Mancati aggiornamenti e ingenuità delle persone alla base degli attacchi hacker
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
16 FEBBRAIO 2023 Il Sole DigitEconomy.24 – La minaccia dei cyber attacchi PARLA ROBERTO BALDONI, DIRETTORE GENERALE DI ACN «Mancati aggiornamenti e ingenuità delle persone alla base degli attacchi hacker» A lla base dei recenti gati all’investimento nella sicu- LA POSIZIONE DEL POLITECNICO attacchi di hacker all’I- rezza informatica. In generale di talia ci sono il mancato cybersecurity,dichiara il direttore «La formazione aggiornamento dei software, i generale a DigitEconomy.24, cyber va completata difetti di quest’ultimo e l’inge- report del Sole 24 Ore Radio- nuità delle persone. A spiegarlo cor e di Digit’Ed, nuovo gruppo in azienda» è Roberto Baldoni, direttore attivo nella formazione e nel generale dell’Acn, l’Agenzia per digital learning, si parla molto, la cybersicurezza nazionale. Gli attacchi rivolti a fornitori di con- ma non sempre «è informazione attacchi massicci, che a inizio nettività per realtà pubbliche; di qualità». Intanto, nel campo febbraio hanno colpito prima la senza una loro reazione tempe- delle competenze, Baldoni con- Francia, poi l’Italia, sono stati stiva si rischiava di creare un al- ferma la stima già diffusa l’anno rivolti a aziende e istituzioni, tro caso Regione Lazio. In Italia a scorso: in Italia «c’è una grave ma grazie all’allerta lanciata soffrire, in particolar modo, sono carenza di figure professiona- Donatella Sciutto, dall’Autorità, molte di loro, circa le Pmi che spesso non investono li», mancano all’appello circa rettrice del Politecnico di Milano 200, sono riuscite a reagire in perché per loro «la cybersecurity 100mila figure professionali, 3-4 In Italia, nonostante gli sforzi delle tempo e ripristinare la sicurezza. - spiega Baldoni - è un costo», milioni nel mondo. università, mancano i profili di cy- In particolare, si sono registrati senza considerare i risparmi le- >> continua a pag. 2 bersecurity richiesti da aziende e istituzioni. «Non è semplice - spiega Donatella Sciuto, rettrice del Poli- IL PUNTO DI EUGENIO SANTAGATA, CHIEF PUBLIC AFFAIRS & SECURITY OFFICER DI TIM E AD DI TELSY tecnico di Milano - ampliare l’of- ferta perché il numero di docenti in «Servono più risorse per sostenere la cybersecurity» queste materie non si improvvisa». Inoltre, per lavorare nella cyber- C ontro i cyber attacchi «servo- no più risorse per sostenere gli acquisti in tecnologia e sviluppare ning, «occorre sensibilizzare le aziende sui rischi informatici», e agire «in ottica preventiva». security non basta studiare, serve implementare con la pratica le pro- prie conoscenze: «Nel campo della soluzioni contro la minaccia ci- Quanto alle competenze neces- cybersecurity - aggiunge la rettrice bernetica». Lo sostiene Eugenio sarie per gestire la cybersecurity, nell’intervista a DigitEconomy.24, Santagata, chief public affairs & Santagata chiarisce che Telsy report del Sole 24 Ore Radiocor e di security officer di Tim e ammini- «nel corso di quest’anno farà Digit’Ed, gruppo attivo nella forma- stratore delegato di Telsy, sottoli- assunzioni nell’ordine di alcune zione e nel digital learning - è molto difficile completare la formazione in neando come il ruolo della politica decine di unità specializzate. aula e laboratorio; bisogna struttu- oggi abbia recuperato il gap che Eugenio Santagata, chief public affairs & Si cercano esperti in computer rare collaborazioni con le aziende c’era in passato nell’ambito della security officer di Tim e ad di Telsy science, in matematica, critto- per aiutarle a creare e formare le cybersecurity. Occorre tuttavia, grafia, ingegneria informatica, persone, con percorsi che siano nel- spiega nell’intervista a DigitEconomy.24, report ingegneria elettronica, ma anche giovani formati la dimensione lavorativa». del Sole 24 Ore Radiocor e di Digit’ Ed, nuovo in materie umanistiche». >> continua a pag. 4 gruppo attivo nella formazione e nel digital lear- >> continua a pag. 4 1
