00:00:07 Sicurezza dei dati e cloud computing.
00:00:38 Sfide della sicurezza dei dati nell’ottimizzazione della supply chain.
00:02:11 Aumento degli attacchi informatici e della dipendenza dai sistemi IT.
00:03:08 Riduzione della superficie di attacco e esternalizzazione verso fornitori cloud.
00:06:17 Minimizazione della superficie di attacco nella progettazione del software ed evitare database relazionali.
00:08:01 Utilizzo della semplicità e di componenti minime per la sicurezza.
00:09:26 Apertura, trasparenza ed esposizione come chiavi per la sicurezza dei dati.
00:11:03 L’importanza degli hacker white hat nel migliorare la sicurezza.
00:13:18 Compensare adeguatamente gli hacker white hat per i loro sforzi.
00:14:35 Differenziare tra hacker white hat e hacker malintenzionati.
00:16:00 La sicurezza dei sistemi aziendali e la priorità data ai freelancer.
00:16:47 La fiducia nella sicurezza dei dati e l’impatto di Bitcoin sulla consapevolezza della sicurezza.
00:17:50 Differenze nelle pratiche di sicurezza tra aziende B2C e B2B, grandi corporazioni e governi.
00:20:01 Sfide nella sicurezza delle reti militari ed esempi di vulnerabilità hardware.
00:24:01 La possibilità di un futuro con hacking significativamente ridotto e l’adozione di una cultura di apertura nella sicurezza della supply chain.
Sommario
Durante l’intervista, Kieran Chandler e Joannes Vermorel discutono della sicurezza dei dati nell’ supply chain optimization. Vermorel riconosce l’aumento degli attacchi informatici dovuto alla crescente digitalizzazione e alla maggiore dipendenza dal software. Sottolinea l’importanza dell’apertura e dell’esposizione nella sicurezza della supply chain, sostenendo una filosofia di “defense-in-depth” con più livelli di protezione. Cita il valore degli hacker white hat nell’identificare e correggere le vulnerabilità e suggerisce che le aziende possano migliorare la sicurezza riducendo la superficie d’attacco e affidandosi a fornitori di cloud computing di fiducia. Vermorel crede che abbracciare la trasparenza e l’esposizione nelle pratiche della supply chain porterà a una transizione più rapida verso sistemi più sicuri.
Riassunto Esteso
In questa intervista, Kieran Chandler, il presentatore, discute della sicurezza dei dati con Joannes Vermorel, fondatore di Lokad, una società software specializzata nell’ottimizzazione della supply chain. La conversazione ruota attorno all’importanza sempre crescente della sicurezza dei dati man mano che il cloud computing diventa più popolare e le tecniche di hacking sempre più sofisticate.
Joannes riconosce che la sicurezza dei dati non è una questione nuova, ma esiste da molto tempo. Ricorda che quando ha avviato Lokad 10 anni fa, l’idea iniziale era di tenere i dati chiusi lontano da tutte le reti, ma questo approccio si è rivelato dannoso per l’ottimizzazione della supply chain. Le aziende con supply chains complesse e distribuite devono fornire accesso ai dati a tutte le parti coinvolte per ottimizzare le loro operazioni. Ciò aumenta intrinsecamente l’esposizione dei dati e dei sistemi, portando a sfide per la sicurezza dei dati.
Il presentatore si chiede se gli incidenti di hacking stiano veramente diventando più frequenti o se venga semplicemente dato loro maggiore rilievo dai media. Joannes crede che gli attacchi informatici siano effettivamente in aumento, principalmente perché ci sono più sistemi IT e una maggiore dipendenza dal software. Con la digitalizzazione crescente delle aziende e l’uso maggiore dei servizi online da parte dei consumatori, la superficie d’attacco per gli hacker aumenta, portando a maggiori violazioni dei dati.
Quando gli viene chiesto delle tecniche per proteggere i dati, Joannes afferma che la sicurezza è la seconda preoccupazione più importante in Lokad, mentre la qualità dei numeri che forniscono per l’ottimizzazione della supply chain è quella primaria. Un approccio di base per garantire la sicurezza dei dati consiste nel limitare la superficie d’attacco per gli hacker. Ciò comporta la progettazione di soluzioni software con il minimo potenziale di errori.
