CYBERSECURITY TRENDS CENTRAL FOLDER - CYBERSECURITY - SWITZERLAND
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Trends Central Folder - Cybersecurity 28
I partner di Belfort numerosi al Congresso !
I membri dell’IHEDN AR-10 circondano
l’invitato d’onore, il Generale d’Armata (5s)
(ret.) Marc Watin-Augouard.
Primo sulla sinistra, Christian Arbez rappresenta
la CCI Belfort (di cui è Direttore Generale), mentre il
primo sulla destra, Jean-Luc Habermacher, auditore
dell’ IHEDN, rappresenta la Vallée de l’Energie
(di cui è il Presidente Fondatore).
29
Trends
Central Folder - Cybersecurity
Giorno ‘’0’’: 6 DICEMBRE 2017
Giornata sulla prevenzione
per adolescenti ed adulti
U
no degli assi fondatori del congresso è di far approfittare la popolazione
locale di una giornata gratuita sulla prevenzione rivolta ai pericoli del
net e sui mezzi per proteggersi di fronte alle minacce più diffuse. Per
questo, la mattinata è stata organizzata in due sedute di un’ora e mezza
ciascuna di cui hanno beneficiato 440 allievi e 32 insegnanti (cioè, 18 classi di
studenti, ciò che costituisce il record svizzero in materia !).
La Polizia cantonale del Jura, rappresentata dal maresciallo Daniel
Affolter, responsabile della comunicazione e prevenzione, e dall’ispettrice
Sylvie Allemann, responsabile delle problematiche IT presso la Polizia
giudiziaria, ha presentato i problemi in una breve
allocuzione ed in seguito è rimasta per rispondere
ai quesiti degli studenti.
Daniela Chrzanovski (Swiss Webacademy),
ha fatto una presentazione dei rischi maggiori
presenti sul Net ed ha animato il gioco-concorso,
dotato di premi offerti dall’UBS e UPC.
L’invitato speciale, Pierre-Alain Dard, capo
della Brigata dei Minori della Polizia Cantonale
di Ginevra, ha spiegato le problematiche alle quali
la brigata è confrontata e le leggi in vigore, con
molteplici esempi concreti.
La serata per adulti ed imprenditori è stata
organizzata con una seduta di un’ora e mezza,
seguita da più di 45 minuti di questioni mostrando
cosî il vivo interesse suscitato fra i 115 adulti
presenti (27 imprenditori ; 28 amministratori IT
del settore pubblico e 60 cittadini(ne).
Vi hanno preso la parola :
Pierre-Arnaud Fuegg, Sindaco di Porrentruy,
che, nel suo discorso di Benvenuto, ha sottolineato
l’importanza vitale per gli adulti di essere sempre
al corrente dei pericoli del net al fine di costituire
una società solidale e resiliente.
Francisco Arenas, Manager Solution Business
Sales Romandie, UPC ha insistito sul nuovo dato che permetterà di differenziare
le prestazioni dei fornitori di internet : la cyber-sicurezza del consumatore.
Laurent Chrzanovski ha in seguito trattato delle problematiche attuali,
delle minacce e dei mezzi per evitarle, prima di presentare, ad uso delle
PME, gli incidenti maggiori sopraggiunti nel 2017 (cause, effetti, lezioni da
trarre) ; ha in seguito sottolineato un nuovo privilegio dei cittadini Svizzeri
e Lussenburghesi : quello di potersi assicurare contro i ‘’cyber-rischi’’ a prezzi
ragionevoli, contrariamente alla maggioranza dei vicini europei.
30
Il congresso : allocuzione
di benvenuto
globali che riguardano le minacce diventate mutanti a un ritmo quotidiano, al fine di
poter prendere le migliori decisioni, di adeguare i nostri standard, di rinforzare le misure
già prese settore per settore, allo scopo di diventare tanto buoni in resilienza quanto
siamo già riusciti ad esserlo in termini di gestione dell’utilizzazione delle energie.
È così che durante i primi giorni di maggio, la Municipalità di Porrentruy e la Swiss
Webacademy hanno cominciato a costituire il dossier necessario per gettare le basi
di una piattaforma macro-regionale di dialogo sulla cyber-sicurezza, che la nostra
città potesse accogliere ogni anno. Il 3 luglio, il Consiglio della Città ha votato in
favore dell’iniziativa e la Municipalità è diventata la co-organizzatrice dell’evento,
assicurandogli un supporto logistico, umano e finanziario. Durante l’estate, tenendo
conto delle scadenze estremamente corte che ci separavano dalla nascita della prima
edizione, i suoi organizzatori - di cui il sottoscritto - l’hanno nominata «edizione
M. Pierre-Arnauld Fueg 0.0’’. Oggi, vedendo gli oratori che ci hanno raggiunto, i loro talenti e le cariche che
occupano, sono i «cervelli 0.0’’ degli organizzatori che faticano a credere che tutto
questo sia ben reale.
Il congresso è stato debitamente aperto dal Sindaco di La Città di Porrentruy è onorata – ed è dir poco- della loro presenza. La nostra
Porrentruy, Pierre-Arnaud Fuegg, di cui riportiamo di gratitudine, in quanto autorità locale, si estende anche ai decisori delle PME e delle
seguito il discorso. imprese del Cantone Jura e della vicina Francia che hanno accettato di partecipare a
«Signore e Signori, carissimi ospiti, in qualità di Sindaco questa première.
ed in nome della Città di Porrentruy, è un piacere e un onore Siamo inoltre profondamente riconoscenti all’Unione Internazionale delle
indirizzarmi a Voi oggi. Telecomunicazioni (ITU), che ha accordato la sua egida all’avvenimento, e alle
Noi ci sentiamo qui, come nel mito che ha portato alla nascita istituzioni prestigiose dell’Italia, della Francia e della Svizzera che le hanno garantito il
del blasone della nostra città, attestato dai sigilli ufficiali sin dal loro partenariato ed il loro supporto.
