Mancati aggiornamenti e ingenuità delle persone alla base degli attacchi hacker
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
16 FEBBRAIO 2023
Il Sole
DigitEconomy.24 – La minaccia dei cyber attacchi
PARLA ROBERTO BALDONI, DIRETTORE GENERALE DI ACN
«Mancati aggiornamenti e ingenuità delle
persone alla base degli attacchi hacker»
A
lla base dei recenti gati all’investimento nella sicu- LA POSIZIONE DEL POLITECNICO
attacchi di hacker all’I- rezza informatica. In generale di
talia ci sono il mancato cybersecurity,dichiara il direttore «La formazione
aggiornamento dei software, i generale a DigitEconomy.24, cyber va completata
difetti di quest’ultimo e l’inge- report del Sole 24 Ore Radio-
nuità delle persone. A spiegarlo cor e di Digit’Ed, nuovo gruppo in azienda»
è Roberto Baldoni, direttore attivo nella formazione e nel
generale dell’Acn, l’Agenzia per digital learning, si parla molto,
la cybersicurezza nazionale. Gli attacchi rivolti a fornitori di con- ma non sempre «è informazione
attacchi massicci, che a inizio nettività per realtà pubbliche; di qualità». Intanto, nel campo
febbraio hanno colpito prima la senza una loro reazione tempe- delle competenze, Baldoni con-
Francia, poi l’Italia, sono stati stiva si rischiava di creare un al- ferma la stima già diffusa l’anno
rivolti a aziende e istituzioni, tro caso Regione Lazio. In Italia a scorso: in Italia «c’è una grave
ma grazie all’allerta lanciata soffrire, in particolar modo, sono carenza di figure professiona- Donatella Sciutto,
dall’Autorità, molte di loro, circa le Pmi che spesso non investono li», mancano all’appello circa rettrice del Politecnico di Milano
200, sono riuscite a reagire in perché per loro «la cybersecurity 100mila figure professionali, 3-4
In Italia, nonostante gli sforzi delle
tempo e ripristinare la sicurezza. - spiega Baldoni - è un costo», milioni nel mondo. università, mancano i profili di cy-
In particolare, si sono registrati senza considerare i risparmi le- >> continua a pag. 2 bersecurity richiesti da aziende e
istituzioni. «Non è semplice - spiega
Donatella Sciuto, rettrice del Poli-
IL PUNTO DI EUGENIO SANTAGATA, CHIEF PUBLIC AFFAIRS & SECURITY OFFICER DI TIM E AD DI TELSY tecnico di Milano - ampliare l’of-
ferta perché il numero di docenti in
«Servono più risorse per sostenere la cybersecurity» queste materie non si improvvisa».
Inoltre, per lavorare nella cyber-
C ontro i cyber attacchi «servo-
no più risorse per sostenere gli
acquisti in tecnologia e sviluppare
ning, «occorre sensibilizzare le
aziende sui rischi informatici»,
e agire «in ottica preventiva».
security non basta studiare, serve
implementare con la pratica le pro-
prie conoscenze: «Nel campo della
soluzioni contro la minaccia ci- Quanto alle competenze neces- cybersecurity - aggiunge la rettrice
bernetica». Lo sostiene Eugenio sarie per gestire la cybersecurity, nell’intervista a DigitEconomy.24,
Santagata, chief public affairs & Santagata chiarisce che Telsy report del Sole 24 Ore Radiocor e di
security officer di Tim e ammini- «nel corso di quest’anno farà Digit’Ed, gruppo attivo nella forma-
stratore delegato di Telsy, sottoli- assunzioni nell’ordine di alcune zione e nel digital learning - è molto
difficile completare la formazione in
neando come il ruolo della politica decine di unità specializzate.
aula e laboratorio; bisogna struttu-
oggi abbia recuperato il gap che Eugenio Santagata, chief public affairs & Si cercano esperti in computer
rare collaborazioni con le aziende
c’era in passato nell’ambito della security officer di Tim e ad di Telsy science, in matematica, critto- per aiutarle a creare e formare le
cybersecurity. Occorre tuttavia, grafia, ingegneria informatica, persone, con percorsi che siano nel-
spiega nell’intervista a DigitEconomy.24, report ingegneria elettronica, ma anche giovani formati la dimensione lavorativa».