Joannes spiega che uno dei motivi per cui Lokad si è orientata verso il cloud computing è stato delegare l’hardware e la gestione dei sistemi operativi a compagnie più grandi come Microsoft. Pur non essendo perfette, queste aziende dispongono di più risorse e personale per mettere in sicurezza fisicamente l’hardware informatico. Ha senso affidarsi a una società con centinaia di persone che lavorano sulla sicurezza piuttosto che a un team più piccolo di 20 persone.
Il presentatore poi chiede come scegliere società informatiche affidabili a cui esternalizzare il lavoro. Joannes suggerisce di fidarsi dei grandi provider di cloud computing come Amazon, Microsoft e Google, che sono sopravvissuti all’evoluzione di Internet e generalmente sono affidabili. Queste aziende affrontano costantemente attacchi informatici, perciò la loro esperienza e le loro risorse le rendono meglio attrezzate per gestire la sicurezza dei dati.
Per garantire la sicurezza dei loro sistemi, Lokad minimizza la superficie d’attacco utilizzando componenti più semplici ed evitando livelli di archiviazione dati programmaticamente complessi, come i database relazionali. Invece, optano per un livello di archiviazione dati più basilare, utilizzando lo blob storage su Azure, che è meno suscettibile a determinati tipi di attacchi. Lokad è anche selettiva nell’uso di componenti open source, valutandoli accuratamente e limitando la massa tecnologica nelle loro soluzioni.
Vermorel ritiene che un elemento chiave della cultura aziendale per migliorare la sicurezza dei dati sia l’apertura, che contrasta con la mentalità da fortezza spesso adottata nelle pratiche della supply chain. Sostiene che i sistemi IT non sono sicuri solo per il loro design, ma anche per la trasparenza e l’esposizione. La trasparenza implica che le persone comprendano come funzionano i sistemi e la loro architettura, mentre l’esposizione consiste nel sottoporre i sistemi ad hacker white hat, hacker etici che cercano di migliorare la sicurezza.
Gli hacker white hat aiutano le organizzazioni a identificare e risolvere le vulnerabilità nei loro sistemi. Vermorel racconta che Lokad ha sperimentato questo in diverse occasioni, con gli hacker white hat che hanno rilevato problematiche in singoli account, che sono state successivamente segnalate e risolte. Per incentivare gli hacker white hat a continuare a identificare potenziali problemi di sicurezza, le organizzazioni dovrebbero compensarli in modo equo per i loro sforzi.
Vermorel condivide la sua prospettiva sui vari livelli di maturità della sicurezza tra i diversi tipi di organizzazioni. Da un lato dello spettro ci sono aziende come Facebook e Google, che dispongono di misure di sicurezza robuste grazie alla loro enorme esposizione e all’elevato volume di tentativi di hacking. Queste aziende orientate al B2C sono costantemente sotto attacco, costringendole ad essere ben preparate e proattive nelle loro misure di sicurezza.
Più in basso nello spettro ci sono le aziende software B2B come Lokad, che, pur non essendo così esposte come i giganti del B2C, si sforzano comunque di mantenere alti livelli di sicurezza attraverso la trasparenza e consentendo un facile accesso ai loro sistemi. Vermorel suggerisce che la sicurezza di queste aziende B2B tende ad essere meno robusta, poiché non hanno la stessa esposizione e, di conseguenza, non affrontano lo stesso livello di intensità degli attacchi informatici.
Un livello di maturità della sicurezza ancora più basso si può riscontrare nelle grandi corporazioni non tecnologiche e nei governi, che spesso si affidano a una mentalità da fortezza e a una sicurezza basata sull’occultamento. Queste organizzazioni possono tentare di isolare informazioni sensibili, ma Vermorel sostiene che questo approccio sia incompatibile con le dimensioni e la complessità delle organizzazioni moderne.
Sorprendentemente, Vermorel afferma che le organizzazioni militari adottano le peggiori pratiche di sicurezza, poiché spesso utilizzano reti private che sono state isolate per decenni. Sebbene si possa presumere che queste reti private sarebbero più sicure, la loro mancanza di esposizione alle minacce esterne le ha lasciate poco preparate per le sfide della sicurezza moderna. Vermorel osserva che le grandi organizzazioni militari, sparse in più località e paesi, faticano a mantenere una rete isolata pur gestendo migliaia di dipendenti e collaboratori.