13° secolo. Ma, ben più della legittima fierezza, è già il lavoro che ci sollecita. Un lavoro già in
Come avete potuto leggere nella brochure del congresso, corso per mettere in adeguamento l’udienza della prossima edizione all’altezza dello
il cinghiale, simpaticamente illustrato sui supporti del standard incredibilmente elevato degli ospiti che marcano della loro presenza questa’’
congresso stesso ed il badge che avete ricevuto, rinvia di per sé première’’.
a una leggenda interamente legata alla sicurezza. Secondo Per la riuscita di questo congresso, come per le sfide che ci attendono per i seguenti,
quest’ultima, «c’era una volta una bestia singolare, che correva vogliamo sottolineare l’implicazione costante e senza falla di Daniela Chrzanovski e
a grande velocità, era capace di saltare al di sopra delle mura di tutta la sua equipe della Swiss Webacademy, così come quella di Jasmine Greppin
della città, alte di dieci piedi, come se non si trattasse che di una di Eureca’ Venture. Esse hanno lavorato di concerto, quotidianamente, con l’equipe
cinta insignificante. Questo cinghiale provvidenziale fu quindi del Comune, costituita da Magali Voillat e da Anais Cuenat. Rivolgiamo a tutte loro
visto senza alcun dubbio possibile come un messaggero dello i nostri più vivi ringraziamenti. Giorno dopo giorno, il responsabile dell’avvenimento,
spirito protettore della città, ed il Consiglio Municipale decise, Laurent Chrzanovski, in trinomio con Jean-Jacques Wagner e Luca Tenzi, hanno messo
durante una cerimonia solenne, che l’animale sarebbe diventato a disposizione il loro «savoir faire’’; i loro network professionali si sono ricongiunti con
per sempre l’emblema della nobile città di Porrentruy». Questo quelli della Città, sbocciando in un risultato a dir poco impressionante: Porrentruy
episodio fece capire ai Consiglieri che parecchie porzioni della accoglie oggi gli oratori di otto paesi e di sette organizzazioni mondiali, che coprono
cinta erano troppo basse per poter resistere all’assalto di un realmente la sicurezza sotto tutti gli angoli maggiori.
nemico, e decisero all’istante di rinforzare le tratte in questione. Tutta la Municipalità spera che il congresso e lo charme della nostra città
Le autorità ed i Consiglieri odierni sono sempre più coscienti germoglieranno in ciascuno di voi attraverso il sapere, gli incontri e le impressioni
che la recinzione digitale della nostra città, della nostra personali che vi marcheranno durante questi giorni. In quanto a noi, non ci resta
amministrazione, della nostra rete di energie e della protezione che porgervi il più caloroso benvenuto e con la nostra equipe che si tiene a vostra
dei nostri cittadini deve essere rinforzata in modo regolare. Noi disposizione, ad auspicarvi il più riuscito dei congressi ed il più piacevole dei soggiorni
abbiamo sete di apprendimento sempre maggiore sulle tendenze nella nostra città.
31
Trends
Central Folder - Cybersecurity
geopolitica, strategica e di mezzi messi a
Giorno 1: 7 Dicembre 2017 disposizione.
La forza del discorso, accompagnata
Nella sua presentazione “Il motto del dalla proiezione da immagini scelte con
CEO : Essere agile e capace di cambiare cura, ha messo in evidenza la difficoltà del
la propria visione allorquando si parla procedimento molto lungo, per i centri
di cyber-sicurezza’’, Xavier van NUVEL, decisionali dell’armata, di scegliere un
PDG e fondatore di Digital Solution e di elemento connesso, dal semplice casco
OpenOnLine (Svizzera) ha portato la sua del soldato al veicolo semi-blindato o al
visione dell’innovazione e soprattutto drone.
della resilienza di un’impresa grazie Son in effetti i dati reali nel momento dell’analisi preliminare
al fattore umano e la sua capacità - o (finanze, ambiente, demografia e tecnologia) che daranno
meno – di adattarsi ad un ambiente e a delle minacce in costante vita, attraverso la dottrina e l’analisi delle capacità necessarie,
mutamento. all’elaborazione dei concetti di base che servono ad elaborare il
Grazie ai tre principi COOPERAZIONE-INNOVAZIONE- capitolato degli oneri (o masterplan) implicando tutte le misure
ANTICIPAZIONE, l’oratore ha messo in evidenza i vettori che rilevano dello sviluppo umane e tecniche che permettono di impegnarsi
dell’agilità razionale (pedagogia, proattività, sincronizzazione nell’acquisto e l’adattamento di tutti gli elementi connessi delle
collegiale ) e quelli che dipendono dall’agilità emozionale (empatia, armi e degli equipaggiamenti di ultima generazione.
comprensione della situazione, “ribellione costruttiva’’). La presentazione ha perfettamente dimostrato la difficoltà e
la vera rivoluzione di un modo di pensare che permetta di poter
valutare le armi a forte tenore connettivo per rapporto a quello
che reggeva fino ad una decina di anni fa, l’acquisto delle dotazioni
militari più “convenzionali’’.
L’equazione finale si rivela particolarmente difficile, poiché se il
mondo del ”4.0’’ apre un grandissimo numero di prospettive (che
permettono di utilizzare al meglio le risorse disponibili ,prima,
durante e dopo l’azione), ogni prospettiva è assortita da altrettanti
rischi maggiori legati alla vulnerabilità e alla capacità massima di
ogni modulo interattivo.
In un mondo sempre più strutturato sui dati trasmessi o scambiati
(data) qualunque essi siano gli oggetti tecnologicamente utilizzati,
è compito dunque del capo dell’impresa ed al suo CISO di aiutare
tutti i collaboratori dell’impresa stessa a sviluppare le proprie facoltà
di agilità, a sincronizzare le azioni interagendo al meglio al fine di
elaborare delle idee utili al gruppo, ivi compreso in ciò che dipende
dalla natura emozionale di ciascuno.
Con una formazione idonea ed una responsabilizzazione di ogni
collaboratore, i risultati per l’impresa – in materia di sviluppo del
business, di identificazione poi di reazione agli attacchi - possono
così beneficiare di una crescita utilizzando le risorse umane già a La presentazione fu così ricca di informazioni che farne un
disposizione prima i considerare il ricorso a terzi per tale o talaltro riassunto sintetico rileva dell’impossibile, e questo tanto più che
bisogno l’autore ha fornito gran parte dei frutti della sua ricerca in un articolo
Il primo speaker, Col. Marc-André RYTER (Collaboratore pour pubblicato nel n.1/2017 della Military Power Revue of the Swiss Armed
la Dottrine in seno allo Stato-Maggiore dell’ Armata Svizzera), ha Forces (pp. 50-62), che vi invitiamo a scaricare online1.
analizzato in modo chiaro e preciso le sfide e le minacce della Completando perfettamente la presentazione del Col Ryter,
trasformazione digitale della “armata 4.0’’, viste nel loro insieme poi fu la volta di Julien Provenzano (CEO della start-up Pré-Ka-Ré)
,in particolare, a partire dalla Svizzera tenendo conto della situazione di presentare brevemente al pubblico il prototipo del guanto
32
di fanteria che la sua società sviluppa Sezionando il sistema svizzero tal
allo scopo di aiutare i soldati ad come è stato validato nel 2016, l’autore
effettuare degli “ordini manuali indirizzati ha chiaramente dimostrato che nessuna
attraverso il guanto elettronico’’. Dopo una armata riesce più a risolvere, da sola, i
presentazione dei vantaggi di questo conflitti di oggi, se non è assicurata di avere
equipaggiamento ed una analisi SWOT del l’aiuto di una architettura istituzionale e
guanto stesso, la cui produzione in sé non privata che copra quasi tutti i campi del
pone delle sfide maggiori se non nella “law enforcement’’, delle collaborazioni
taglia ed il consumo del microcontrollore attive pubblico-privato così come delle
integrato, l’autore ha dettagliato esaustivamente l’insieme dei rischi concertazioni regolari con gli eletti ed il mondo politico.
e delle problematiche (minacce) che pesano su un tale oggetto se Messa in atto progressivamente, questa architettura multi-
stakeholders, che colloca la dimensione “cyber’’ come punto
centrale, con ripercussioni in tutte le forme tradizionali di sicurezza,
dovesse cadere in possesso del nemico- o essere reso indisponibile
/emettere falsi dati.