del Sole 24 Ore Radiocor e di Digit’ Ed, nuovo in materie umanistiche». >> continua a pag. 4
gruppo attivo nella formazione e nel digital lear- >> continua a pag. 4
1
>>>DALLA PRIMA PAGINA - PARLA ROBERTO BALDONI, DIRETTORE GENERALE DI ACN
Mancano ancora all’appello circa 100mila figure
nella cybersecurity in Italia, 3-4 milioni nel mondo
Che cosa non ha funzionato nell’ultima
©Cybertech
ondata di attacchi hacker all’Italia che ha
preso di mira i server VMware ESXi?
Molte aziende vengono da un secolo analogico e
non hanno ancora sviluppato una piena cultura
della sicurezza informatica. Gli hacker malevoli
approfittano di tre cose: del mancato aggiorna-
mento di software e sistemi e poi dei difetti del
software, ma anche dell’ingenuità delle persone.
Negli ultimi attacchi il problema è stato che i
software deputati a fare un certo lavoro, a for-
nire servizi digitali, non erano stati aggiornati. Se
il software fosse stato aggiornato come indicato
da tempo dal produttore, i criminali non sareb-
bero riusciti a sfruttarne la vulnerabilità.
I mancanti aggiornamenti sono legati al
fatto che le Pmi investono ancora poco
in cybersecurity? C’è abbastanza infor-
Roberto Baldoni, direttore generale dell’Acn, l’Agenzia per la cybersicurezza nazionale
mazione sull’importanza di investire in
cybersecurity?
Le Pmi non investono perché spesso ritengono collaborazioni, il Cyber Innovation Network, per L’anno scorso, secondo l’Acn, mancavano
la cybersecurity un costo, che però si moltiplica il lancio di programmi nel campo della cyber- in Italia 100mila esperti in cybersecurity,
in caso di un attacco. Spieghiamoci meglio. È sicurezza a supporto di start-up che operano la situazione è migliorata?
come l’assicurazione sulla macchina: l’assicura- in settori di interesse dell’Agenzia come data Dobbiamo confermare come in Italia ci sia una
zione ha un costo. Se decido di non pagarla per science, robotica, blockchain, intelligenza artifi- grave carenza di figure professionali esperte
risparmiare, quando avrò un incidente dovrò ciale, Internet of things, computazione quanti- in cybersecurity. Anche se 100mila non è il
spendere molto di più di quanto mi sarebbe stica e crittografia. Il Cyber Innovation Network risultato di un calcolo preciso, si avvicina alle
costata l’assicurazione. Circa l’informazione, è fa parte del Programma strategico a sostegno necessità più immediate. Il problema non è
possibile dire che ormai la cyber è diventata dell’imprenditorialità innovativa e della ricerca italiano ma mondiale. Si stima che manchino
argomento quotidiano, soprattutto, e diciamo, pubblica, previsto dalla Strategia nazionale di a livello globale fra i 3 e 4 milioni di professio-
purtroppo, per gli attacchi hacker, ma è anche cybersicurezza 2022-2026, per rafforzare l’au- nisti della cybersecurity. Non ce lo possiamo
vero che si sfornano molti libri sull’argomento, tonomia strategica del Paese nel campo della permettere. Più la nostra vita sarà affidata al
ci sono giornalmente convegni ed eventi dedi- cybersicurezza. Più tecnologia saremo in grado software e agli apparecchi digitali, più sarà
cati al tema, le università offrono corsi, borse di di produrre e di esportare come Italia e come necessario avere degli esperti in grado di co-
studio e master, sui social se ne parla e tanto. Europa, più saremo in grado di mantenere un struire dispositivi inerentemente sicuri, svilup-
Insomma, non è sempre informazione di quali- processo di trasformazione digitale in “sicurez- pare software affidabile e di gestire eventuali
tà, ma l’argomento oramai si è imposto all’at- za” per il Paese. Identificare attraverso Cyber incidenti. Poi occorre preparare gli esperti in
tenzione del pubblico. Innovation Network le migliori startup e aiutar- grado di lavorare su fronti che nei prossimi
le ad avere una crescita costante all’interno di anni assumeranno una rilevanza straordinaria
il 27 febbraio scade il termine per par- un mercato europeo ancora molto frammenta- come la crittografia e il quantum computing.
