00:00:07 Sicurezza dei dati e cloud computing.
00:00:38 Sfide della sicurezza dei dati nell’ottimizzazione della supply chain.
00:02:11 Aumento degli attacchi informatici e dipendenza dai sistemi IT.
00:03:08 Limitare l’area di attacco superficiale e l’outsourcing ai fornitori di cloud.
00:06:17 Ridurre al minimo la superficie di attacco nella progettazione del software e evitare i database relazionali.
00:08:01 Utilizzare la semplicità e i componenti minimi per la sicurezza.
00:09:26 Apertura, trasparenza ed esposizione come chiavi per la sicurezza dei dati.
00:11:03 L’importanza degli hacker etici nel migliorare la sicurezza.
00:13:18 Compensare equamente gli hacker etici per i loro sforzi.
00:14:35 Differenziare tra hacker etici e hacker malintenzionati.
00:16:00 La sicurezza dei sistemi aziendali e la priorità dei lavoratori autonomi.
00:16:47 La fiducia nella sicurezza dei dati e l’impatto di Bitcoin sulla consapevolezza della sicurezza.
00:17:50 Differenze nelle pratiche di sicurezza tra aziende B2C e B2B, grandi aziende e governi.
00:20:01 Sfide nella sicurezza delle reti militari ed esempi di vulnerabilità hardware.
00:24:01 La possibilità di un futuro con hacking significativamente ridotto e l’adozione di una cultura di apertura nella sicurezza della supply chain.
Riassunto
Nell’intervista, Kieran Chandler e Joannes Vermorel discutono della sicurezza dei dati nell’ottimizzazione della supply chain. Vermorel riconosce l’aumento degli attacchi informatici a causa della crescente digitalizzazione e della dipendenza dal software. Sottolinea l’importanza dell’apertura e dell’esposizione nella sicurezza della supply chain, sostenendo una filosofia di “difesa in profondità” con molteplici livelli di protezione. Cita il valore degli hacker etici nell’individuare e risolvere le vulnerabilità e suggerisce che le aziende possano migliorare la sicurezza riducendo al minimo le superfici di attacco e affidandosi a fornitori di cloud computing affidabili. Vermorel ritiene che abbracciare la trasparenza e l’esposizione nelle pratiche della supply chain porterà a una transizione più rapida verso sistemi più sicuri.
Riassunto Esteso
In questa intervista, Kieran Chandler, il conduttore, discute della sicurezza dei dati con Joannes Vermorel, il fondatore di Lokad, un’azienda software specializzata nell’ottimizzazione della supply chain. La conversazione ruota attorno all’importanza crescente della sicurezza dei dati mentre il cloud computing diventa sempre più popolare e le tecniche di hacking diventano più sofisticate.
Joannes riconosce che la sicurezza dei dati non è un problema nuovo, ma è presente da parecchio tempo. Ricorda che quando ha avviato Lokad 10 anni fa, l’idea iniziale era quella di tenere i dati lontani da tutte le reti, ma questo approccio si è rivelato dannoso per l’ottimizzazione della supply chain. Le aziende con supply chain complesse e distribuite devono fornire accesso ai dati per tutte le parti coinvolte al fine di ottimizzare le proprie operazioni. Questo aumenta inevitabilmente l’esposizione dei dati e dei sistemi, portando a sfide di sicurezza dei dati.
Il conduttore chiede se gli incidenti di hacking stiano effettivamente diventando più frequenti o se semplicemente vengano segnalati più spesso dai media. Joannes ritiene che gli attacchi informatici siano effettivamente in aumento, principalmente perché ci sono più sistemi IT e una maggiore dipendenza dal software. Man mano che le aziende diventano sempre più digitalizzate e i consumatori utilizzano sempre più servizi online, la superficie di attacco per gli hacker cresce, portando a più violazioni dei dati.
Quando gli viene chiesto quali tecniche utilizzare per proteggere i dati, Joannes afferma che la sicurezza è la seconda preoccupazione più importante presso Lokad, con la qualità dei numeri che forniscono per l’ottimizzazione della supply chain come loro principale preoccupazione. Un approccio di base per garantire la sicurezza dei dati è limitare la superficie di attacco per gli hacker. Ciò comporta la progettazione di soluzioni software con un potenziale minimo per errori.