Il pubblico ha potuto rendersi conto concretamente, non
certo della incontestabile utilità di tale oggetto, ma dell’insieme
dei parametri da definire e da limare per risolvere l’equazione
della messa in sicurezza di un numero immenso di dettagli che
potrebbero diventare dei punti vulnerabili e, quindi, di altrettante
misure da elaborare, testare, ed applicare perché il guanto possa
superare positivamente gli imperativi e le esigenze implacabili
del suo destinatario. Questo esempio ha così, attraverso i dettagli
sapientemente forniti dall’autore, reso attento ogni partecipante
alla complessità e alle molteplici vulnerabilità di ogni oggetto
connesso “civile’’ o “industriale’’ dove le esigenze di sicurezza sono
ben inferiori o anche inesistenti. si rivela dapprima molto complessa, ma incomincia fare le sue
Completando idealmente il campionario “armata & cyber’’, lo prove e, soprattutto, si conferma come la sola soluzione vitale per
speech di Alexandre Vautravers (Responsabile del Programma di un paese neutro e federale a vocazione consensuale2.
Sicurezza Globale presso il Global Studies Institute dell’ Università di La presentazione di Marc German
Ginevra e Redattore della Rivista Militare Svizzera) si è concentrato (Esperto in Business diplomacy ed in
sulla complessità del concetto stesso delle guerre odierne, condotte cyber-crime) ha saputo fare il legame tra
sia sul terreno digitale, non militare (slittamento fra il “soft power e il mondo militare, messo in sicurezza “per
lo smart power’’) che su quello reale, con il suo seguito di guerre dovere’’ e quello degli affari, spiegando
ibride. che l’intelligenza concorrenziale e la
Un accento particolare è stato portato sulle dimensioni cyber-sicurezza sono, di fatto, da prendere
della guerra al giorno d’oggi, che copre quattro dimensioni : la di petto, e costituiscono le due facce della
popolazione e l’economia ; le azioni CIMIC (cooperazioni fra civili medaglia della perennità dell’impresa.
e militari) ; le operazioni tattiche e infine tutte le azioni strategiche I suoi propositi, incitando ad adottare una postura difensiva ma
e operative. anche offensiva, sono stati percuzienti, nello spiegare un ambiente
33
Trends
Central Folder - Cybersecurity
economico globalizzato in cui le organizzazioni si combattono
per accrescere la propria competitività ed ottimizzare la propria
redditività e che numerosi concorrenti agiscono senza seguire
le stesse regole. Per Marc German, “L’intelligenza competitiva è
dominare e sfruttare l’informazione utile per creare del valore duraturo
nell’impresa attraverso la messa in opera di azioni coordinate di
ricerca, di analisi e di utilizzazione dell’informazione utile ai decisori.
In altri termini, l’Intelligenza competitiva è trasformare le notizie in
informazioni e trasformare la materia grezza in materia grigia’’.
e soprattutto delle regole minime da avere, che offrano al pubblico
una versione sintetica e meno arida del celebre “NIST frame work”.
Abbondando in tal senso, Roland
Iosif Moraru (Professore e Vicerettore
all’Università di Petrosani, Romania)
ha difeso l’acquisizione di una vera
cultura della sicurezza prima ancora di
specializzarsi nella messa in sicurezza dei
sistemi propri di uno dei due grandi settori
dell’economia, poiché le esigenze sono
le stesse, ma non figurano nello stesso
Senza tuttavia incitare a superare i limiti della legalità domandando ordine di priorità. Per il mondo degli affari, il “top 3’’ è costituito dalla
dei “black-ops’’ contro i competitori, che purtroppo sono di ordinaria confidenzialità seguita dall’integrità e dalla disponibilità, mentre
amministrazione, l’autore insiste sul fatto che per sopravvivere, per il mondo industriale, la disponibilità arriva al primo posto e la
crescere e vincere delle competizioni, un’impresa deve ormai confidenzialità all’ultimo.
passare all’offensiva cercando e valorizzando l’informazione che gli Per assicurare questa disponibilità al cliente e parare gli attacchi,
fornirà un punto di vantaggio. In modo concomitante, essa deve si tratta di testare costantemente tutti i propri sistemi, di prevedere
proteggere i propri data, i propri metodi ed il suo “savoir faire’’, cioè dei gradi di sicurezza – e di segmentare il sistema di controllo -, di
il suo tesoro, che è l’oggetto della cupidigia dei suoi concorrenti3. rinforzare regolarmente le componenti del sistema e soprattutto,
La seconda sessione, dedicata alle sfide di possedere delle procedure chiare da mettere in applicazione
delle tecnologie di ultimo grido, è stata per ogni collaboratore nel momento stesso in cui un’intrusione è
magistralmente aperta dal keynote speech individuata.
di Martin Lee (Direttore Sicurezza presso
Cisco Talos, U.K.). Il ricercatore ha passato
in rassegna i grandi attacchi del 2017 ed ha
permesso di ritracciarne un denominatore
comune, e cioè il punto centrale della
sovrapposizione di quattro fenomeni
conosciuti ma in pieno boom: l’evoluzione dei ransomware e dei
loro ricavi (che arriva ai 34 miliardi di dollari di entrate all’anno),
donde deriva la “democratizzazione delle minacce“, i virus senza
bersaglio preciso ma con una potenza pandemica di propagazione
(WannaCry, Nyetya…).
IL quarto fenomeno è senza dubbio il più grave e prenderà
del tempo per evolvere, poiché si tratta della compiacenza delle
imprese ad usare degli strumenti permeabili, mal programmati, La sicurezza sia degli umani come quella delle macchine, la
vulnerabili e facilmente attaccabili e che, per di più, utilizzati per vigilanza costante e la resilienza basata sulla conoscenza quotidiana
lungo tempo con noncuranza semplicemente per ignoranza sono degli incidenti o degli attacchi contro imprese dal profilo similare
stati attaccati da mesi, o anche da anni. Nelle sue conclusioni, Martin sono i tre assiomi di base senza i quali, secondo l’autore, nessuna
Lee ha insistito sull’importanza dell’architettura informatica delle tecnologia potrà da sola risolvere gli assalti che diventano sempre
imprese, che dovrebbe essere rivista ed esaminata punto per punto più perfezionati, mutanti ed evolutivi.
