Nel contrasto alle cyber minacce la collaborazione tra tutti gli attori che si occupano di sicurezza resta uno dei capisaldi, a partire da istituzioni pubbliche e Security Operation Centers (SOC) privati ma senza dimenticare il ruolo della società civile. La consapevolezza e la cultura della sicurezza, lo scambio di conoscenze, standard e buone pratiche tra stakeholder deve avvenire in modo capillare, con chiara definizione di interlocutori e competenze, innanzitutto su scala nazionale e poi a livello europeo e, possibilmente, globale. Il tema è stato al centro della tavola rotonda “La cooperazione pubblico-privato tra i SOC e le Istituzioni” che si è tenuta nell’ambito della Cyber Crime Conference organizzata da Tecna Editrice a Roma. Ecco chi c’era e che cosa si è detto.
BARGELLINI (VODAFONE): SINERGIA PUBBLICO-PRIVATO
“Un’azienda di telecomunicazioni custodisce i dati sensibili di milioni di persone la cui protezione è di primaria importanza. Perdere quei dati significherebbe perdere la fiducia dei clienti”, ha sottolineato Stefano Bargellini, Direttore Safety, Security, Property and Facilities di Vodafone Italia. “Questo è ancor più vero in un contesto di crescente esposizione ai rischi causati dalle continue violazioni dei sistemi di sicurezza ad opera non solo di singoli hacker e attivisti, ma anche di ‘professionisti’ del crimine informatico, talvolta collegati a organizzazioni criminali. E’ utopistico pensare che un’azienda possa difendersi da sola: la collaborazione con gli organi dello Stato preposti alla sicurezza è un elemento imprescindibile; la sinergia pubblico-privato è l’arma vincente per prevenire e combattere il cybercrime”.
Vodafone, Telecom, Fastweb e diversi altri attori in Italia hanno avviato stabilmente protocolli di collaborazione con il Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) e con il Cert Nazionale (Computer Emergency Response Team). La collaborazione pubblico-privato si snoda su tre assi: sensibilizzazione di cittadini e imprese, prevenzione degli attacchi e, se l’attacco è in atto, coordinamento della risposta.
RITA FORSI: SUCCESSI E CRITICITA’ DEL CERT NAZIONALE
Il dialogo con le grandi aziende e gli Isp è cruciale per l’attività del Cert: lo ha ribadito Rita Forsi (Direttore Generale Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione Ministero dello Sviluppo Economico-Iscom): il coinvolgimento degli Isp è uno dei successi che il Cert annovera perché ciò consente di portare le segnalazioni sulla sicurezza fino alle Pmi. “L’Italia non è all’anno zero sulla gestione della cyber security”, ha sottolineato la Forsi. La collaborazione pubblico-privato esiste, funziona e migliora costantemente, basandosi non solo su un efficace e tempestivo scambio di informazioni, ma anche su un elemento di “fiducia”: il rapporto e il dialogo tra le persone che si occupano di sicurezza.
(CHI C’ERA ALLA CYBER CRIME CONFERENZE. TUTTE LE FOTO DI FORMICHE.NET)
Questo non vuol dire che il lavoro sia concluso: in un paese fatto di piccole, a volte micro imprese, portare le segnalazioni e la cultura della sicurezza a tutti è la sfida. Scopo del Cert Nazionale è quello di supportare cittadini ed imprese e incrementare la consapevolezza e la cultura della sicurezza nell’utilizzo di servizi online, fornendo informazioni tempestive su potenziali minacce informatiche e consigli per la prevenzione e la gestione della risposta a incidenti informatici con impatto su scala nazionale. Già nei primi mesi di attività, nel 2014, sulla base del modello cooperativo pubblico-privato, sono stati avviati contatti e accordi con le principali imprese del settore delle telecomunicazioni ed energetico basata su una piattaforma di infosharing, che riporta costantemente segnalazioni di vulnerabilità, minacce o incidenti, e dove si possono discutere soluzioni o contromisure. Un Tavolo Tecnico permanente garantisce un confronto costante tra gli attori coinvolti. “Ma le aziende non ci dicano che le inondiamo di segnalazioni: per noi questo è un complimento”, ha osservato la Forsi. E per il futuro? “E’ ora di concentrarsi a tutto campo sullo studio e l’analisi del malware”.
COSTABILE (FASTWEB): DEFINIRE GLI INTERLOCUTORI
C’è però ancora della strada da fare per un giusto approccio culturale in Italia alle collaborazioni tra pubblico e privato, secondo Gerardo Costabile, Head of Security & Safety di Fastweb. “I privati e in particolare le aziende di telecomunicazione sono abituati a un contesto normativo – per quel che riguarda la sicurezza – basato principalmente su prestazioni obbligatorie. Solo recentemente, in alcuni ambiti, lo scambio appare più paritario, di reciproco interesse in nome della tutela dei clienti e della più generale sicurezza nazionale. In altri paesi, come Gran Bretagna e Stati Uniti, già da diversi anni sono partiti progetti di collaborazione e information sharing in tempo reale, pur nei limiti della riservatezza reciproca”. Sarebbe necessario anche “coinvolgere le terze parti, gli outsourcer e le Pmi, che costituiscono in Europa oltre il 99% delle società presenti. Un attacco può partire sfruttando le debolezze anche delle terze parti e tutto questo potrebbe portare ad un effetto domino sulle infrastrutture critiche nazionali”.