tecipare al programma per le start up to in un settore che, secondo l’European Inve- L’avviamento massiccio dei giovani alle disci-
nella cybersecurity, che avete lanciato. stement Bank, ha a livello mondiale un valore pline Stem (Scienza, tecnologia, ingegneria,
Che tipo di partecipazione avete avuto di circa 148 miliardi di euro. La seconda area di matematica) è importante per le loro carriere
e quali gli obiettivi di questo progetto di intervento sarà dedicata al supporto e alla va- professionali e per il Paese. Infine anche co-
finanziamento? lorizzazione dei risultati della ricerca pubblica. loro che virano su studi umanistici dovranno
Stiamo ricevendo diverse candidature e la pro- In questa fase, Acn ha l’obiettivo di coinvolgere essere necessariamente esposti ai concetti e
cedura è in corso. L’Avviso ha l’obiettivo di sele- nel Cyber Innovation Network le strutture uni- alle regole che il mondo digitale impone, in
zionare incubatori e/o acceleratori che operano versitarie impegnate nel trasferimento tecnolo- modo da adattarsi velocemente alle modali-
nel campo dell’innovazione e delle tecnologie gico, mettendo così in circolo l’enorme portafo- tà con cui il loro lavoro cambierà nel tempo
emergenti dedicate alla cybersicurezza. È que- glio di risultati e di proprietà intellettuale che è ad esempio con l’affermarsi della intelligenza
sto un primo passo per costruire una rete di proprio del mondo della ricerca. artificiale.
2
PARLA EMMANUEL BECKER, PRESIDENTE DI IDA, PRIMA ASSOCIAZIONE ITALIANA DEI DATA CENTER
«L’Italia in genere non viene attaccata per prima,
grazie alla nostra rete informazioni in anticipo»
D ata center e cybersecurity sono
strettamente legati; se i server
non vengono aggiornati frequen-
L’associazione italiana Ida, collega-
ta alla rete europea, riesce a essere
informata in anticipo dei rischi
Becker, è paragonale a un aeropor-
to: «Più è importante per una città
e più la città può avere un ruolo a
temente, il rischio attacco aumen- Gli strumenti per difendersi sono livello locale e globale».
ta. Emmanuel Becker, amministra- diversi: «innanzitutto, occorre dif-
tore delegato di Equinix Italia e pre- fondere le informazioni e aiutare le Fondata Ida per avere una sola
sidente di Ida (Italian DataCenter imprese e gli utenti a essere più pre- voce comune, per dialogare con gli
Association), la prima associazio- parati». Inoltre, nota Becker, «quan- stakeholder e con il Governo
ne italiana dei costruttori e opera- do gli hacker attaccano preferiscono L’associazione ha una serie di
tori di data center, fa il quadro del- colpire dove si trovano più facilmen- obiettivi pratici, tra i quali quello di
la situazione alla luce dei recen- te i soldi per riscattare i dati. Si tratta parlare con una voce sola, di crea-
ti attacchi degli hacker. In questo di imprese criminali, dietro alle quali re e reclutare assieme i profili e le
contesto, Ida si pone anche come a volte ci sono degli Stati. In genere, competenze che servono, di puntare
strumento di aiuto ai suoi membri, es- si attacca il Paese più ricco, quindi Emmanuel Becker, sull’efficienza energetica. «Il primo
presidente dell’Italian DataCenter
sendo in collegamento con reti simili in Europa vengono colpiti dapprima Association (Ida) obiettivo è quello di rappresentare
a livello europeo ed essendo la Francia, come nei recenti casi, o la gli interessi del settore di fronte alle
gli attacchi in genere collegati tra Germania. Si attaccano Paesi legati ca e potenza digitale». Ida vuole, autorità locali e internazionali, alla
loro. In genere, infatti, vengono col- tra di loro, commercialmente e digi- dunque, aumentare l’importanza Comunità europea, al consorzio eu-
piti Paesi vicini e legati economica- talmente. L’Italia, quindi, anche se digitale dell’Italia nello scacchiere ropeo per il cloud Gaia X. In secon-
mente e l’Italia «raramente viene non è oggetto dell’attacco primario, europeo, federare i professionisti del do luogo, i data center producono
colpita per prima». Ida, nata dal si trova rapidamente sotto attacco». mondo dei data center provider, ma valore ma anche occupazione. Mal-
sodalizio fra la stessa Equinix, Mi- anche quelli dei costruttori e degli grado gli annunci di alcuni giganti