34
Christophe Réville (Cofondatore del Summit IE2S e specialista effetti, alla base, il risk-manager non è
in intelligenza strategica) ha insistito sui pericoli di introdurre, sotto lui stesso un esperto in cyber-sicurezza
la pressione dei rivenditori, di strumenti e, anche quando è stato formato in
dotati della funzione “machine learning’’ questo settore, si confronta in seno
senza conoscerne tutti gli estremi annessi all’impresa, non a un CISO, ma ad un
e connessi in materia di sicurezza. semplice IT manager e da qui deriva il
Spesso presentati agli imprenditori problema di trovare un vocabolario ed un
come la panacea in termini di efficacia, terreno comune per portare avanti una
di redditività e di riduzione dei margini di discussione costruttiva.
errore, questi strumenti possono rivelarsi Per mancanza di cultura digitale, le
come la nuova porta di entrata di tutti imprese - soprattutto quelle del settore
gli attacchi di vasta portata. Utilizzando una metafora semplice, primario e secondario, ma anche i PME
l’oratore ha dichiarato che l’intelligenza artificiale” è passata in di ogni tipo, definiscono il rischio come
questi ultimi mesi da un funzionamento ragionato e logico, o una offesa alla loro posta strategica e
“cervello sinistro”, nel quale si compiaceva da almeno trent’anni, - non alle loro infrastrutture, delegando al
data mining, algoritmi lineari, ecc. – ad un paradigma che integra risk-manager dei compiti di verifica e di
visione globale e processo intuitivo – molto “cervello destro”. Una assicurazione di ciò che il management
rivoluzione caotica nella quale i comportamenti indotti delle considera come “critico’’4.
macchine disegnano delle improbabili frattali…’’.
Tra l’altro l’oratore ha dato un esempio inquietante, quello di un
gruppo di computer connessi che si è liberato dall’inglese (lingua di
comunicazione fra i programmatori e le macchine) per incominciare
a creare un linguaggio unico, comprensibile solo a loro – finché non
sono stati staccati dalla spina. Sarebbe questo l’inizio di una lotta
macchina contro macchina che sfugge ad ogni controllo umano ?
Così, l’impatto multiplo di un attacco cyber moderno,
perfettamente illustrato dagli autori, prendendo come
bersaglio sia la catena di produzione che le filiere di vendita o
di approvvigionamento, trascinando dei pregiudizi interni ed
esterni, rimangono incomprese dal patronato. In questo “choc di
culture “, senza responsabili formati né infrastrutture in sicurezza,
è impossibile assicurarsi come bisognerebbe, ciò che crea una
disparità di una vastità impressionante, perfettamente illustrata
dagli autori, fra le imprese secondo la loro taglia. Così, in Francia,
se il 95% delle imprese del CAC40 sono ormai assicurate contro i
cyber-rischi, solo il 3% delle imprese di taglio medio ed il 2% di PME
hanno sottoscritto a questo tipo di assicurazione.
Le poste in gioco di una tale possibilità hanno spinto i cento Inaugurando la sessione sulle
sedici padroni delle più grandi imprese di robotica ad indirizzare attrezzature e le strategie di nuova
una lettera aperta alle Nazioni Unite (il 20.08.2017) ingiungendo generazione, Bénédict Mattey (Cyber
alla comunità mondiale di prendere le misure necessarie prima Security Executive presso Darktrace) e
che la lotta fra le intelligenze artificiali non diventi un reale pericolo Hippolyte Fouque hanno introdotto e poi
mortale per l’uomo in caso di utilizzazione armata. illustrato con sequenze filmate in situazioni
Christophe Madec (Esperto in cyber-sicurezza e Jean Gabriel reali, i benefici maggiori che possono
Gautraud (BESSE’ Conseil), hanno spiegato le difficoltà incontrate portare dei prodotti in cui l’Intelligenza
dai risk-managers durante i loro incontri di lavoro nelle differenti Artificiale è applicata esclusivamente alla cyber-sicurezza.
imprese, in qualsiasi settore di attività, dal momento in cui Di fronte ad una quantità di dati in crescita esponenziale; a
incominciano ad abbordare il soggetto della cyber-sicurezza. In degli impiegati con compiti sempre più vari, diventa essenziale
35
Trends
Central Folder - Cybersecurity
permettere alla vigilanza e alla perizia ogni situazione, il tutto associato alla capacità inventiva dei pirati
umana di concentrarsi sulle informazioni che beneficiano della moltiplicazione dei punti di accesso ai veicoli
fondamentali e verificate e sulle anomalie moderni.
derivate sia da comportamenti umani, Lo speech di Yannick Harrel si è concluso con una arringa in favore
che da sistemi il cui funzionamento è di automobili autonome o semi-autonome la cui componente
anormale, ciò che può significare una connessa verrebbe concepita secondo il metodo “security by design’’
semplice disfunzione o l’inizio di un ed il suo lotto di dati crittati aventi accesso agli ordini sensibili.
attacco in piena regola. Ritornando sull’ Intelligenza Artificiale
(A.I.) e sul suo ruolo nel campo della cyber-
sicurezza 4.0, Battista Cagnoni (Cyber
Security Expert, Vectra), ha spiegato a
lungo le ragioni di avere un SOC (Security
Operations Centre) rodato sia nei suoi
mezzi umani, le le sue procedure che le
sue tecnologie, prima di applicare delle
Fra la nuova generazione di tecniche di A.I. alla sicurezza. Solamente
oggetti connessi, si trova certamente allora, le applicazioni di sicurezza di ultima generazione – associando
l’automobile, tema della presentazione A.I. e Machine Learning – possono essere di un reale aiuto e fornire
di Yannick Harrel (Capo dipartimento un vero valore aggiunto, permettendo per esempio di eseguire un
strategie presso il gruppo franco-tedesco buon numero di azioni di smistamento umane, lunghe e fastidiose,
Tecnology & Strategy). Soggetto della e di concentrarsi sui dati che indicano delle anomalie. Esse si
sua ultima opera, Automobiles 3.0 5, la rivelano particolarmente intuitive, nel campo dell’anticipazione dei
tecnologia inserita nei veicoli attuali metodi di azione possibili dei criminali, e permettendo alla grande
che pone innumerevoli problemi di maggioranza dei membri del SOC di concentrarsi sulla resilienza, la
sicurezza causati dalle vulnerabilità native dei sistemi e dei modi di difesa durante un attacco, la rimessa in ordine delle zone toccate,
comunicazione scelti – e compilati – dal costruttore per uno stesso e in seguito di concentrarsi sull’analisi forense e sull’investigazione
ed identico veicolo, ciò che fa si che l’automobile di oggi non è più dell’incidente.
unicamente il frutto del lavoro del costruttore (la marca) ma anche
dei fornitori di sistemi di bordo, spesso i giganti del settore IT&C.
