parole, si tratta di soppesare i benefici: a cosa dare maggior peso: alla protezione dei dati o alla sicurezza?
Questa è la grande sfida.

Se si guarda la "mappa del rischio" di una PMI media, per esempio, da quali direzioni minaccia il pericolo maggiore?
Ransomware, attacchi di phishing e trucchi non si fermeranno. Tuttavia, con l'avanzare della digitalizzazione, gli effetti stanno diventando sempre più fatali. La probabilità di incorrere accidentalmente in un'infezione aumenterà.

Quindi nascondersi dietro programmi antivirus e firewall funzionerà sempre meno più a lungo...
... che non ha mai funzionato al 100% e non funzionerà mai. Lei ha appena descritto il concetto di sicurezza di prima generazione che pratichiamo dal 1994. Ora abbiamo raggiunto la quarta generazione. Le persone giocano un ruolo molto critico. Tutte le PMI dovrebbero ora svegliarsi ed essere sensibilizzate, a partire dal consiglio di amministrazione fino all'impiegato comune. Tutti devono sviluppare la consapevolezza informatica. Altrimenti, diventerete semplicemente una vittima della frode del CEO o del phishing. Non ci sono ancora abbastanza risposte efficaci o prodotti nel settore che ci permettono di smettere di pensare da soli.

Ma mi sembra che questa consapevolezza non sia ancora presente ovunque. I problemi di cybersecurity sono semplicemente delegati al dipartimento IT o al provider Internet...
Naturalmente, non funziona così. Il "fare" può essere delegato, la responsabilità no. Non capisco perché come società non abbiamo ancora fatto progressi. Abbiamo tecnologie fantastiche. Ma per 30 anni abbiamo applicato queste tecnologie nelle aree più sensibili senza considerare quello che stiamo facendo in realtà. Se questo è abbastanza buono, "verhebt's", per dirla in svizzero tedesco. Ora che la tecnologia è qui, non può più essere rimossa. Ma sarebbe saggio renderlo più sicuro. In definitiva, la sicurezza è una questione di sopravvivenza, sia economica che assoluta.

Come dovrebbe essere strutturata la gestione del rischio?
Formazione, consapevolezza, controllo. In realtà non c'è più una minaccia "esterna" o "interna". I confini stanno diventando confusi. Se ho un'infezione sul mio smartphone privato e vado in azienda con quello, allora "fuori" è uguale a "dentro". In un piano di protezione, è quindi importante considerare il "dentro" come "fuori" e agire di conseguenza. I profili di rischio dovrebbero essere suddivisi in zone in modo tale che le transizioni di zona possano essere monitorate. Un sistema di protezione distingue anche i ruoli. In realtà non è altro che un'organizzazione professionale che si adatta anche al settore informatico. È qui che siamo in ritardo rispetto alla realtà. Tutto ciò che abbiamo già fatto bene nel mondo reale, non lo applichiamo abbastanza nel mondo cibernetico. In realtà sarebbe così semplice: se anche tecnicamente raffiguro il mio organigramma con le zone di sicurezza, allora sono già un grande passo avanti. Il fatto che un assistente di marketing non dovrebbe avere accesso alle transazioni finanziarie è logico nel "mondo analogico", ma dovrebbe essere evidente anche nel mondo cibernetico. Lo scenario migliore è quello di concentrarsi sulla qualità e la sicurezza rallentando un po', cioè prendendo un anno o due in più per fare qualcosa e farlo correttamente fino a quando non è stabile e sicuro e ci porta i benefici che ci aspettiamo senza danni collaterali. Le ricette per questo sono per lo più note.