crosoft, Rai Way, Data4, Stack In- L’Italia è la terza potenza economi- operatori di data center. «Abbiamo del digitale sulla riduzione dell’oc-
frastructure, Digital Realty, Vantage ca europea ma la quinta digitale, studiato quello che esisteva negli cupazione, in realtà il bilancio è po-
Data Centers, Cbre, «è collegata con occorre aumentarne l’importanza altri mercati, in Spagna, Germania, sitivo con la creazione di migliaia di
The european data center associa- Va considerato che «l’Italia è la ter- Inghilterra e altri Paesi europei. La posti ogni anno nel digitale. A volte
tion», e in questo modo è informata za potenza economica e la quinta creazione effettiva è avvenuta a il mondo dell’istruzione non prepa-
dei rischi e può avvisare tempestiva- a livello digitale. C’è, quindi, una dicembre, l’annuncio è stato più ra accuratamente i profili richiesti e,
mente i suoi associati. discrepanza tra potenza economi- recente». Il data center, secondo quindi, noi li creeremo al nostro in-
terno, in collaborazione con scuole
ALMAVIVA CERCA NUOVE MILLE PERSONE IN AMBITO IT
e università». Un altro punto molto
Lo annuncia Marina Irace, direttrice Risorse umane del Gruppo importante è quello relativo all’effi-
A lmaviva cerca altre mille persone invece, vista la velocità del progresso cienza energetica, «visto che i data
nell’ambito It per il 2023. Dopo tecnologico, tutto diventa più fluido. È center sono energy intensive. Noi
avere assunto mille specialisti l’anno cambiata l’ottica: in azienda non ope- vogliamo studiare regole comuni da
scorso, la società, come annunciato a riamo per figure professionali, ma per proporre al legislatore». In quest’ot-
DigitEconomy.24, report del Sole 24 competenza. Nascono, quindi, nuove tica Ida, vorrebbe incontrare e
Ore Radiocor e di Digit’Ed, nuovo grup- professionalità ibride». Esemplifica instaurare un dialogo «con il sot-
po attivo nella formazione e nel digital Irace: «nella diagnostica, ad esempio, tosegretario all’Innovazione Alessio
learning, è in cerca di altre competen- servono figure nuove, medici che siano
Butti, con le Regioni, con il ministero
ze. «Nel settore - spiega Marina Irace, anche tecnici informatici. Professionisti
direttrice delle Risorse umane - c’è un
Marina Irace, direttrice Risorse umane di Almaviva
chiamati a usare le nuove tecnologie delle Imprese e del Made in Italy,
mismatch: molte aziende si stanno attrezzando con sempre con nuovi profili ibridi». Un’esigenza che Almaviva sente attore essenziale per capire in che
più reparti di informatica, ma il numero di professionalità anche nell’ottica delle nuove mille assunzioni nel 2023. modo possiamo favorire un impatto
presenti sul mercato non è elevato. Noi nel 2022 abbiamo Nel settore della cybersecurity e della mobilità sostenibi- positivo sul territorio». Quanto agli
già assunto un migliaio di persone nell’It, con profili diversi. le Almaviva ha dei reparti ad hoc: «facciamo formazione associati, al momento Tim non fa
Nel comparto, inoltre, c’è un turn over molto elevato, con all’interno, con percorsi di crescita. Le figure ricercate pos- parte dei soci fondatori, ma ci sono
numerose dimissioni spontanee (ne abbiamo contate 350). siedono una serie di competenze abbastanza comuni per stati contatti con Noovle e Sparkle,
Fenomeno che, tuttavia, è diminuito negli ultimi tempi». tanti profili dell’It. Partendo da una base informatica co- società del gruppo. «Siamo molto
Va poi considerata la nascita di nuovi profili professionali mune, quindi, facciamo crescere le competenze». Almaviva,
aperti a tutti gli attori che pensano
che vanno a coprire alcune esigenze finora mai presentate. infine, per la creazione delle competenze necessarie, colla-
Oggi, spiega Irace, si riscontra «fluidità nei profili profes- bora «con le più grandi università italiane. Inoltre, riteniamo di poter portare valore aggiunto nel
sionali che erano più stabili: prima, cioè, si parlava di svi- che l’orientamento debba essere svolto fin dalla scuola se- dialogo e nella creazione di valore
luppatore, analista, architetto di software e così via. Ora, condaria, prima della scelta del liceo o dell’istituto tecnico». sul territorio», conclude il manager.