Vermorel sottolinea che anche i sistemi più sicuri possono essere compromessi, come dimostrato dalle frodi passate e dalle vulnerabilità riscontrate nell’hardware Intel. Spiega che le vulnerabilità hardware, come Spectre e Meltdown, possono rendere il software e le applicazioni insicuri.
Vermorel sottolinea l’importanza dell’esposizione agli hacker che possono identificare e correggere le vulnerabilità prima che vengano sfruttate. Nota che i sistemi militari, che spesso utilizzano hardware Intel, sono particolarmente vulnerabili a tali attacchi. Tuttavia, crede che sia possibile eliminare gradualmente l’hacking, poiché non esiste una legge fondamentale che imponga che tutti i sistemi informatici debbano essere insicuri.
Vermorel suggerisce che le supply chains possano diventare più sicure adottando una cultura di apertura ed esposizione. Ciò comporta rendere i sistemi più trasparenti e accessibili, pur mantenendo le misure di sicurezza. Egli sostiene una filosofia di “defense-in-depth”, in cui vengono implementati più livelli di sicurezza per proteggere le informazioni sensibili. In definitiva, Vermorel afferma che le aziende e le organizzazioni con supply chains saranno più sicure se adotteranno questo approccio, portando a una transizione più rapida verso sistemi più sicuri.
Trascrizione Completa
Kieran Chandler: Oggi su Lokad TV, discuteremo di come il cloud computing stia guadagnando popolarità e di come le tecniche di hacking diventino sempre più sofisticate. Puoi essere veramente sicuro della sicurezza dei tuoi dati? Quindi Joannes, questo è un argomento che è stato in qualche modo sensazionalizzato dai media di recente, ma la sicurezza dei dati è davvero una questione nuova?
Joannes Vermorel: No, esiste da molto tempo. È intrigante. Quando ho avviato Lokad 10 anni fa, l’idea era di tenere i dati chiusi lontano da tutte le reti e dagli hacker e così via. Ma non appena si tratta di supply chains, se blocchi semplicemente i tuoi dati in una cassaforte, sì, sono molto sicuri, ma le tue supply chains risentono drasticamente. Il problema è che le persone, i partner e persino la tua stessa organizzazione non hanno accesso ai dati per ottimizzare effettivamente la tua supply chain. Quindi, se vuoi raggiungere un qualsiasi grado di ottimizzazione della supply chain e avere una supply chain che è un po’ complessa e distribuita in diverse sedi o possibilmente in paesi differenti, allora devi avere un modo per fornire a tutte le parti coinvolte nella tua supply chain i dati giusti. Ciò significa che, per design, stai esponendo maggiormente i tuoi dati, stai esponendo maggiormente i tuoi sistemi, e così sorge il problema della sicurezza dei dati.
Kieran Chandler: Sembra che ogni giorno sui media vediamo una nuova organizzazione o una nuova celebrità essere hackerata. È qualcosa che sta realmente accadendo con maggiore frequenza, o è solo che ne sentiamo parlare più spesso?
Joannes Vermorel: Credo che gli attacchi informatici siano in generale in aumento. Ci sono alcune ragioni molto basilari per questo. Non è che abbiamo più cattivi in giro; è solo che abbiamo più sistemi IT e una maggiore dipendenza dal nostro software in generale. Le aziende stanno diventando più digitalizzate, e anche i clienti normali usano più servizi online. Di conseguenza, tutto ciò aumenta la superficie d’attacco per i cattivi, e così si finisce per avere più perdite. Non significa che la sicurezza stia peggiorando o che ci siano complessivamente più persone cattive.
Kieran Chandler: Se ci sono più attacchi ogni giorno, esaminiamo alcune delle tecniche che possiamo effettivamente usare per proteggerci. Cosa possiamo fare in questo caso?