Insistendo sul fatto che le falle non sono sempre dovute
all’inattenzione o al rifiuto di mettere in sicurezza da parte dei
fabbricanti e dei loro subappaltatori, l’oratore sottolinea che
numerose brecce di software sono in realtà sconosciute fino a
quando dei pirati non le utilizzano con uno Zero Day.
Per di più, esse favoriscono un’omogeneità ed una coerenza nelle
azioni dei membri dell’equipe, permettendo di evitare al massimo
delle frizioni durante la gestione della crisi propriamente detta. Ma,
Battista Cagnoni è prudente: a suo parere, molti delle procedure di
cyber-sicurezza assistiti dall’A.I. non sono ancora completamente a
punto, uscendo appena dalla fase teorica e archetipale alla fase di
messa in opera sul mercato. Inoltre, ed è probabilmente uno dei
Solamente in seguito queste falle saranno oggetto di correttivi. punti più importanti, a nostro avviso, di questa presentazione, la
Due fattori si congiungono per rendere un veicolo poco sicuro messa in evidenza, in modo reiterato, del fatto che i due termini
poiché troppo equipaggiato in elettronica : la domanda e (A.I. e Machine Learning) diventano – come troppi vocaboli utilizzati
l’abitudine dei consumatori di disporre di un insieme di funzioni nel mondo digitale - dei veri “ripostigli per tutto’’, inducendo clienti,
all’interno stesso dell’abitacolo, ciò che rende impossibile la loro utilizzatori e anche specialisti a dover sistematicamente verificare
limitazione tecnica come per esempio, l’impossibilità di disattivare di che si tratti esattamente. Il qualificativo “esoterico’’ utilizzato
gli aiuti elettronici che servono alla stabilizzazione del veicolo in dall’oratore per designare le tecniche di Supervised Machine Learning
36
è perfettamente corretto, poiché questa definizione copre dei security service providers on IP- based systems and IT platforms provides
semplici aspetti euristici fino a quelli ben più complessi dei modelli an ideal opportunity for cyber-attacks’’ (PSIM Video Surveillance Report
più performanti, spesso utilizzati in concomitanza. 2017, v.6).
Aprendo il dibattito sulle nuove strategie, Luca Tenzi (Specialista Arthur Lazar (Vice Direttore del
in Convergence) ha sottolineato che all’ora del 4.0, la semplice centro Cyberint del Servizio Romeno
convergenza fra il campo fisico e quello numerico, non è stata capita. di Intelligence), ha portato un punto di
Ne è la prova una constatazione recente vista geostrategico globale completando
di Scott Borg, Directeur of the U.S. Cyber perfettamente così il discorso precedente.
Consequences Unit: As long as organisations Nella lunga ricerca che ha condotto - e
treat their physical and cyber domains as pubblicato7 - sulla definizione ed il ruolo
separate, there is little hope of securing either del cyber-potere, l’autore dimostra che
one. The convergence of cyber and physical ormai, quest’ultimo ingloba tutte le altre
security has already occurred at the tecnical forme del potere tradizionale. Se si trattasse solo di questo, non si
level. It is long overdue at the organizational tratterebbe che di un adattamento del mondo contemporaneo ai
level.’’ nuovi mezzi tecnologici disponibili.
Il più grande problema di questa inadeguatezza, è che essa si Purtroppo non è per niente così. Certo, un vero cyber-potere
rifà alla natura stessa delle generazioni che sono al potere oggi, statale deve, per durare, riposare su una struttura omogenea
altrettanti individui che non sono nati e non sono cresciuti nell’era costituita dai quattro poteri convenzionali, ma diventa anche un
digitale. potere in sé, disponibile per delle entità ibride anche non-statali.
Così, il discorso di Luca Tenzi, lungi dal rivolgersi alle sole
corporazioni, è di una grande utilità per ogni imprenditore,
poiché il “ 4.0’’ fa si che numerose vulnerabilità e pericoli, che non
concernevano prima che delle imprese molto grandi, sono ormai
anche quelli delle PME e degli affari di media grandezza.
Compilando uno stato della questione6 attraverso illustrazioni
semplici ma molto percuzienti – come quelle che illustrano i diversi
punti vulnerabili di una stampante-scanner wifi d’ufficio -, l’oratore
continua in seguito il discorso su tutti gli errori volontariamente
prolungati per colpa di coerenze e di cultura (macchina da presa
video, reti di aria condizionata, allarmi collegati non si sa come a
dei server e sorvegliati dai responsabili della sicurezza fisica), poi ci
conduce nel mondo reale degli oggetti “4.0’’ con, in primo luogo, dei
grafici impressionanti che mostrano la crescita esponenziale della
vendita di droni (in particolare per la sorveglianza di infrastrutture
o ancora per la consegna di pacchi) dove – quasi – solo quelli
destinati alle entità governative sono stati muniti di hardware in cui
la sicurezza si riserva la parte del leone.
«Online and offline worlds will merge to such a degree that we will no
longer be able to differentiate them»
Peggio ancora, si assiste ad una fusione ormai totale fra il mondo
online ed il mondo offline, a un punto tale che ben presto saremo
portati a non più potere chiaramente differenziarli, ciò che esporrà
i meno resilienti a degli attacchi a tutto azimut, ivi compresi
nei campi tradizionalmente considerati come appartenenti alla
Concludendo sulla necessità assoluta di comprendere la sicurezza sicurezza “fisica’’.
come un tutto, la citazione conclusiva – che è valida anche al Tuttavia con un ottimismo improntato di sobrietà, Arthur Lazar
rovescio – è spietata : “The lack of technical knowledge of phisical riafferma che al giorno d’oggi se dei gruppi criminali o terroristi,
37Trends
Central Folder - Cybersecurity
delle entità anonime e degli Stati deboli possono, certamente, Ha anche ricordato che il modo di finanziamento (pubblico-
acquisire delle capacità offensive e creare dei danni talvolta severi, il privato) incitava ancor più ad una eccellente e reciproca
vero cyber-potere rimane nelle mani degli Stati più potenti. Questo collaborazione, poiché ciascuno dà e riceve nello stesso tempo.
stato di fatto è dovuto, giustamente, alla presenza di altre forme di L’idea stessa di tale ‘ fusion center ’ rispondendo in qualche sorta agli
potere, che permettono agli Stati di agire in modo intelligente nella interrogativi sulla convergenza posti dall’intervento di Luca Tenzi,
difensiva come nell’offensiva. è assolutamente innovante poiché le équipe sul posto 24/365 si
Per questo, essi hanno a disposizione tutte le basi governative, occupano di tutti i casi di sicurezza, dal semplice crimine all’atto
economiche, militari, sociali, legali e legittime per legiferare, terroristico e dal data hack al cyber-attacco di rilievo, passando
regolamentare, innovare, contrattaccare, rinforzare la propria attraverso tutte le forme di disastri naturali o umani che possono
resilienza ottimizzando la collaborazione con i cittadini ed il settore accadere nel loro raggio di azione.