33
>>>DALLA PRIMA PAGINA - LA POSIZIONE DEL POLITECNICO DI MILANO
«Le donne nelle materie Stem scontano un pregiudizio storico»
In Italia mancano ancora circa nale di cybersecurity. E i mHackeroni ti. Nel campo della cybersecurity è La figura del data analyst richiede
100mila figure nel settore della - nazionale italiana di hacker etici - si molto difficile completare la forma- molte competenze statistiche e infor-
cybersecurity; le università sono sono piazzati quinti a Las Vegas, ai zione in aula e laboratorio; bisogna, matiche e di natura applicativa. Sono
pronte a fornire i nuovi profili? mondiali di cybersecurity. quindi, strutturare collaborazioni con figure molto richieste e rimarranno
Le stime mescolano profili molto Quale ruolo possono giocare le le aziende per formare le persone. molto richieste, anche perché aiutano
diversi tra di loro che comprendono istituzioni per agevolare la na- Poi ci sono altri strumenti, come la a valutare gli stessi sistemi di Ai e di
ingegneri, informatici, ma anche fi- scita delle nuove, e sempre più Cyber Accademy, che forniscono alle machine learning. Occorre cioè veri-
gure specializzate in ambito legale, richieste, competenze? aziende un luogo di incontro con gli ficare che i dati non siano bias, ma
e manageriale. Nelle università esi- L’Agenzia per la cybersecurity na- studenti, creando un collegamento. siano invece rappresentativi.
stono diversi percorsi che cercano zionale rappresenta sicuramente un Certo, si può sempre fare di più; si po- Secondo un rapporto Istat del
di rispondere a tutte le esigenze. Al primo passo per mettere a sistema le trebbe, ad esempio, trovare il modo di 2021, 16 donne su 100 scelgo-
Politecnico di Milano, ad esempio, ab- attività e aiutare le aziende a gesti- formare gli studenti sugli stessi siste- no una disciplina Stem contro il
biamo una laura magistrale ad hoc in re le tematiche di cybersecurity. Noi, mi software delle aziende e, in que- 35% dei colleghi uomini. Riscon-
cybersecurity, oltre a un corso di base d’altro canto, come Politecnico siamo sto caso, servirebbe la disponibilità tra passi avanti?
che frequentano tutti gli ingegneri in- in collegamento con l’Agenzia e io dell’impresa a fornire il software ne- I miglioramenti sono lenti, ma ci
formatici. Esistono inoltre dei percorsi stessa faccio parte del loro comitato cessario, in forma gratuita, visto che sono. Avere il dominio tecnologico
che puntano a formare figure più in- scientifico che sviluppa programmi di le università non possono permettersi nell’ambito dell’informatica consente
novative che siano un mix tra tecnici, assunzione e formazione, ma anche di comprarlo. di avere un impatto anche su molte
manager, legali. Ad esempio, al Poli- diffusione, disseminazione delle te- L’arrivo sul mercato di sistemi componenti della vita di oggi; questa
tecnico c’è un corso di laurea in col- matiche di cybersecurity. di intelligenza artificiale sempre percezione manca ancora un po’ e ciò
laborazione con l’università Bocconi Quanto è importante e come più completi ha messo in dub- pesa nella scelta dell’università. Inol-
che ha proprio l’obiettivo di formare si può declinare il rapporto tra bio la validità futura di figure tre, scontiamo, nel caso delle donne,
professionisti per il mondo della pro- università e imprese per creare finora molto ricercate come il un pregiudizio storico e culturale se-
tezione dei dati personali o per l’or- le competenze necessarie? data analyst. Saranno superati condo il quale il mondo dell’ingegne-
ganizzazione della cybersecurity nelle Le aziende chiedono profili già pron- dall’Ai? ria non è un mondo per donne.
aziende. Certo, in generale, quelle
della cybersecurity sono figure molto IL PUNTO DI EUGENIO SANTAGATA, CHIEF PUBLIC AFFAIRS & SECURITY OFFICER DI TIM E AD DI TELSY
ricercate, e sono ancora mancanti.