Joannes Vermorel: In Lokad, la sicurezza è la seconda preoccupazione più importante. La preoccupazione primaria è la qualità dei numeri che forniamo per l’ottimizzazione della supply chain. Ma la seconda preoccupazione è garantire la sicurezza dei dati dei nostri clienti. Una delle tecniche più basilari per farlo è limitare la superficie d’attacco per gli hacker e in generale i problemi. Come si fa questo quando si progetta una soluzione software? Innanzitutto, si cerca di limitare il più possibile la quantità di cose che possono andare storte a causa nostra. Per esempio, uno dei motivi per cui ci siamo orientati verso il cloud computing è stato per poter delegare l’hardware e gran parte della gestione dei sistemi operativi a Microsoft. Non è che Microsoft sia perfetta, ma in termini di team di ingegneria, hanno molte più risorse per mettere in sicurezza fisicamente l’hardware informatico rispetto a Lokad. Quindi ha molto senso non fidarsi del proprio team quando si ha 20 persone, mentre Microsoft sta cercando di fare lo stesso sforzo di sicurezza con diverse centinaia di persone.
Kieran Chandler: Parliamo un po’ di questa delega. Ci sono molte aziende informatiche là fuori, quindi come fai a sapere di quali aziende fidarti e quali invece? Sai, a quali aziende dovresti affidare il tuo lavoro in outsourcing e quali sono quelle che probabilmente dovresti evitare?
Joannes Vermorel: In linea di massima, fidati delle grandi aziende che mettono online tonnellate di risorse informatiche. Parlo dei grandi provider di cloud computing come Amazon, Microsoft e Google. Sono sopravvissuti su Internet, essendo attaccati ogni singolo giorno da centinaia di hacker. Se i loro sistemi sono ancora operativi dopo un decennio di attività, significa che hanno sopportato tutti gli attacchi quotidiani. Non significa che non siano mai stati violati; significa semplicemente che hanno diligentemente corretto e patchato tutti i problemi incontrati. Più esposizione ha il tuo fornitore e più a lungo è attivo, più fiducia puoi riporre in lui. Se sono rimasti esposti, costantemente attaccati e hanno sopravvissuto, probabilmente sono piuttosto bravi in materia di sicurezza.
Kieran Chandler: Ok, quindi l’esternalizzazione a altre aziende è un modo per garantire che i nostri sistemi siano sicuri. Quali altre tecniche possiamo utilizzare per assicurarci che i nostri sistemi siano protetti?
Joannes Vermorel: Lo stesso principio di minimizzare la superficie d’attacco si applica anche alla parte interna del tuo software. Per esempio, in Lokad, non utilizziamo internamente sistemi di database relazionali o database SQL. Non è che non ci piacciano; sono potenti e possono fare molte cose. Tuttavia, averli nel livello di storage crea un enorme problema di sicurezza. Possono ancora essere messi in sicurezza, ma richiede molto impegno. Con SQL, puoi scrivere codice, il che significa che puoi scrivere codice malevolo. Per proteggerci da ciò, in Lokad, usiamo un livello di storage dati molto semplice e ingenuo, come lo blob storage su Azure. L’idea chiave è che utilizziamo un livello di storage dati che è di ordini di grandezza più semplice dei database relazionali e non ha espressività programmativa. Ciò significa che intere classi di attacchi non possono verificarsi a livello del nostro storage dei dati perché è troppo semplice per offrire angolazioni per quei tipi di attacchi. Applichiamo la stessa idea a molti altri componenti, optando per opzioni più semplici e meno espressive per minimizzare la quantità di cose che possono andare storte.
Kieran Chandler: Quindi, essere semplicistici e un po’ stupidi è in realtà molto vantaggioso. Questo copre l’essere sicuri per design. Che dire invece di essere sicuri in termini di cultura? Quali valori culturali dovrebbero promuovere le aziende per aumentare la sicurezza dei loro dati?
Joannes Vermorel: La trasparenza è probabilmente la chiave.
Kieran Chandler: Quindi, come descrivi l’approccio da fortezza di cui ho parlato riguardo alle supply chains e a come le cose venivano fatte dieci anni fa?
Joannes Vermorel: Se hai una mentalità da fortezza, vuoi rinchiudere i tuoi dati in una cassaforte sepolta e molto difficile da raggiungere. Questo rende tutto opaco e oscuro, rendendo difficile l’accesso ai dati. Ma questo ti rende davvero sicuro? Il problema è che, per quanto riguarda l’IT, questo tipo di comportamento e cultura aziendale è del tutto contrario alla sicurezza.
