8/2/2022

Come le PMI dovrebbero gestire la propria sicurezza?

Riportiamo l’intervista che il nostro Partner Nethesis ha fatto a Marco Ramilli (Yoroi) che ci offre tanti consigli utili per questo scenario in continua evoluzione.

Marco Ramilli è tra i massimi esponenti italiani di sicurezza informatica ed è esperto di intelligenza artificiale applicata alla cybersecurity. Il quotidiano “La Repubblica” dice che è tra i 50 esperti italiani da seguire.
Ha lavorato per il governo degli Stati Uniti ed è fondatore di Yoroi: innovativa società di sicurezza informatica focalizzata sulla difesa delle realtà produttive del Made in Italy, ma non solo.

Marco è apparso su SkyTG 24, Il Sole 24 ore e tante altre testate in merito alle recenti evoluzioni della criminalità informatica, perché secondo lui la cyber sicurezza è ora più che mai una priorità per tutte le aziende.

Qual è lo scenario da qui a 2-3 anni nel mondo della cybersecurity?

Siamo in un mondo che tende a digitalizzarsi sempre di più, abbiamo sempre più oggetti connessi. Questo significa che ogni organizzazione avrà un perimetro sempre più ampio e sempre più esposto. E’ necessario difendere questo perimetro ed è molto importante lavorare sulla supply chain.

Ogni organizzazione delegherà parte del suo lavoro ad organizzazioni più piccole e ogni impresa sarà strettamente collegata all’altra. Cosa significa tutto ciò? Che qualsiasi tipo di azienda potrà essere attaccata, dalla più piccola alla più grande. In questa catena anche la PMI può essere presa di mira, per arrivare alla grande organizzazione.

Voi fate molto affidamento oltre all’AI anche all’analista umano esperto. Potrà l’intelligenza artificiale sostituire l’uomo sul lungo periodo?

L’AI è fondamentale nel settore della Cybersecurity e possiamo dire che è irraggiungibile per un umano. È molto più programmabile, replicabile e infinitamente più veloce di noi.

Ma c’è un problema, l’intelligenza artificiale è la miglior soluzione per dare le risposte giuste ma non è in grado di fare le giuste domande.

Noi come umani sappiamo porci le domande, siamo in grado di interrogarci nel modo e nel momento giusto, in questo l’intelligenza artificiale non potrà mai copiarci.

La cosa migliore è il lavoro di squadra: umano e AI. Usare l’intelligenza artificiale come ottimo supporto all’operato umano.

Qual è la differenza tra le grandi aziende e la PMI nell’approccio alla cybersecurity?

Vorrei fare una piccola distinzione, ci sono 3 tipi di aziende.

Le organizzazioni molto grandi, gruppi bancari o enti governativi, che hanno generalmente un approccio a budget. Definiscono all’inizio di anno il 2% del proprio budget da dedicare alla security, capite che fatturando miliardi di euro non hanno problemi ad investire tanto in cybersecurity. Il loro approccio è molto semplice: investo tanto e metto tutto doppio, tutto ridondato.

Poi abbiamo le organizzazioni medie, che ragionano sulle proprie reali necessità. Tendono ad avere tanti prodotti ma non hanno nessuno che li gestisce in maniera univoca, cioè che li faccia parlare fra loro e prenda delle decisioni sulla sicurezza.

Faccio un esempio, se ci sono tre dei prodotti adottati in azienda che identificano una minaccia e altri due prodotti che dicono che non lo è.
Come si fa? Come capisco se è realmente una minaccia? E se lo è, come alleno i due a riconoscerla in futuro?
In questo settore è molto importante il supporto esterno, perché un servizio interno non riuscirebbe ad avere una visione a tutto tondo del problema, mentre un servizio esterno che ha visto questa minaccia in mille altre situazioni risulterebbe molto più efficace e preparato.

Da ultimo ci sono le PMI dove la cybersecurity è vista come un costo e non come un’opportunità. E qui viene Nethesis, è il vostro lavoro, è il vostro campo e la vostra expertise principale. Ed è anche il motivo della partnership che abbiamo fatto con voi.

C’è ancora da fare molto sul piano della cultura, come quello che abbiamo fatto noi negli scorsi 5 anni con le grandi aziende. Anche lì la cybersecurity era considerata un costo fino a qualche tempo fa, mentre oggi è un fattore abilitante. Un bollino, un servizio che si offre e vende al cliente: “Il mio prodotto ha a cuore la cybersecurity.”

È ancora un campo tutto da conquistare, bisogna convincere i piccoli imprenditori, gli studi, le imprese che questa è un’opportunità per loro e non un costo.
Perché avere a cuore la sicurezza non solo gli aiuterà a non perdere i dati ed evitare danni all’immagine, ma diventerà un opportunità per comunicare a clienti o potenziali clienti, che i servizi offerti sono cybersafe, sono sicuri. Proprio perché si sono dotati di adeguate strategie per proteggere la rete aziendale.

Cybersecurity PMI Marco Ramilli
Marco Ramili

Se dovessi dare qualche consiglio a chi lavora nella PMI e ha un budget ridotto? Cosa dovrebbe fare secondo te?