privato, iniettando delle somme colossali in funzione delle decisioni La condivisione di tutti i ragguagli
politiche e delle possibilità economiche, altrettanti campi che un sui pericoli informatici – con lo scopo
attore non governativo o uno Stato-pirata non possiede. di proteggere le informazioni sensibili
La sola condizione? Avere degli Stati “smart’’, delle élites politiche – è stata al centro del discorso di
al corrente delle sfide e dei consiglieri tecnocrati lungimiranti che Chems-Eddine Zair (CISO dell’Unione
capiscano quali sono le poste a corto, medio e lungo termine, Internazionale delle telecomunicazioni –
alfine di investire regolarmente in questo campo e creare i dialoghi ONU/Ginevra).
necessari ad una solidarietà Stato-Impresa-Cittadino e intra-statale. Egli ha spiegato la nascita, nel 2014,
La quarta ed ultima seduta del primo poi la messa in opera della STIP (Shared
giorno, dedicata alle poste degli scambi threat intelligence platform) comune a tutte le agenzie dell’ONU
di informazione, ha avuto inizio con una al fine di costituire un ambiente circostante messo in sicurezza
vera “première’’: in diretta dal Regional permettendogli, così come ai suoi omologhi di altre agenzie, di
Operations & Intelligence Center (ROIC) di lavorare di concerto e di rinforzare la loro resilienza globale.
New Jersey, Joe Billy Jr. in persona (ex Le loro capacità di difesa contro le minacce in corso, ma anche
Vice-direttore dell’FBI) ed il Luogotenente la loro facoltà di anticipazione delle minacce future, si è ritrovata
Jeremy P. Russ (New Jersey State Police) moltiplicata, poiché questa piattaforma offre da un lato la possibilità
hanno insistito sull’importanza di una di capire l’anatomia degli attacchi subiti da altre agenzie, ma anche,
collaborazione reale ed efficace fra il d’altra parte, di mettere a giorno regolarmente le procedure di
settore privato e le differenti istituzioni resilienza di ogni organizzazione, che diventano così immuni se
pubbliche specializzate nella lotta contro sono prese di mira con le stesse tecniche utilizzate durante un
la criminalità in tutte le sue forme. attacco che ha toccato un’agenzia consorella.
Grazie alle azioni del Lt. Russ, Lo scambio di informazioni è rimasto
responsabile del Private Sector Advisory al centro del dibattito, ma questa volta
Group (PSAG) e alla messa in opera del nella sua sfaccettatura vulnerabile, con
Fusion Center, il New Jersey si è dotato il Dr. Stephen Foreman (Responsabile
di un “one-stop-shop’’ per le imprese, che dei metadata, della gestione e della
collaborano attivamente alla sicurezza (dalla segnalizzazione di un rappresentazione dei dati presso
semplice individuo potenzialmente pericoloso in un negozio, alla l’Organizzazione Mondiale della
domanda di aiuto per un attacco informatico in atto), mentre il Meteorologia - WMO / ONU – Ginevra).
ROIC fornisce formazioni, consigli, assistenza e gruppi di incontro, Allorquando si è responsabili dei dati
apprendendo a sua volta quali sono le sfide maggiori del sistema in un’organizzazione così importante, ha spiegato il Dr Foreman, si
economico e sociale dello Stato in questione. può essere sia il bersaglio che la vittima collaterale di un attacco.
Joe Billy Jr. ha invece rievocato il modello costituito da qualche La WMO, ricevendo senza sosta dei bollettini delle agenzie
ROIC esistenti negli Stati Uniti, di cui quello del New Jersey è di gran specializzate di ciascuno dei 185 Stati membri, ma anche dei
lunga il più efficiente. differenti satelliti come pure di una molteplicità di mezzi di trasporto
Posti sotto il controllo della Polizie dello aerei e marittimi connessi, deve ormai vegliare, da un lato alla
Stato concernente, essi concentrano degli veridicità di queste informazioni, ma anche alle loro implicazioni su
agenti di quasi tutte le agenzie governative terzi.
americane (FBI e Homeland Security in La sfida non è minore, poiché in qualche decennio, gli stessi
testa), ciò che ha permesso di accorciare al rapporti sono passati da 50 linee baud (telex), poi da corti
minimo il tempo di risposta alle allerte così messaggi testi, a files in rappresentazione binaria o documenti
come lo spiegamento di tale o talaltra forza XML, raggiungendo ormai parecchi gigabit, nei quali possono
sul posto in funzione del tipo di incidente. nascondersi diversi malware.
38pericoloso che la maggior parte dei consigli di amministrazione
non considerino questa stessa sicurezza, mal capita, che per la via
indiretta delle multe incorse in caso di hack o di non conformità
nei loro metodi di protezione dei dati, come se si potesse isolare
l’elemento “dati confidenziali’’ dall’insieme dell’ecosistema di
sicurezza… Tutto questo ci invita a ricordare la crescita esponenziale
di numerosi amministratori per un solo medico nelle strutture
mediche americane, raggiungendo così una disparità di quasi 200
contro 1 ed un aumento dei costi di 2300% in quasi 40 anni…
Dal lato positivo, ma non meno inegualitario, il GDPR, nei paesi
in cui il mercato delle assicurazioni va bene, come in Svizzera o nel
Lussemburgo, ha visto in questi ultimi mesi lo sviluppo di un’offerta
destinata ai cittadini, che scelgono ormai con implicazione
e atteggiamento proattivo i dati che desiderano proteggere,
rimanendo ben presto gli unici, grazie alle protezioni proposte a
dei prezzi a minima, a potersi permettere dei processi negli Stati
Nel secondo registro, quello dei “ fornitori di informazioni rese Uniti, poiché la maggioranza degli assicuratori assume gli oneri per
vulnerabili’’, la WMO, ha dovuto lavorare in stretta collaborazione con avvocati ed esperti fino ad un milione di franchi svizzeri8.
parecchie agenzie governative e militari, ma anche con armatori,
proprietari e noleggiatori dei…cargo marittimi. In effetti, è apparso
dall’inizio della crisi del Corno d’Africa che la trasmissione dei dati
meteo che ogni nave di grande tonnellaggio faceva attraverso le
frequenze convenzionali era utilizzata dai pirati per reperire, poi
assaltare questi stessi natanti.