Kieran Chandler: Perché i sistemi IT non sono sicuri?
Joannes Vermorel: I sistemi IT non sono completamente sicuri, non solo perché sono stati progettati per essere sicuri, ma anche a causa delle pratiche di progettazione. Se non hai la correttezza per design nel software, è molto difficile mettere in sicurezza qualcosa. Una volta che hai ciò, insieme a un alto grado di scrutinio nel tuo software, ciò che serve per migliorare la sicurezza è trasparenza ed esposizione.
La trasparenza significa che le persone possono vedere cosa sta succedendo all’interno dei tuoi sistemi IT, e la sicurezza non è una proprietà emergente dal fatto che nessuno sappia cosa vi entri. Le persone dovrebbero sapere come funzionano, la loro architettura, e poter verificare se sono progettati correttamente e in sicurezza. L’esposizione significa essere esposti agli hacker, e soprattutto ai white hats, i bravi ragazzi.
Kieran Chandler: Sembra controintuitivo esporre i tuoi sistemi e lasciare che tutti vedano cosa sta succedendo. In che modo far sì che le persone hackerino i tuoi sistemi ti rende più sicuro? Cosa fanno effettivamente questi white hats?
Joannes Vermorel: I white hats sono gli hacker etici. Cercano di entrare nei sistemi come mezzo di sussistenza. In Lokad, abbiamo sperimentato questo un paio di volte. Le persone su internet si registrano per un account gratuito su Lokad e cercano di gironzolare, per vedere se riescono a trovare problemi di sicurezza. Alcuni di loro sono riusciti a trovare dei problemi, ma solo all’interno di un singolo account, in modo che il contenimento risultasse stretto.
Quando trovano un problema, tornano indietro e lo segnalano. Potrebbero chiedere una ricompensa, ma spetta a te decidere il prezzo. Questo li motiva a cercare altri problemi nei tuoi sistemi, rendendoli ancora più sicuri. Vuoi che le persone provino a hackerare il tuo sistema, soprattutto i white hats, così quando trovano un problema, te lo segnalano diligentemente. Devi giocare secondo le regole e compensarli equamente per lo sforzo che mettono nell’hackerare il tuo sistema. È così che si ottiene una maggiore sicurezza.
Se i tuoi sistemi sono suppostamente sicuri ma nessuno ha mai provato a hackerarli, allora è molto rischioso, perché non lo sai. Nell’IT non esiste una fortezza ovvia. In una vera fortezza, hai muri di pietra, e serve la forza bruta per superarli. Ma in termini di software, la sicurezza può crollare a volte a causa del più piccolo errore, come un minuscolo problema di configurazione in uno dei tuoi server secondari. Quindi, hai bisogno di persone che provino a sondare ovunque per garantire la tua sicurezza.
Kieran Chandler: Sicurezza a tutti i livelli, è un concetto un po’ bizzarro, non è vero, il fatto che ci siano persone che hackerano il tuo sistema e che in realtà sono i bravi ragazzi? Allora, dove si traccia la linea tra quello che è un attacco da white hat e qualcosa di un po’ più malevolo?
Joannes Vermorel: È completamente diverso. I white hats sono come freelance, ma hanno la loro reputazione. Sono bravi, molto professionali nel modo in cui segnalano i problemi. Tipicamente, segnalano prima il problema a te, e poi dicono: “Beh, quanto mi paghi dipende da te.” Alcune aziende hanno persino programmi ufficiali di ricompensa. Fondamentalmente, sono come freelance che aiutano il tuo sistema a migliorare in termini di sicurezza.
Joannes Vermorel: I black hats, d’altra parte, sono l’opposto. Non faranno così. Una volta trovata una falla nel tuo sistema, la sfrutteranno fino alla fine dei tempi o finché non la ripari. Poi cercheranno di rivendere i tuoi dati o di ricattarti. È molto diverso. I white hats non fanno ricatto. Dicono: “Se non mi paghi, va bene. Non verò pagato, ma non aspettarti che continui a lavorare sul tuo sistema.” Hanno fatto la prima analisi gratuitamente, così puoi vedere che è una cosa reale e che stanno facendo un lavoro serio, non solo affermazioni vuote. Ma poi, quanto paghi spetta a te. Più paghi, più catturerai il loro interesse nel cercare ulteriori problemi nel tuo sistema. E questo ha senso perché sono freelance che potrebbero lavorare per migliorare la sicurezza della tua azienda o di altre aziende, quindi devono dare priorità.