Dovrebbe dotarsi di una buona conoscenza sulla cybersecurity e farsi qualche sottoscrizione a qualche testata cyber che gli dia informazioni e statistiche puntuali; in base a quello che ha imparato sarà poi in grado di prendere decisioni che vanno bene per la propria azienda.
Faccio un esempio, gli antivirus hanno sicuramente un ruolo importante nel proteggere l’azienda ma secondo i nostri studi non individuano il 70% del malware, quindi al posto di investire solo su l’antivirus, magari vale la pena investire anche sulla protezione dell’email perché il 98% delle minacce vengono proprio dalla posta elettronica.

Ripeto, è importante:

  • analizzare i dati
  • contestualizzarli nella propria organizzazione
  • trovare una soluzione

Una soluzione non LA soluzione, in questo campo non c’è una soluzione migliore a prescindere, perché i dati cambiano e bisogna far evolvere la propria strategia in base ad essi. Per questo è importante rimanere aggiornati sulle minacce e sui servizi per combatterle.

Come approcciare il giorno dopo l’attacco?

Questa è una bellissima domanda. L’ultima cosa da fare durante l’incidente è andare a caso, perché si tende a fare azioni scomposte e non organizzate. Che poi tipicamente non portano da nessuna parte o portano alla soluzione dopo troppo tempo.

Il mio consiglio è pensarci prima: ragionate in difesa e non in protezione

Ma qual è la differenza tra difesa e protezione?

La protezione è quando mettete il lucchetto alla bicicletta, cioè state proteggendo un asset, in questo caso la bicicletta. Quando voi chiudete la bicicletta con un lucchetto, siete sicuri che non c’è nessuno che abbia la possibilità di tagliare il lucchetto e portarvela via. Per questo ve ne andate tranquilli, perché avete questa convinzione e va bene. Però mentre nel mondo fisico tale convinzione è legittima, nel digitale non potete avere la stessa certezza.

Nel mondo fisico la probabilità che si verifichino le condizioni giuste è bassa: c’è bisogno che qualcuno sia interessato alla bicicletta, abbia un camioncino e le cesoie giuste. Deve assicurarsi che non ci siano le telecamere, tagliare velocemente il lucchetto e portarla via senza farsi notare. È molto complesso e la vostra sensazione di protezione è legittima.

Nel digitale invece l’attaccante non deve essere vicino a voi, l’attaccante è in tutto il mondo, è sparso, non sa neanche dove siete voi e non è neanche importante per lui.

La probabilità che nel mondo ci sia qualcuno che abbia le capacità (il camioncino e le cesoie) di rubarci la bicicletta, o fuori di metafora di entrare nella vostra organizzazione, è estremamente alta. Capite la differenza?

La mentalità che deve entrare nella nostra organizzazione non è io mi proteggo ma io mi difendo!

Cosa vuol dire difendersi? Significa avere l’esatta convinzione opposta, io sono certo che in questo momento c’è qualcuno che ha le capacità di entrare nella mia azienda, quindi mi preparo a rispondere a quel momento.

Il problema è che la difesa è un processo un po’ più complesso, per la difesa basta mettere un firewall (ovviamente sto banalizzando!) o un antivirus. Proteggere è più semplice. Difendere significa invece prevenire e premeditare.

Cioè aver capito che c’è qualcuno là fuori pronto ad attaccare e tu devi mettere in piedi una serie di processi per identificarlo e rispondere.

Nel momento in cui verranno sottratti dei dati (e prima o poi succederà a tutti, compreso me!) devi sapere cosa fare. Dal punto di vista della comunicazione cosa dire? Come raccontare l’accaduto? Come assicurare dati offline e un backup sempre aggiornato?
Questo significa pensare in difesa e non solo in protezione.

Che tipo di cultura sulla sicurezza hai visto nella PMI e cosa si dovrebbe cambiare?

Ho visto una PMI molto impegnata a lavorare, giustamente. Però dobbiamo in qualche modo fare capire, e so di ripetermi, che la sicurezza non è un costo. Tempo fa ho scritto un articolo dove raccontavo la storia di un imprenditore della metalmeccanica, colpito da un ransomware che ha dovuto chiudere l’azienda perché non aveva più i dati. Mi diceva “Ma perché hanno attaccato me? Cosa c’entro? Non ho niente da difendere”.
Pensare in questo modo è sbagliato.

Tu hai un asset informatico (anche solo un computer, un telefono) e può essere usato per un attacco a terza parti, tu devi difendere semplicemente quelle. Non importa se non hai formule segrete o ricette magiche.

“Non ho un soldo, perché vogliono attaccare me?” Questo è un altro errore, non è importante per l’attaccante quanti soldi hai. Per l’attaccante è importante attaccare, perché poi la quantità di denaro la regolano in un secondo momento. Era sbalordito perché non sapeva che un attacco informatico potesse essere talmente dirompente nella sua vita. Ma questo è solo uno dei tanti esempi con cui abbiamo a che fare tutti i giorni

La cosa mi ha colpito molto più era vedere Franco con le lacrime agli occhi, non tanto per la sua azienda, ma per il suo dipendente con il mutuo appena acceso, la moglie del collaboratore incinta o il giovane pupillo che avrebbe preso le sue redini. Tutto questo l’ha fatto soffrire, con i dati ha perso il futuro della sua azienda.

Ormai l’Italia è piena di storie simili e non possiamo più perdere tempo, dobbiamo arrivare alla PMI e raccontargli l’importanza di difendersi.
Ragionate in difesa e non in protezione.

Ultimi articoli