(CHI C’ERA ALLA CYBER CRIME CONFERENZE. TUTTE LE FOTO DI FORMICHE.NET)
C’è un’altra importante difficoltà nel dialogo pubblico-privato, secondo Costabile: “Occorre definire che cosa si intenda per cyber security, quali sono le aree di competenza, chi sono gli interlocutori. La cyber security abbraccia temi diversi, che vanno dai profili di difesa o offensivi in ambito militare, di antifrode online, di intelligence, di protezione delle infrastrutture critiche e strategiche del paese fino alla più generica cyber diplomacy ed Internet governance. Argomenti diversi per rispettivi interlocutori istituzionali, con competenze tecniche molto specialistiche e differenziate ma che necessitano di un quadro di insieme, perché – come evidenziato nell’ultimo rapporto sulla sicurezza del Clusit 2016, dove abbiamo collaborato con i nostri esperti – alcuni attacchi informatici sono spesso strumentali per frodi informatiche e viceversa”.
DI LEGAMI (POLIZIA POSTALE): METTIAMO IN RETE I NOSTRI TALENTI
Se il dialogo pubblico-privato può migliorare, quel che non ci manca sono le competenze in tema di sicurezza cyber: “In Italia forse ci può far difetto una diffusa ‘cultura’ della sicurezza, perché sia all’interno delle aziende che tra i consumatori i comportamenti poco accorti sono ancora frequenti”, ha detto Roberto Di Legami, Direttore del Servizio Polizia Postale e delle Comunicazioni. “Un cyber attacco sferrato con successo quasi sempre si avvale anche dell’imprudente azione della stessa vittima. Ma a livello di know-how e esperti di cybersicurezza, l’Italia non ha niente da invidiare a nessuno, anche in questa materia siamo spesso stati tra i primi ad individuare efficaci soluzioni e ad aprire nuovi orizzonti”. Dobbiamo invece migliorare nel “fare sistema”, “porre un fronte comune contro i cyber crimini che ci permetta un’azione coordinata, mirata e più efficace”.
SAVIOLI (TELECOM): IL LEGISLATORE NON CI FACILITA LA VITA
Che il “fattore umano” sia importante quanto le tecnologie è stato ribadito da Gian Luigi Savioli, responsabile Security monitoring & Incident handling di Tim (Telecom Italia): nei cyber attacchi anche il più efficace sistema di collaborazione e i più sofisticati meccanismi di prevenzione e contrasto contano poco se interviene un comportamento poco prudente da parte di un invidividuo che, per esempio, clicca su un allegato in un’email dal mittente non verificato.
Da questo punto di vista l’azione di sensibiizzazione condotta dal Cert insieme alle telco è fondamentale come l’azione di contrasto; tuttavia, la mole di informazioni e segnalazioni sulla sicurezza che pubblico e privato si scambiano “va analizzata e filtrata affinché emergano come prioritarie quelle che possono rappresentare una minaccia grave e urgente”, ha aggiunto Savioli. Questa operazione di “intelligence” nei big data della cyber security richiede forti investimenti, che le telco sono ben disposte ad affrontare come “infrastrutture strategiche per il sistema paese” chiamate a difendere la sicurezza su molteplici livelli: dai consumatori alle imprese clienti (che possono includere aziende con informazioni sensibili) fino agli enti pubblici. Ma per Savioli “le norme non sempre sono di semplice implementazione” e il legislatore potrebbe fare di più per facilitare la vita alle telco.
(CHI C’ERA ALLA CYBER CRIME CONFERENZE. TUTTE LE FOTO DI FORMICHE.NET)
Sul peso normativo che grava sulle telco è tornato Stefano Bargellini di Vodafone Italia osservando che “Un’azienda di Tlc ha precisi e giusti obblighi di tutela delle informazioni e dei dati dei propri clienti, ma è altresì obbligata a darne comunicazione all’autorità giudiziaria laddove richiesto, come nel caso del contrasto al crimine cibernetico. Talvolta questi obblighi sono anche onerosi da rispettare in termini di investimenti. Non si può dire che gli stessi vincoli valgano per gli Ott e sarebbe giusto che i legislatori lavorassero per avere regole uniformi, anche in ambito comunitario”.
SICUREZZA ANTITESI DI PRIVACY?
Il caso Apple-Fbi ha riportato alla ribalta non solo il ruolo chiave (e le difficoltà) delle collaborazioni tra pubblico e privato ma anche la necessità di trovare un compromesso tra sicurezza e privacy. Le due istanze sono davvero antitetiche? Non per Bargellini di Vodafone Italia: “Non credo che tra privacy e sicurezza nazionale esista una contrapposizione. In entrambi i casi si tratta di sicurezza: nel primo caso è la sicurezza della protezione dei dati personali, nel secondo caso è la sicurezza dell’interesse generale comune. Se guardiamo all’Italia e all’Europa, l’equilibrio tra privacy e sicurezza è pienamente rispettato dal quadro normativo vigente. Un operatore deve fornire le informazioni previste dal quadro normativo, nulla di più e nulla di meno”.
(CHI C’ERA ALLA CYBER CRIME CONFERENZE. TUTTE LE FOTO DI FORMICHE.NET)
Savioli di Telecom ha però fatto notare che in un mondo iper-connesso e digitalizzato un piccolo compromesso sulla privacy potrebbe rendersi necessario per preservare la sicurezza, allo stesso modo in cui accettiamo che una banca abbia delle telecamere e una guardia armata o che le stazioni della metropolitana e altre aree sensibili della città siano videosorvegliate.
Per Di Legami della Polizia Postale, nell’annosa ricerca di un bilanciamento tra sicurezza e privacy l’elemento “umano” e il comportamento delle persone devono necessariamente essere tenuti in considerazione: “E’ inutile dare battaglia in tema di intercettazioni delle comunicazioni o sulla possibilità di accedere alle email dei sospettati di gravi crimini, invocando indebite invasioni della privacy, se poi postiamo sui social network tutta la nostra vita, compresi i luoghi in cui ci troviamo, le persone che frequentiamo, le nostre foto e, spesso, anche quelle dei nostri figli minorenni”.