Manager Room | FABRIZIO BAIARDI: L’evoluzione delle normative europee sulla sicurezza informatica
Non vuoi leggerlo? Ascoltalo!
Intervistiamo il professor Fabrizio Baiardi, professore Ordinario di Informatica presso il Dipartimento di Informatica dell’Università di Pisa dove coordina il gruppo di ICT risk assessment & management.
—
Nel contesto europeo, come vede l’evoluzione delle normative sulla protezione dei dati e la privacy? Ritiene che stiano efficacemente bilanciando sicurezza e innovazione tecnologica?
Una vecchia barzelletta dice che, quando c’è una innovazione tecnologica gli USA investono 100 miliardi di dollari, la Cina investe 100.000 scienziati e l’UE crea 100 leggi. In Europa ed in Italia riteniamo che legiferare sia la soluzione trascurando spesso la realtà che sta dietro i fenomeni di cui stiamo parlando. Ad esempio, buona parte delle normative sulla sicurezza delle infrastrutture critiche si è concentrata sulle grandi istituzioni, pubbliche o private, ed ha dimenticato l’ecosistema della produzione del software e la supply chain risultante ovvero che spesso il software che una grande istituzione usa per controllare e gestire la sua infrastruttura è prodotto da piccole e medie aziende. Attaccare queste aziende e nascondere una backdoor o del malware nel codice che poi userà la grande azienda, è molto semplice o perlomeno molto più semplice che attaccare una grande azienda. Questi sono i problemi che hanno richiesto l’aggiornamento della normativa NIS con la NIS2. In generale, le normative dovrebbero accompagnare lo sviluppo in modo da tener conto il più velocemente possibile dell’evolversi di una tecnologia e dei rischi reali e/o emergenti. Negli USA il potere esecutivo può intervenire in breve termine, in Europa è più difficile. Ad esempio, quando gli USA hanno deciso che una istituzione deve conoscere e produrre il software bill of material ovvero la lista di tutti i moduli che i suoi strumenti software usano e di chi li produce, è stata emessa una direttiva che lo richiede. In Europa le leggi e le normative parlano da decenni di security by design senza richiedere nulla ai produttori o agli integratori di sistemi. Il cyber resilience act è un’altra normativa importante ma i cui effetti si vedranno a partire dal 2027.
—
Altro punto interessante della normativa europea è l’uso fideistico di penetration test ovvero di simulare mediante attaccanti “buoni” il comportamento degli attaccanti “cattivi”. Trascurando completamente qualsiasi idea di security by design, qualunque normativa richiede di utilizzare questo metodo con una frequenza periodica per verificare la robustezza dei sistemi. Questa cieca fede in un test che può essere eseguito solo dopo aver costruito e installato un sistema informativo, porta poi alle centinaia di competizioni per scegliere quali siano gli attaccanti buoni più bravi ed a molte conversioni di attaccanti cattivi in cavalieri senza macchia. L’errore che sta alla base di questa fede è che ci sono decine di tecniche diverse che gli attaccanti cattivi possono usare e quelli buoni non possono provarle tutte. Inoltre, gli attaccanti cattivi hanno anche la spiacevole proprietà di essere estremamente dinamici e di aggiornare le loro tecniche. Quindi dati storici sul comportamento di un sistema rispetto ad attacchi avvenuti in passato sono del tutto inutili se non fuorvianti. La prova è che nessun penetration test ha mai fermato un attaccante determinato. Occorre utilizzare soluzioni che permettano di produrre dati sintetici accurati sulle intrusioni mediante modelli digitali e non lavorando sul sistema reale.
—
Quali criteri considera fondamentali nella valutazione e revisione di progetti di ricerca scientifica e industriale? Può condividere un esempio di un progetto complesso che ha valutato?