Joannes spiega che uno dei motivi per cui Lokad si è orientata verso il cloud computing è stato quello di delegare l’hardware e la gestione dei sistemi operativi a grandi aziende come Microsoft. Anche se non perfette, queste aziende dispongono di più risorse e personale per garantire la sicurezza fisica dell’hardware informatico. Ha senso affidarsi a un’azienda con centinaia di persone che lavorano sulla sicurezza anziché a un team più piccolo di 20 persone.
Il conduttore chiede quindi come scegliere aziende informatiche affidabili per esternalizzare il lavoro. Joannes suggerisce che i grandi fornitori di cloud computing come Amazon, Microsoft e Google, che sono sopravvissuti all’era di Internet, sono generalmente affidabili. Queste aziende affrontano costantemente attacchi informatici, quindi la loro esperienza e le loro risorse li rendono più preparati per gestire la sicurezza dei dati.
Per garantire la sicurezza dei loro sistemi, Lokad riduce al minimo la loro superficie di attacco utilizzando componenti più semplici e evitando strati di archiviazione dati programmabilmente intelligenti, come i database relazionali. Invece, optano per un livello di archiviazione dati più basilare, utilizzando l’archiviazione di blob su Azure, che è meno suscettibile a determinati tipi di attacchi. Lokad è anche selettiva nell’uso dei componenti open source, valutando ognuno di essi e limitando la quantità di massa tecnologica nelle loro soluzioni.
Vermorel ritiene che un elemento chiave della cultura aziendale per migliorare la sicurezza dei dati sia l’apertura, che contrasta con la mentalità di fortezza spesso utilizzata nelle pratiche della supply chain. Sostiene che i sistemi informatici non sono sicuri solo a causa del loro design, ma anche a causa della trasparenza e dell’esposizione. La trasparenza implica che le persone comprendano come funzionano i sistemi e la loro architettura, mentre l’esposizione si riferisce alla sottoposizione dei sistemi a hacker etici, noti come white-hat hackers, che cercano di migliorare la sicurezza.
I white-hat hackers aiutano le organizzazioni a individuare e correggere le vulnerabilità dei loro sistemi. Vermorel condivide che Lokad ha avuto questa esperienza alcune volte, con i white-hat che hanno individuato problemi all’interno di singoli account, che sono stati successivamente segnalati e risolti. Per incoraggiare i white-hat a continuare a individuare potenziali problemi di sicurezza, le organizzazioni dovrebbero compensarli in modo equo per i loro sforzi.
Vermorel condivide la sua prospettiva sui diversi livelli di maturità della sicurezza tra diversi tipi di organizzazioni. Da un lato dello spettro ci sono aziende come Facebook e Google, che hanno robuste misure di sicurezza a causa della loro massiccia esposizione e dell’elevato numero di tentativi di hacking. Queste aziende orientate al consumatore sono costantemente sotto attacco, il che le costringe ad essere ben preparate e proattive nelle loro misure di sicurezza.
Più in basso nello spettro ci sono le aziende software B2B come Lokad, che, sebbene non siano esposte come i giganti B2C, cercano comunque di raggiungere elevati livelli di sicurezza mantenendo la trasparenza e consentendo un facile accesso ai loro sistemi. Vermorel suggerisce che la sicurezza di queste aziende B2B tende ad essere più debole, poiché non hanno la stessa esposizione e di conseguenza non affrontano la stessa intensità di tentativi di hacking.
Un livello ancora più basso di maturità della sicurezza si può trovare in grandi aziende non tecnologiche e governi, che spesso si affidano a una mentalità di “fortezza” obsoleta e alla sicurezza tramite oscurità. Queste organizzazioni possono cercare di nascondere le informazioni sensibili, ma Vermorel sostiene che questo approccio è incompatibile con la dimensione e la complessità delle organizzazioni moderne.