>>>DALLA PRIMA PAGINA - PARLA ROBERTO BALDONI, DIRETTORE GENERALE DI ACN Mancano ancora all’appello circa 100mila figure nella cybersecurity in Italia, 3-4 milioni nel mondo Che cosa non ha funzionato nell’ultima ©Cybertech ondata di attacchi hacker all’Italia che ha preso di mira i server VMware ESXi? Molte aziende vengono da un secolo analogico e non hanno ancora sviluppato una piena cultura della sicurezza informatica. Gli hacker malevoli approfittano di tre cose: del mancato aggiorna- mento di software e sistemi e poi dei difetti del software, ma anche dell’ingenuità delle persone. Negli ultimi attacchi il problema è stato che i software deputati a fare un certo lavoro, a for- nire servizi digitali, non erano stati aggiornati. Se il software fosse stato aggiornato come indicato da tempo dal produttore, i criminali non sareb- bero riusciti a sfruttarne la vulnerabilità. I mancanti aggiornamenti sono legati al fatto che le Pmi investono ancora poco in cybersecurity? C’è abbastanza infor- Roberto Baldoni, direttore generale dell’Acn, l’Agenzia per la cybersicurezza nazionale mazione sull’importanza di investire in cybersecurity? Le Pmi non investono perché spesso ritengono collaborazioni, il Cyber Innovation Network, per L’anno scorso, secondo l’Acn, mancavano la cybersecurity un costo, che però si moltiplica il lancio di programmi nel campo della cyber- in Italia 100mila esperti in cybersecurity, in caso di un attacco. Spieghiamoci meglio. È sicurezza a supporto di start-up che operano la situazione è migliorata? come l’assicurazione sulla macchina: l’assicura- in settori di interesse dell’Agenzia come data Dobbiamo confermare come in Italia ci sia una zione ha un costo. Se decido di non pagarla per science, robotica, blockchain, intelligenza artifi- grave carenza di figure professionali esperte risparmiare, quando avrò un incidente dovrò ciale, Internet of things, computazione quanti- in cybersecurity. Anche se 100mila non è il spendere molto di più di quanto mi sarebbe stica e crittografia. Il Cyber Innovation Network risultato di un calcolo preciso, si avvicina alle costata l’assicurazione. Circa l’informazione, è fa parte del Programma strategico a sostegno necessità più immediate. Il problema non è possibile dire che ormai la cyber è diventata dell’imprenditorialità innovativa e della ricerca italiano ma mondiale. Si stima che manchino argomento quotidiano, soprattutto, e diciamo, pubblica, previsto dalla Strategia nazionale di a livello globale fra i 3 e 4 milioni di professio- purtroppo, per gli attacchi hacker, ma è anche cybersicurezza 2022-2026, per rafforzare l’au- nisti della cybersecurity. Non ce lo possiamo vero che si sfornano molti libri sull’argomento, tonomia strategica del Paese nel campo della permettere. Più la nostra vita sarà affidata al ci sono giornalmente convegni ed eventi dedi- cybersicurezza. Più tecnologia saremo in grado software e agli apparecchi digitali, più sarà cati al tema, le università offrono corsi, borse di di produrre e di esportare come Italia e come necessario avere degli esperti in grado di co- studio e master, sui social se ne parla e tanto. Europa, più saremo in grado di mantenere un struire dispositivi inerentemente sicuri, svilup- Insomma, non è sempre informazione di quali- processo di trasformazione digitale in “sicurez- pare software affidabile e di gestire eventuali tà, ma l’argomento oramai si è imposto all’at- za” per il Paese. Identificare attraverso Cyber incidenti. Poi occorre preparare gli esperti in tenzione del pubblico. Innovation Network le migliori startup e aiutar- grado di lavorare su fronti che nei prossimi le ad avere una crescita costante all’interno di anni assumeranno una rilevanza straordinaria il 27 febbraio scade il termine per par- un mercato europeo ancora molto frammenta- come la crittografia e il quantum computing. tecipare al programma per le start up to in un