Kieran Chandler: E hai menzionato in precedenza che è molto facile che esista una piccola falla da qualche parte, ed è a questo che sono bravi gli hacker – trovare quelle falle. Ma puoi davvero essere sicuro della sicurezza dei tuoi dati? Voglio dire, persino i governi vengono hackerati al giorno d’oggi e sembrano avere risorse infinite da dedicare a queste cose. Quindi, puoi veramente rilassarti?
Joannes Vermorel: La risposta è davvero no. È interessante perché penso che tutti questi problemi di sicurezza siano diventati più visibili grazie a cose come Bitcoin. Perché? Perché all’improvviso diventa evidente che è incredibilmente difficile mettere qualcosa in sicurezza. Con Bitcoin, se la macchina che contiene i tuoi Bitcoins viene hackerata, i Bitcoins vengono rubati. Le persone hanno cominciato a rendersi conto, quando mettevano i Bitcoins sui server online, che praticamente tutto spariva dopo un po’. Così, hanno capito quanto fosse difficile mettere in sicurezza qualcosa.
Se prendiamo l’esempio dei governi, in termini di maturità, per quanto riguarda la sicurezza, all’estremità dello spettro trovi aziende estremamente valide come Facebook e Google. Sì, Facebook può essere hackerato di tanto in tanto, ma migliaia di persone cercano di hackerare Facebook ogni singolo giorno. Quindi, sono sopravvissuti, e sono molto bravi perché hanno un’enorme esposizione, attacchi massicci e continui attacchi ai loro sistemi. Lo stesso vale per Google, Amazon e Apple – tutte quelle aziende orientate al B2C e super esposte.
Poi, un gradino più in basso in termini di pratica, ci sono tutte le aziende di software B2B come Lokad. In Lokad, cerchiamo di essere molto esposti su internet nel senso che i nostri sistemi non sono sicuri perché sono opachi. Tutto è documentato online, e puoi persino registrarti gratuitamente per accedere a un account online. Quindi, fondamentalmente, ci diamo un alto grado di esposizione proprio come Facebook, volutamente. Ma diciamocelo, quando tu
Kieran Chandler: Joannes, puoi parlare delle differenze nella sicurezza tra piccole e grandi organizzazioni, e persino i governi?
Joannes Vermorel: Sì, certamente. Il numero di hacker che le piccole organizzazioni affrontano è tipicamente inferiore e, di conseguenza, la loro sicurezza tende ad essere più debole. Poi, un gradino più in basso, trovi tutto ciò che riguarda le mega aziende e i governi. Direi che le mega aziende non tech-driven, come i Google di questo mondo, tendono ad avere una sicurezza molto debole. Perché? Perché sono ancora fortemente legate a questa mentalità da fortezza, cioè una sicurezza basata sull’oscurità, nel senso che le cose sono messe in sicurezza non perché siano trasparenti ed esposte, ma perché fondamentalmente cercano di rinchiuderle. Ma indovina un po’? Se sei un’organizzazione molto grande, semplicemente non funziona. Non puoi avere le cose rinchiuse e avere decine di migliaia di giovani dipendenti nell’organizzazione. Non è affatto compatibile. Quindi, in definitiva, la sicurezza tende a essere piuttosto scarsa. E all’estremità più estrema dello spettro c’è l’esercito, che probabilmente è il peggiore in termini di IT security e di pratica. So che la gente potrebbe pensare il contrario, dicendo che l’esercito dovrebbe essere assolutamente sicuro, al massimo. Ma, al contrario, hanno decenni di esperienza nel possedere reti private, sistemi privati, tutto. E, di conseguenza, mancano drammaticamente dell’esposizione che dovrebbero avere. Se segui le notizie, vedrai che vari eserciti nel mondo presentano spesso numerosi problemi IT relativamente arretrati, conseguenza diretta della mancanza di esposizione.
Kieran Chandler: Cosa c’è in quelle reti private che le rende più vulnerabili? Perché se hai un sistema militare che è stato privato per decenni, sicuramente riusciranno a sistemare la sicurezza e sarà qualcosa di sicuro?