La giornata si è conclusa con una corta
nota di Laurent Chrzanovski (Manager
del Congresso e Redattore della rivista
Cybersecurity Trends) sulle conseguenze
positive e negative della “Conformità’’
(compliance). Al contatto permanente
delle grandi imprese, l’oratore ha potuto
in questi ultimi anni notare, in primis
con l’approccio imminente dell’entrata
in vigore del GDPR, l’aumento esponenziale di quadri e di L’avvenimento conclusivo del primo giorno: il lancio, da parte di
impiegati puramente amministrativi, aiutati da numerosi giuristi e Marco Essomba, Norman Frankel e Laurent Chrzanovski della
da specialisti in sicurezza, la cui sola attività consiste nel redigere 1° edizione di Cybersecurity Trends in lingua tedesca, la 5° lingua
rapporti di conformità ad uso interno poi ad uso delle istituzioni della rivista trimestrale gratuita di awareness.
statali – quelle stesse istituzioni che, a livello U.E., saranno meno del
30% in media ad essere “compliant’’ al GDPR nel maggio 2018…
Nel momento in cui tutte le imprese si lamentano della
mancanza di specialisti in sicurezza, Laurent Chrzanovski giudica
L’equipe della Swiss Webacademy: Andreea Mihet, Marius
Amza e Daniela Chrzanovski.
39Trends
Central Folder - Cybersecurity
Brillante oratore, ha spiegato nei
dettagli le due maggiori crisi che ha
dovuto affrontare, in qualità di direttore
di PMI Grecia quando la crisi economica è
scoppiata, poi in quanto direttore di PMI
Ucraina in pieno Euromaidan con i suoi
corollari di violenze e con gli impiegati
divisi sul soggetto. Passando in rivista
numerosi avvenimenti drammatici di
ogni sorta – prendendo l’esempio del 2014 – a livello planetario,
ha dimostrato che nessuno è al riparo e che la gestione di una crisi
maggiore non ha che una sola soluzione: costruire delle formidabili
equipe offrendo a ciascun impiegato la possibilità di svilupparsi sul
piano personale e collettivo.
Ma, per riuscire questo,
bisogna imparare a costruire una
GIORNO 2: 8 DICEMBRE 2017 propria proposta all’interno del
business-model di una impresa.
L’allocuzione di Rosheen Awotar- Un discorso che deve avere una
Mauree (Unione Internazionale delle propria ragione di essere e che si
Telecomunicazioni, Programme Officer trasmette ai propri collaboratori.
presso l’Ufficio Europa), ha spiegato al Bisogna ormai saper innovare in modo sistematico, al di sopra e
pubblico le ragioni del sostegno della aldilà degli spazi esistenti, collocando l’utilizzatore all’epicentro della
Agenzia al congresso di Porrentruy, ma ha propria riflessione (user-centered design). E’ in questo paradigma che
soprattutto permesso di chiarire il ruolo risiede la migliore possibilità di resistere al peggio e, ancor meglio,
leader di questa istituzione nel campo di produrre rivolgimenti tanto positivi che inattesi.
della Cyber-sicurezza, un’attribuzione L’invitato seguente non era altro che
conferita nel 2007 dall’A.G. dell’ONU. Costin Raiu (Direttore del Global Research
In questo quadro, l’ITU ha sviluppato un framework per aiutare and Analysis Team di Kaspersky Lab). Il
gli Stati membri a sviluppare in continuazione le proprie capacità di celebre ricercatore ha passato in rivista
resilienza e compila regolarmente il Global Cybersecurity Index, la le minacce persistenti (APT) del 2017 e
cui ultima edizione è appena uscita9. i loro costanti mutamenti, ma anche le
vulnerabilità che hanno permesso gli
“ exploit” dell’anno e le più importanti
“fughe”. L’aspetto più inquietante rivelato
in questa presentazione è lo sfruttamento sempre più polivalente
di tutti gli elementi, come lo rileva il caso “Lazarus“, un gruppo
specializzato nel cyber-spionaggio di punta e nelle tecniche di
cyber-sabotaggio, che ha lanciato la propria “filiale’’, “Bluenoroff“,
specializzata nella frode bancaria di levatura e le cryptocurrency
mining.
Questo indice, classificando gli Stati secondo la loro robustezza,
è basato su un insieme di parametri di sicurezza digitale dei paesi,
includendo non solo le attività degli attori pubblici, ma anche
le iniziative di partenariato pubblico-privato, le formazioni e le
capacità umane e tecniche.
Il primo invitato speciale, Christos Tsolkas (Vice-Presidente
di Philip Morris International – PMI) ha saputo con il suo discorso
introdurre perfettamente il pubblico nel cuore stesso del soggetto:
la gestione umana di una crisi maggiore.
40Gli attacchi si fanno sempre più sofisticati, utilizzano innumerevoli Mauro Vignati (Responsabile
mezzi di camuffamento per dissimulare i loro autori e soprattutto, Cyber dei Servizi di Intelligence della
sono sempre più vicini all’immagine di un camaleonte: un attacco Confederazione) ha brevemente
che assomiglia ad una frode bancaria può di fatto nascondere una spiegato la sua missione. Senza fornire
prodezza riuscita di spionaggio industriale o ancora, un attacco di molti dettagli, che il suo statuto non gli
tipo crypto-ransomware maschera un vero tsunami di malware permette, ha comunque messo l’accento
destinati ad immobilizzare delle catene intere di produzione o di su un argomento chiave: con delle risorse
distribuzione. umane in accordo alla taglia del Paese,
A questo si aggiungono i gruppi specializzati nella propaganda la cooperazione internazionale rimane
e la contropropaganda specializzata, incitando il mondo politico la sola soluzione, allo stesso modo degli scambi automatici di
e mediatico ad abbandonarsi ad attribuzioni frettolose, spesso informazione con gli attori principali del campo privato.
statali. L’intossicazione e le “ false bandiere” sono così diventate uno La sua priorità principale, in effetti, è di difendere la Svizzera ed i
degli scopi maggiori della cyber-criminalità di levatura, allo stesso suoi interessi strategici in primis di fronte alle minacce permanenti
modo delle consegne “ gratuite’’ di vulnerabilità o l’utilizzazione di più pericolose (APT e le loro mutazioni). Il lettore avido di più dettagli
programmi open-source, che confondono ancor più gli specialisti troverà uno stato della questione nei rapporti esaustivi di MELANI10,
nelle loro ricerche sulle origini e sugli scopi perseguiti da tale o il cui secondo rapporto semestrale 2017 è atteso fra poco.
talaltra minaccia. Il Col. Anton Rog (Direttore del
Centro Cyberint del Servizio Romeno di
Intelligence) ha incominciato descrivendo
il modo di funzionamento della struttura
che dirige con le sue priorità.
Sotto la sua direzione, il Cyberint ha
preso una nuova dimensione, aprendosi a
numerosi partner, al fine di rinforzare non
solo il livello nazionale di resilienza, ma
anche di perfezionare le conoscenze dei membri delle sue equipe.
La moltiplicazione degli attori, le risorse in possesso dei gruppi Il Cyberint è stato così uno dei pilastri del Cydex, il primo esercizio
più in avanti, l’utilizzazione volontaria dei leaks e lo spionaggio di crisi nazionale in materia di cyber-sicurezza, riunendo non meno
portato avanti con lo scopo della disruption del sistema finanziario di 60 entità pubbliche e private e analizzando le loro capacità di
sono in piena crescita, e bisogna aspettarsi ad un potenziamento di prevenzione, di allerta, di reazione e di collaborazione.
questi fenomeni nel prossimo anno, ha concluso Costin Raiu.