settore che, secondo l’European Inve- L’avviamento massiccio dei giovani alle disci- nella cybersecurity, che avete lanciato. stement Bank, ha a livello mondiale un valore pline Stem (Scienza, tecnologia, ingegneria, Che tipo di partecipazione avete avuto di circa 148 miliardi di euro. La seconda area di matematica) è importante per le loro carriere e quali gli obiettivi di questo progetto di intervento sarà dedicata al supporto e alla va- professionali e per il Paese. Infine anche co- finanziamento? lorizzazione dei risultati della ricerca pubblica. loro che virano su studi umanistici dovranno Stiamo ricevendo diverse candidature e la pro- In questa fase, Acn ha l’obiettivo di coinvolgere essere necessariamente esposti ai concetti e cedura è in corso. L’Avviso ha l’obiettivo di sele- nel Cyber Innovation Network le strutture uni- alle regole che il mondo digitale impone, in zionare incubatori e/o acceleratori che operano versitarie impegnate nel trasferimento tecnolo- modo da adattarsi velocemente alle modali- nel campo dell’innovazione e delle tecnologie gico, mettendo così in circolo l’enorme portafo- tà con cui il loro lavoro cambierà nel tempo emergenti dedicate alla cybersicurezza. È que- glio di risultati e di proprietà intellettuale che è ad esempio con l’affermarsi della intelligenza sto un primo passo per costruire una rete di proprio del mondo della ricerca. artificiale. 2
PARLA EMMANUEL BECKER, PRESIDENTE DI IDA, PRIMA ASSOCIAZIONE ITALIANA DEI DATA CENTER «L’Italia in genere non viene attaccata per prima, grazie alla nostra rete informazioni in anticipo» D ata center e cybersecurity sono strettamente legati; se i server non vengono aggiornati frequen- L’associazione italiana Ida, collega- ta alla rete europea, riesce a essere informata in anticipo dei rischi Becker, è paragonale a un aeropor- to: «Più è importante per una città e più la città può avere un ruolo a temente, il rischio attacco aumen- Gli strumenti per difendersi sono livello locale e globale». ta. Emmanuel Becker, amministra- diversi: «innanzitutto, occorre dif- tore delegato di Equinix Italia e pre- fondere le informazioni e aiutare le Fondata Ida per avere una sola sidente di Ida (Italian DataCenter imprese e gli utenti a essere più pre- voce comune, per dialogare con gli Association), la prima associazio- parati». Inoltre, nota Becker, «quan- stakeholder e con il Governo ne italiana dei costruttori e opera- do gli hacker attaccano preferiscono L’associazione ha una serie di tori di data center, fa il quadro del- colpire dove si trovano più facilmen- obiettivi pratici, tra i quali quello di la situazione alla luce dei recen- te i soldi per riscattare i dati. Si tratta parlare con una voce sola, di crea- ti attacchi degli hacker. In questo di imprese criminali, dietro alle quali re e reclutare assieme i profili e le contesto, Ida si pone anche come a volte ci sono degli Stati. In genere, competenze che servono, di puntare strumento di aiuto ai suoi membri, es- si attacca il Paese più ricco, quindi Emmanuel Becker, sull’efficienza energetica. «Il primo presidente dell’Italian DataCenter sendo in collegamento con reti simili in Europa vengono colpiti dapprima Association (Ida) obiettivo è quello di rappresentare a livello europeo ed essendo la Francia, come nei recenti casi, o la gli interessi del settore di fronte alle gli attacchi in genere collegati tra Germania. Si attaccano Paesi legati ca e potenza digitale». Ida vuole, autorità locali e internazionali, alla loro. In genere, infatti, vengono col- tra di loro, commercialmente e digi- dunque, aumentare l’importanza Comunità europea, al consorzio eu- piti Paesi vicini e legati economica- talmente. L’Italia, quindi, anche se digitale dell’Italia nello scacchiere ropeo per il cloud Gaia X. In secon- mente e l’Italia «raramente viene non è oggetto dell’attacco primario, europeo, federare i professionisti del do luogo, i data center producono colpita per prima». Ida, nata dal si