Ho valutato molti progetti di ricerca scientifica ed industriale. In generale il criterio che cerco di seguire è di bilanciare l’investimento richiesto (soprattutto nel caso di investimenti pubblici), il beneficio atteso ed il numero dei beneficiati e la probabilità di successo. Ovviamente nel caso di ricerca industriale ci si attende una probabilità di successo ragionevolmente alta e quindi l’innovazione può anche non essere elevata. Spesso in Italia è accettabile anche un progetto che permetta di recuperare un gap con altri paesi. Nel caso di un progetto di ricerca scientifica, soprattutto di base, occorre accettare anche una probabilità non trascurabile di fallimento, è il prezzo da pagare per ottenere risultati estremamente innovativi. Dati i valori di rischio e beneficio atteso, le esperienze precedenti dei ricercatori coinvolti è l’altro parametro da considerare. Ritengo comunque fondamentale la presenza di giovani ricercatori nel team che possano imparare sia dai successi che dai fallimenti.
—
Con l’aumento delle minacce informatiche globali, quali sono, secondo lei, le aree più critiche su cui le organizzazioni devono concentrarsi per migliorare la loro resilienza in ambito cyber?
Da anni governi, enti per la sicurezza e ricercatori ripetono un insieme di suggerimenti e sono ormai diventati noiosi come coloro che predicano nel deserto.
L’importanza di valutare come il sistema si comporta sotto attacco e di non aggiungere inutili strumenti di sicurezza si può apprezzare quando analizziamo le tecniche di attacco più recenti degli attaccanti più sofisticati sponsorizzati da Russia o Cina. Tali tecniche sono dette living of the land perché prevedono di attaccare gli strumenti di sicurezza che sono disponibili e di usarli contro il sistema che dovrebbero difendere. Quindi è fondamentale non aggiungere strumenti di sicurezza che andrebbero solo a beneficio degli attaccanti.
Nel campo della gestione del rischio di sistemi SCADA e di controllo della produzione industriale, quali sono le principali vulnerabilità che riscontra? Come si possono implementare misure efficaci per ridurre tali rischi?
Nel caso dei sistemi SCADA uno dei problemi principali è che per anni essi sono stati isolati e raggiungibili solo fisicamente. Ora invece sono connessi in rete e raggiungibili da tutto il mondo. Valgono anche per i sistemi SCADA i principi citati in precedenza ed in particolare la separazione del sottosistema SCADA dalla rete ICT dell’azienda mediante firewall. La separazione mediante firewall delle sottoreti è particolarmente critica perché spesso i componenti SCADA non possono essere aggiornati oppure sono aggiornati solo con una frequenza bassissima. Ciò implica che sono vulnerabili e che devono essere difesi mediante firewall da accessi esterni. Tra le contromisure che un azienda dovrebbe quindi adottare in modo pesante la principale è la segmentazione tra la parte ICT e quella SCADA. A questo punto occorre anche verificare che i propri componenti SCADA non siano raggiungibili dall’esterno. Per questo può utilizzare a proprio vantaggio search engine come Shodan specializzati nell’individuare componenti SCADA liberamente accessibili via internet. Una contromisura di costo minimo ma estremamente utile che viene utilizzata molto di rado è l’analisi delle comunicazioni in uscita. Molto utile per scoprire eventuali malware che cerchino di “telefonare casa”.
È bene ricordare che stanno apparendo ransomware o wiper in grado di operare direttamente su sistemi SCADA e, caso estremamente pericoloso, anche sugli impianti di sicurezza che lavorano in modo separato dagli SCADA per bloccare il funzionamento degli impianti in caso di parametri fuori controllo.
—
Con l’espansione del lavoro da remoto e delle infrastrutture cloud, quali nuove vulnerabilità stanno emergendo e come dovrebbero affrontarle le imprese?