Joannes Vermorel: Il fatto è che se dici “la mia rete è sicura perché è disconnessa da internet”, beh, indovina un po’? Inoltre, se sei l’esercito, sei una grande organizzazione che si estende in molte località con decine di migliaia di persone. Se sei veramente un esercito attivo che combatte all’estero, i tuoi sistemi si diffonderanno in più paesi. E come puoi mantenere questa rete completamente disconnessa da tutto il resto? Non puoi fidarti dei tuoi dipendenti o delle persone che fanno parte della tua organizzazione a quella scala, non quando hai migliaia di persone. Il numero di persone che acquisisci è inutile, perché abbiamo scoperto molte frodi. Bernie Madoff, fino a quando non fu condannato, aveva un curriculum impeccabile. Aveva un curriculum impeccabile fino a quando non abbiamo scoperto che era la più grande frode della storia. Quello che tipicamente accade è questo: ci fidiamo delle persone fino a quando non vengono smascherate. Hanno un curriculum impeccabile, e ciò vale per i fondi d’investimento, ma è lo stesso per l’esercito e simili. Queste sono solo cose umane. Quindi, in definitiva, se la tua rete è… completamente disconnessa, come fai ad avere l’esposizione necessaria per quei tanti hacker che cercano di sondare, ad esempio, le vulnerabilità esistenti nell’hardware Intel? I processori CPU presentano due classi di vulnerabilità che sono state scoperte circa un anno fa: Spectre e Meltdown. Ciò significa che l’hardware stesso è vulnerabile e che alcune applicazioni software diventano vulnerabili perché l’hardware su cui girano è compromesso. Non credo per un attimo che oggi nessun esercito non utilizzi hardware Intel nei propri sistemi. Voglio dire, Intel detiene qualcosa come oltre il cinquanta percento di quota di mercato nelle CPU per desktop. Quindi, sono abbastanza sicuro che ogni singolo esercito al mondo abbia letteralmente centinaia, se non migliaia, di workstation basate su hardware Intel che presentano vulnerabilità critiche. Come affronti la situazione se non hai persone che provano a patchare il sistema? Le probabilità sono che resterai vulnerabile fino a quando qualcuno non riesce a connettersi alla tua rete, supposta privata e protetta, e allora tutto verrà compromesso perché tutto è in qualche modo debole e non ha ricevuto sufficiente scrutinio.
Kieran Chandler: Sta iniziando a diventare un po’ preoccupante adesso. Potrei non riuscire a dormire stanotte. Cerchiamo di concludere con una nota più positiva. I Googles e i Facebooks di questo mondo stanno investendo enormemente in ricerca e sviluppo sulla sicurezza dei dati. Possiamo quindi immaginare un giorno in cui l’hacking sarà una cosa del passato e non esisterà affatto?
Joannes Vermorel: Io credo di sì. Non esiste una legge fisica che dica che ogni singolo sistema informatico sia insicuro. Non esiste una legge fondamentale che dica che l’hacking aumenterà inevitabilmente col tempo. Quindi, non si tratta di entropia. Ma in definitiva, ci vorrà tempo. E per quanto riguarda le supply chains, questa evoluzione può avvenire molto più rapidamente se abbracci una cultura di apertura ed esposizione per la tua supply chain e per i tuoi supply chain systems. Il che significa avere i tuoi sistemi più trasparenti, più esposti, ma comunque sicuri. Non sto dicendo che devi essere esposto nel senso che chiunque può accedere a qualsiasi cosa da ovunque; non è questo il significato di esposizione. Con esposizione intendo che un sistema non è sicuro solo perché c’è una sola persona nel IT department che dovrebbe avere accesso ad esso. Non è questo il tipo di sicurezza. Ma fondamentalmente, più le aziende hanno supply chains con sistemi che sono più online, più sicuri grazie a una filosofia di defense-in-depth, tanto più riusciranno a garantire sicurezza in maniera rapida ed efficace.
Kieran Chandler: Dovremo lasciare le cose a questo punto. Speriamo che nessuno ci hacki dopo questo, o forse vuoi che lo facciano. Solo white hats, per favore. Questo è tutto per questa settimana. Grazie mille per averci seguito e ci vediamo alla prossima. Ciao per ora.