trova rapidamente sotto attacco». mondo dei data center provider, ma valore ma anche occupazione. Mal- sodalizio fra la stessa Equinix, Mi- anche quelli dei costruttori e degli grado gli annunci di alcuni giganti crosoft, Rai Way, Data4, Stack In- L’Italia è la terza potenza economi- operatori di data center. «Abbiamo del digitale sulla riduzione dell’oc- frastructure, Digital Realty, Vantage ca europea ma la quinta digitale, studiato quello che esisteva negli cupazione, in realtà il bilancio è po- Data Centers, Cbre, «è collegata con occorre aumentarne l’importanza altri mercati, in Spagna, Germania, sitivo con la creazione di migliaia di The european data center associa- Va considerato che «l’Italia è la ter- Inghilterra e altri Paesi europei. La posti ogni anno nel digitale. A volte tion», e in questo modo è informata za potenza economica e la quinta creazione effettiva è avvenuta a il mondo dell’istruzione non prepa- dei rischi e può avvisare tempestiva- a livello digitale. C’è, quindi, una dicembre, l’annuncio è stato più ra accuratamente i profili richiesti e, mente i suoi associati. discrepanza tra potenza economi- recente». Il data center, secondo quindi, noi li creeremo al nostro in- terno, in collaborazione con scuole ALMAVIVA CERCA NUOVE MILLE PERSONE IN AMBITO IT e università». Un altro punto molto Lo annuncia Marina Irace, direttrice Risorse umane del Gruppo importante è quello relativo all’effi- A lmaviva cerca altre mille persone invece, vista la velocità del progresso cienza energetica, «visto che i data nell’ambito It per il 2023. Dopo tecnologico, tutto diventa più fluido. È center sono energy intensive. Noi avere assunto mille specialisti l’anno cambiata l’ottica: in azienda non ope- vogliamo studiare regole comuni da scorso, la società, come annunciato a riamo per figure professionali, ma per proporre al legislatore». In quest’ot- DigitEconomy.24, report del Sole 24 competenza. Nascono, quindi, nuove tica Ida, vorrebbe incontrare e Ore Radiocor e di Digit’Ed, nuovo grup- professionalità ibride». Esemplifica instaurare un dialogo «con il sot- po attivo nella formazione e nel digital Irace: «nella diagnostica, ad esempio, tosegretario all’Innovazione Alessio learning, è in cerca di altre competen- servono figure nuove, medici che siano Butti, con le Regioni, con il ministero ze. «Nel settore - spiega Marina Irace, anche tecnici informatici. Professionisti direttrice delle Risorse umane - c’è un Marina Irace, direttrice Risorse umane di Almaviva chiamati a usare le nuove tecnologie delle Imprese e del Made in Italy, mismatch: molte aziende si stanno attrezzando con sempre con nuovi profili ibridi». Un’esigenza che Almaviva sente attore essenziale per capire in che più reparti di informatica, ma il numero di professionalità anche nell’ottica delle nuove mille assunzioni nel 2023. modo possiamo favorire un impatto presenti sul mercato non è elevato. Noi nel 2022 abbiamo Nel settore della cybersecurity e della mobilità sostenibi- positivo sul territorio». Quanto agli già assunto un migliaio di persone nell’It, con profili diversi. le Almaviva ha dei reparti ad hoc: «facciamo formazione associati, al momento Tim non fa Nel comparto, inoltre, c’è un turn over molto elevato, con all’interno, con percorsi di crescita. Le figure ricercate pos- parte dei soci fondatori, ma ci sono numerose dimissioni spontanee (ne abbiamo contate 350). siedono una serie di competenze abbastanza comuni per stati contatti con Noovle e Sparkle, Fenomeno che, tuttavia, è diminuito negli ultimi tempi». tanti profili dell’It. Partendo da una base informatica co- società del gruppo. «Siamo molto Va poi considerata la nascita di nuovi profili professionali mune, quindi, facciamo crescere le competenze». Almaviva, aperti a tutti gli attori che pensano che vanno a coprire alcune esigenze finora mai presentate. infine, per la creazione delle competenze necessarie, colla- Oggi, spiega Irace, si riscontra «fluidità nei profili profes- bora «con le più grandi università italiane. Inoltre, riteniamo di poter portare valore aggiunto nel sionali che erano più stabili: prima, cioè, si parlava di svi- che l’orientamento debba essere svolto fin dalla scuola se- dialogo e nella creazione di valore luppatore, analista, architetto di software e così via. Ora, condaria, prima della scelta del liceo o dell’istituto tecnico». sul territorio», conclude il manager. 33