Sostanzialmente il lavoro remoto implica spesso la connessione ad una rete aziendale o istituzionale di dispositivi personali o casalinghi al di fuori dal controllo dell’azienda o dell’istituzione. Questi dispositivi potrebbero contenere malware e questo problema non sparisce se si collegano mediante vpn. La soluzione che ritengo più efficace è quella delle architetture zero trust dove le operazioni permesse ad un utente dipendono non solo dall’utente ma anche dal dispositivo che l’utente sta usando e da dove si sta collegando. Ad esempio, le operazioni permesse ad un utente che si collega dal pc dell’ufficio sono diverse da quelle che può invocare quando si collega dal pc di casa, che condivide con i figli magari, o da un pc di un Internet cafè a Shangai.
Completamente diverso il caso del cloud che offre ai clienti una sicurezza più elevata grazie alla migliore professionalità di gestori ed amministratori ma anche nuovi rischi legati alla condivisione forzata di risorse. A questi rischi cercano di rimediare i processori che offrono funzionalità di confidential computing dove alcune informazioni, tipicamente chiavi di cifratura, sono protette in modo che nemmeno il cloud provider vi possa accedere. Ovvio svantaggio è la necessità di ristrutturare il software prima di migrarlo su cloud.
—
La crescente adozione della blockchain sta trasformando vari settori, inclusa la sicurezza informatica. Quali opportunità e rischi vede nell’integrazione della blockchain nelle soluzioni di sicurezza?
Ci sono alcuni problemi legati all’autenticazione degli utenti.ed alla non modificabilità delle informazioni che possono indubbiamente avere dei vantaggi dalla integrazione con blockchain. Per altre applicazioni possono nascere problemi non banali, ad esempio gestire con una blockchain dei dati sensibili pone il problema di un accesso pubblico a questi dati. Esistono ovviamente soluzioni, ma aumentano la complessità del sistema per includere altri elementi ed anche i rischi. In molti campi la blockchain viene invocata in modo quasi fideistico. Ad esempio, si propone di usarla per il voto elettronico perché “così il voto non può essere modificato”. Purtroppo, ci sono molte buone ragioni per modificare il voto dopo che è stato emesso, come ci insegnano esperienze di altri paesi. Inoltre, se un elettore emette il proprio voto mediante uno smartphone o un pc con del malware il fatto che il voto venga conservato su una blockchain non risolve problemi di manipolazione del voto stesso prima della sua emissione. Quindi le blockchain offrono un meccanismo importante da usare in modo verificato e non fideistico (come quasi tutti i meccanismi del resto). Questo non deve farci trascurare altre applicazioni che ritengo ideali per una blockchain, ad esempio, il tracciamento delle merci o l’autenticazione di prodotti Made in Italy.
—
Lei ha diretto e gestito gruppi di lavoro per la progettazione e realizzazione di attività di formazione ed alta formazione a distanza mediante strumenti ICT. Qual è stato il risultato più apprezzabile?
Uno dei risultati di cui sono più fiero è un progetto di troppi anni fa nato nel dipartimento di informatica dell’Università di Pisa ai tempi del rettorato del prof. Luciano Modica. In questo progetto, a cui hanno partecipato altri colleghi, siamo riusciti a creare un corso sulla sicurezza informatica che mescolava in aula studenti universitari, forze dell’ordine e lavoratori di enti pubblici e privati. Un primo caso di life-long learning che diede risultati interessanti. Creammo anche un sito web con i materiali del corso che fu poi acceduto da decine di migliaia di persone attive nella sicurezza informatica che trovavano per la prima volta in rete materiale didattico in italiano sulla cybersecurity. Una esperienza fortunatamente molto diversa dall’uso della didattica a distanza nel periodo del COVID.
Sono anche fiero di aver fondato, insieme ad altri, una start up che opera nel settore della sicurezza informatica e che ha permesso ad alcuni laureati di lavorare in Italia invece che emigrare in altri paesi più accoglienti. La start up mi ha permesso di conoscere meglio il nostro paese e la mancanza di una cultura industriale in buona parte della classe dirigente, compresa quella accademica.
Detto questo, spero che il risultato più apprezzabile sia quello che otterrò domani.
Giuliana Gagliardi
DiPLANET.Tech