Purtroppo non è semplice ampliare «Occorre sensibilizzare le aziende ai rischi informatici, in chiave preventiva»
l’offerta, anche perché il numero di Gli ultimi cyberattacchi contro ad esempio, è uno tra i pochi centri ita-
insegnanti in queste materie non si realtà italiane hanno fatto alza- liani di ricerca sui bug di sicurezza non
improvvisa. Ossia, i docenti ci sono, re l’asticella della preoccupazio- documentati (cosiddetti bug hunting)
ne. Cosa non ha funzionato? Oc- in ambito software, ma anche sulle
ma non sono sufficienti per ampliare
corre maggiore coordinamento infrastrutture di rete, come la rete mo-
la platea di studenti nell’immediato.
anche a livello politico? bile 4G/5G. Identifica elenchi di falle di
Quali sono le figure più ricerca- Su questo punto credo che la po- sicurezza (CVE) pubblicate sul National
te, quelle più difficili da trovare litica abbia recuperato negli ultimi Vulnerability Database degli Stati Uniti
nel contesto italiano? anni il gap che esisteva in passato. d’America, con l’obiettivo di innalzare
Tutte le figure tecniche dell’informa- Servono però più risorse per so- gli standard a livello internazionale. In
tica sono molto ricercate. Nel mon- stenere gli acquisti in tecnologia soli 3 anni sono stati rilevati circa 100
do della cybersecurity, per esempio, e per sviluppare costantemente soluzioni nuove per bug rilevanti (0-day), di cui 7 molto critici, su prodotti
servono figure come quella del pe- contrastare la minaccia cibernetica. In Italia il vento best-in-class di valenza internazionale.
sta cambiando, aziende e istituzioni stanno collabo- Le Pmi hanno oggi le risorse per investire nella cy-
netration tester che ha il compito di
rando proattivamente e i benefici si vedono sul piano bersecurity? Come aumentare la consapevolezza
provare ad attaccare i sistemi per te-
normativo e pratico. Negli ultimi due anni Tim ha posto dell’importanza di investire in cybersecurity?
starne la resistenza. Nel campo della particolare attenzione agli investimenti in competenze e Occorre sensibilizzare le aziende ai rischi informatici,
formazione c’è un progetto naziona- asset necessari a rendere il proprio modello di sicurezza anche perché spesso si corre ai ripari solo quando i
le, il Cyber Challenge, un programma coerente con l’evoluzione dell’architettura di sicurezza danni sono compiuti, mentre è più importante agire in
per i giovani dai 16 ai 24 anni, che nazionale. Gli asset di Tim, infatti, e in particolare Telsy ottica preventiva. Nell’ultimo anno abbiamo assistito a
ha l’obiettivo di identificare e attrar- come società leader in crittografia e cybersecurity del un aumento esponenziale delle campagne di phishing
re la prossima generazione dei pro- gruppo, insieme al Security Operation Center (Soc), al (+200%) e dell’invio di mail fraudolente o con virus.
fessionisti di cybersecurity anche in Threat Intelligence Lab, al Vulnerability & Test Lab e Sono cresciuti anche gli attacchi ransomware, quelli
al Red Team Research di Tim, sono organizzati per ri- che chiedono un riscatto per ripristinare il corretto fun-
collaborazione con le università. Noi
spondere efficacemente ai requisiti di comunicazione zionamento di Pc e applicazioni. Noi in Tim, attraverso
partecipiamo come Politecnico di
e interscambio informativo con i principali stakeholder Telsy e la rete commerciale di Tim Enterprise, offriamo
Milano e selezioniamo i ragazzi più governativi, quali l’Acn, la Polizia Postale e le varie ar- a nostri clienti servizi di sicurezza informatica per le
bravi per entrare nella squadra nazio- ticolazioni di sicurezza. Il ‘Red Team Research’ di Tim, aziende e la Pa.
4
Puoi anche leggere