>>>DALLA PRIMA PAGINA - LA POSIZIONE DEL POLITECNICO DI MILANO «Le donne nelle materie Stem scontano un pregiudizio storico» In Italia mancano ancora circa nale di cybersecurity. E i mHackeroni ti. Nel campo della cybersecurity è La figura del data analyst richiede 100mila figure nel settore della - nazionale italiana di hacker etici - si molto difficile completare la forma- molte competenze statistiche e infor- cybersecurity; le università sono sono piazzati quinti a Las Vegas, ai zione in aula e laboratorio; bisogna, matiche e di natura applicativa. Sono pronte a fornire i nuovi profili? mondiali di cybersecurity. quindi, strutturare collaborazioni con figure molto richieste e rimarranno Le stime mescolano profili molto Quale ruolo possono giocare le le aziende per formare le persone. molto richieste, anche perché aiutano diversi tra di loro che comprendono istituzioni per agevolare la na- Poi ci sono altri strumenti, come la a valutare gli stessi sistemi di Ai e di ingegneri, informatici, ma anche fi- scita delle nuove, e sempre più Cyber Accademy, che forniscono alle machine learning. Occorre cioè veri- gure specializzate in ambito legale, richieste, competenze? aziende un luogo di incontro con gli ficare che i dati non siano bias, ma e manageriale. Nelle università esi- L’Agenzia per la cybersecurity na- studenti, creando un collegamento. siano invece rappresentativi. stono diversi percorsi che cercano zionale rappresenta sicuramente un Certo, si può sempre fare di più; si po- Secondo un rapporto Istat del di rispondere a tutte le esigenze. Al primo passo per mettere a sistema le trebbe, ad esempio, trovare il modo di 2021, 16 donne su 100 scelgo- Politecnico di Milano, ad esempio, ab- attività e aiutare le aziende a gesti- formare gli studenti sugli stessi siste- no una disciplina Stem contro il biamo una laura magistrale ad hoc in re le tematiche di cybersecurity. Noi, mi software delle aziende e, in que- 35% dei colleghi uomini. Riscon- cybersecurity, oltre a un corso di base d’altro canto, come Politecnico siamo sto caso, servirebbe la disponibilità tra passi avanti? che frequentano tutti gli ingegneri in- in collegamento con l’Agenzia e io dell’impresa a fornire il software ne- I miglioramenti sono lenti, ma ci formatici. Esistono inoltre dei percorsi stessa faccio parte del loro comitato cessario, in forma gratuita, visto che sono. Avere il dominio tecnologico che puntano a formare figure più in- scientifico che sviluppa programmi di le università non possono permettersi nell’ambito dell’informatica consente novative che siano un mix tra tecnici, assunzione e formazione, ma anche di comprarlo. di avere un impatto anche su molte manager, legali. Ad esempio, al Poli- diffusione, disseminazione delle te- L’arrivo sul mercato di sistemi componenti della vita di oggi; questa tecnico c’è un corso di laurea in col- matiche di cybersecurity. di intelligenza artificiale sempre percezione manca ancora un po’ e ciò laborazione con l’università Bocconi Quanto è importante e come più completi ha messo in dub- pesa nella scelta dell’università. Inol- che ha proprio l’obiettivo di formare si può declinare il rapporto tra bio la validità futura di figure tre, scontiamo, nel caso delle donne, professionisti per il mondo della pro- università e imprese per creare finora molto ricercate come il un pregiudizio storico e culturale se- tezione dei dati personali o per l’or- le competenze necessarie? data analyst. Saranno superati condo il quale il mondo dell’ingegne- ganizzazione