L’ultimo invitato speciale fu il Generale
d’Armata (5S) (ret.) Marc Watin-Augouard
(Fondatore del Forum Internazionale
di Cyber-sicurezza). Con il brio che lo
caratterizza, il Generale si è abbandonato
ad una vera arringa in favore della rinascita
di un’Europa sovrana, svelando l’aspetto
più sconosciuto del GDPR: una vera arma
diplomatica e commerciale che l’UE ha
finalmente in mano, dopo una lunghissima gestazione.
In effetti, ormai, per poter commerciare con i Paesi dell’Unione,
i Paesi terzi devono ora armonizzare le proprie leggi al fine di
rispettare questa normativa e garantire i diritti dei loro clienti e dei
loro fornitori se questi ultimi sono europei.
Se l’Europa è forte, essa potrà servirsi del GDPR per andare Il lancio di un master in collaborazione con l’Università Politecnica
molto più lontano, come imporre la localizzazione all’interno delle di Bucarest, così come l’organizzazione, con molti partner, del
sue frontiere dei server che contengono dei dati inquadrati dal “Romania Cybersecurity Challenge’’, che ha visto affrontarsi delle
regolamento. squadre venute da tutta Europa, dimostrano così l’apertura
Ottimista, il generale considera che il GDPR è il primo strumento del Servizio verso le altre istituzioni pubbliche, verso il settore
che permette infine all’UE di negoziare alla pari compreso con privato e verso altri Stati, una componente rinforzata da 5 anni di
le grandi potenze, avendo finalmente delle norme precise ed collaborazione attiva del Cyberint (più di 5000 ore di lavoro annuali)
obbligatorie per chiunque voglia fare affari con i suoi membri. in seno alla Cyber Coalizione dell’ OTAN.
41Trends
Central Folder - Cybersecurity
Nicola Sotira (Presidente del Global L’individuo lambda accetterà di non fidarsi che alle cifre che
Cybersecurity Center) ha dipinto un appariranno sul suo mobile, di abbandonare la moneta e le carte
quadro impressionante - ed insieme di credito, e di vedere ogni sorta di intruso venire a proporgli dei
preoccupante – della trasformazione finanziamenti tanto attraenti quanto pericolosi non appena farà un
digitale delle imprese verso le piattaforme ordine il cui montante supera i suoi mezzi?
mobili al servizio del cliente. Preso fra Un secondo sguardo prospettico e
l’incudine ed il martello (i bisogni del altrettanto inquietante è stato presentato
marketing e la volontà dell’utilizzatore da Mika Lauhde (CEO, 65° Security,
do beneficiare di interfacce semplici per Finlandia). Membro di tutti gli stakeholder
gli smartphone), il CISO deve saper essere, alla volta, tollerante, groups che contano in UE (Enisa, Europol,
adattativo e in qualche sorta deve “salvare il salvabile’’ perché EC ecc.), l’oratore ha voluto ponderare
almeno, su un supporto così vulnerabile, le applicazioni fornite un certo numero di espressioni di
dall’impresa che difende, siano le più sicure possibili. Il discorso, allegrezza continentale la cui innocenza
carismatico, dell’oratore - che opera da vent’anni nel settore privato è sorprendente. NIS, GDPR ed altre
multinazionale ed in particolare italiano, non offre nessun’altra normative sono, certo, dei passi in avanti che l’autore non contesta
interpretazione plausibile sul futuro delle relazioni venditore- – ed ai quali ha contribuito quale membro delle organizzazioni che
cliente, già a corto termine, quasi totalmente smartphone-oriented, le hanno proposte – ma incita a non mischiare “buon grano e loglio’’.
con un aumento probabilmente esponenziale di questo mezzo L’Europa, benché rinforzata giuridicamente, ha già perso tutte
dall’entrata in vigore della liberalizzazione totale delle transazioni le battaglie tecnologiche, ciò che rende quasi legittimo il fatto
bancarie (Normative PSD2) nel giugno 2018. di chiedersi se il GDPR potrà migliorare l’intimità dei suoi propri
concittadini.
Mika Lauhde, erigendo un parallelo fra le forze presenti, constata
semplicemente che di fronte al GDPR dell’UE si trova (almeno)
una grande potenza che accumula la padronanza (ed una messa
in opera già effettuata da lungo tempo) dei suoi propri sistemi di
operazione attraverso computer, dei suoi propri standard di sistemi
operativi in materia di smartphone, dei suoi propri standard in
materia di cyber-sicurezza, dei suoi propri certificati obbligatori,
delle sue proprie manifatture di microprocessori, delle sue proprie
applicazioni di controllo di smartphone e dei suoi propri sistemi
di controllo delle reti sociali. Altrettanti elementi utilizzati da ogni
cittadino europeo ma sfruttabili da multinazionali e governi terzi
senza alcun limite.
Le competenze dei SOC, dei CISO, dei CSO, devono evolvere Peggio ancora, l’oratore sottolinea un certo numero di ricerche
rapidamente poiché tutto l’ecosistema di difesa e di resilienza di punta europee (in criptaggio, trasmissioni, sistemi specifici) che
dovrà essere al tanto delle vulnerabilità e dei punti deboli di ogni per mancanza di sbocchi coerenti sono state comperate e adottate
smartphone, ciò che moltiplica i rischi all’infinito in rapporto a quelli da grandi potenze nel campo civile ma anche fin nel campo
che conoscono, affrontano e combattono in modo “tradizionale” dell’aeronautica militare di avanguardia. Mika Lauhde non può
laptop e server. che concludere che trascorsa la fase “legiferante’’, l’UE deve ormai
Nicola Sotira conclude con una nota di ottimismo che non ridiventare padrona di un certo numero di strumenti di base delle
è legata all’ecosistema numerico specializzato, ma bensì… al tecnologie utilizzate da chiunque, se vuole sopravvivere nel mondo
cittadino, con una questione che è ben lontana dalla retorica: “Do di domani altrimenti che nel ruolo di consumatore passivo.
you trust the figures that appear on your mobile phone’s display as La mattinata si è conclusa con un ultimo elemento, instabile
much as you trust the money you have in your wallet?’’. per natura e riguardante pienamente la sicurezza, che deve ormai
tenerne conto: il riscaldamento climatico.
La presentazione di S.E. Abdallah
Mokssit (Segretario Generale del Pannello
Intergovernativo sul Cambiamento -IPCC)
chiamato all’ultimo momento a recarsi
ad un summit all’estero, è stata tenuta
dal Dr. Stephen Foremann (WMO).
Questa allocuzione ha rappresentato
il punto culminante dell’elemento di
42Puoi anche leggere