della cybersecurity nelle Le aziende chiedono profili già pron- dall’Ai? ria non è un mondo per donne. aziende. Certo, in generale, quelle della cybersecurity sono figure molto IL PUNTO DI EUGENIO SANTAGATA, CHIEF PUBLIC AFFAIRS & SECURITY OFFICER DI TIM E AD DI TELSY ricercate, e sono ancora mancanti. Purtroppo non è semplice ampliare «Occorre sensibilizzare le aziende ai rischi informatici, in chiave preventiva» l’offerta, anche perché il numero di Gli ultimi cyberattacchi contro ad esempio, è uno tra i pochi centri ita- insegnanti in queste materie non si realtà italiane hanno fatto alza- liani di ricerca sui bug di sicurezza non improvvisa. Ossia, i docenti ci sono, re l’asticella della preoccupazio- documentati (cosiddetti bug hunting) ne. Cosa non ha funzionato? Oc- in ambito software, ma anche sulle ma non sono sufficienti per ampliare corre maggiore coordinamento infrastrutture di rete, come la rete mo- la platea di studenti nell’immediato. anche a livello politico? bile 4G/5G. Identifica elenchi di falle di Quali sono le figure più ricerca- Su questo punto credo che la po- sicurezza (CVE) pubblicate sul National te, quelle più difficili da trovare litica abbia recuperato negli ultimi Vulnerability Database degli Stati Uniti nel contesto italiano? anni il gap che esisteva in passato. d’America, con l’obiettivo di innalzare Tutte le figure tecniche dell’informa- Servono però più risorse per so- gli standard a livello internazionale. In tica sono molto ricercate. Nel mon- stenere gli acquisti in tecnologia soli 3 anni sono stati rilevati circa 100 do della cybersecurity, per esempio, e per sviluppare costantemente soluzioni nuove per bug rilevanti (0-day), di cui 7 molto critici, su prodotti servono figure come quella del pe- contrastare la minaccia cibernetica. In Italia il vento best-in-class di valenza internazionale. sta cambiando, aziende e istituzioni stanno collabo- Le Pmi hanno oggi le risorse per investire nella cy- netration tester che ha il compito di rando proattivamente e i benefici si vedono sul piano bersecurity? Come aumentare la consapevolezza provare ad attaccare i sistemi per te- normativo e pratico. Negli ultimi due anni Tim ha posto dell’importanza di investire in cybersecurity? starne la resistenza. Nel campo della particolare attenzione agli investimenti in competenze e Occorre sensibilizzare le aziende ai rischi informatici, formazione c’è un progetto naziona- asset necessari a rendere il proprio modello di sicurezza anche perché spesso si corre ai ripari solo quando i le, il Cyber Challenge, un programma coerente con l’evoluzione dell’architettura di sicurezza danni sono compiuti, mentre è più importante agire in per i giovani dai 16 ai 24 anni, che nazionale. Gli asset di Tim, infatti, e in particolare Telsy ottica preventiva. Nell’ultimo anno abbiamo assistito a ha l’obiettivo di identificare e attrar- come società leader in crittografia e cybersecurity del un aumento esponenziale delle campagne di phishing re la prossima generazione dei pro- gruppo, insieme al Security Operation Center (Soc), al (+200%) e dell’invio di mail fraudolente o con virus. fessionisti di cybersecurity anche in Threat Intelligence Lab, al Vulnerability & Test Lab e Sono cresciuti anche gli attacchi ransomware, quelli al Red Team Research di Tim, sono organizzati per ri- che chiedono un riscatto per ripristinare il corretto fun- collaborazione con le università. Noi spondere efficacemente ai requisiti di comunicazione zionamento di Pc e applicazioni. Noi in Tim, attraverso partecipiamo come Politecnico di e interscambio informativo con i principali stakeholder Telsy e la rete commerciale di Tim Enterprise, offriamo Milano e selezioniamo i ragazzi più governativi, quali l’Acn, la Polizia Postale e le varie ar- a nostri clienti servizi di sicurezza informatica per le bravi per entrare nella squadra nazio- ticolazioni di sicurezza. Il ‘Red Team Research’ di Tim, aziende e la Pa. 4
Puoi anche leggere