Sorprendentemente, Vermorel afferma che le organizzazioni militari hanno le peggiori pratiche di sicurezza, in quanto spesso utilizzano reti private isolate da decenni. Sebbene si potrebbe pensare che queste reti private siano più sicure, la loro mancanza di esposizione alle minacce esterne le ha rese impreparate alle sfide di sicurezza moderne. Vermorel osserva che le grandi organizzazioni militari distribuite su più sedi e paesi faticano a mantenere una rete isolata gestendo contemporaneamente migliaia di dipendenti e collaboratori.
Vermorel sottolinea che anche i sistemi più sicuri possono essere compromessi, come dimostrato da frodi passate e dalle vulnerabilità riscontrate nell’hardware Intel. Spiega che le vulnerabilità hardware, come Spectre e Meltdown, possono rendere insicuro anche il software e le applicazioni.
Vermorel sottolinea l’importanza dell’esposizione agli hacker che possono individuare e correggere le vulnerabilità prima che possano essere sfruttate. Osserva che i sistemi militari, che spesso utilizzano hardware Intel, sono particolarmente vulnerabili a tali attacchi. Tuttavia, crede che sia possibile eliminare a lungo termine l’hacking, poiché non esiste una legge fondamentale che stabilisca che tutti i sistemi informatici debbano essere insicuri.
Vermorel suggerisce che le catene di approvvigionamento possono diventare più sicure abbracciando una cultura di apertura ed esposizione. Ciò comporta rendere i sistemi più trasparenti e accessibili, pur mantenendo misure di sicurezza. Egli sostiene una filosofia di “difesa in profondità”, in cui vengono implementati più livelli di sicurezza per proteggere le informazioni sensibili. Nel complesso, Vermorel sostiene che le aziende e le organizzazioni con catene di approvvigionamento saranno più sicure se adotteranno questo approccio, con conseguente transizione più rapida verso sistemi più sicuri.
Trascrizione completa
Kieran Chandler: Oggi su Lokad TV, parleremo di come il cloud computing sta guadagnando popolarità e anche di come le tecniche di hacking stiano diventando sempre più sofisticate. Puoi essere veramente sicuro della sicurezza dei tuoi dati? Quindi Joannes, questo è un argomento che è stato un po’ sensazionalizzato dai media di recente, ma la sicurezza dei dati è davvero una nuova questione?
Joannes Vermorel: No, è presente da parecchio tempo. È intrigante. Quando ho fondato Lokad 10 anni fa, l’idea era quella di tenere i dati lontani da tutte le reti e lontani dagli hacker e da tutto il resto. Ma quando si tratta di catene di approvvigionamento, se si bloccano i dati in una cassaforte, sì, sono molto sicuri, ma le catene di approvvigionamento ne soffrono drasticamente. Il problema è che le persone, i partner e persino la propria organizzazione non hanno accesso ai dati per ottimizzare effettivamente la catena di approvvigionamento. Quindi, se si vuole raggiungere un certo grado di ottimizzazione della catena di approvvigionamento e avere una catena di approvvigionamento un po’ complessa e distribuita su diverse sedi o possibilmente diversi paesi, allora è necessario avere un modo per fornire a tutte le parti coinvolte nella catena di approvvigionamento i dati corretti. Ciò significa che, per design, si sta esponendo di più i dati, si sta esponendo di più i sistemi e quindi si presenta il problema della sicurezza dei dati.
Kieran Chandler: Sembra che ogni giorno sui media vediamo una nuova organizzazione o una nuova celebrità hackerata. È qualcosa che sta effettivamente accadendo più frequentemente o è solo che ne sentiamo parlare più spesso?
Joannes Vermorel: Credo che gli attacchi informatici siano in aumento complessivamente. Ci sono alcune ragioni molto semplici per questo. Non è che ci sono più cattivi in giro; è solo che abbiamo più sistemi informatici e una maggiore dipendenza dal nostro stesso software in generale. Le aziende stanno diventando sempre più digitalizzate e persino i clienti comuni stanno utilizzando sempre più servizi online. Di conseguenza, tutto ciò aumenta l’area di attacco per i cattivi, e quindi si finisce con più falle. Ciò non significa che la sicurezza sta peggiorando o che ci sono più persone cattive in generale.
Kieran Chandler: Se ci sono più attacchi che avvengono ogni giorno, vediamo alcune delle tecniche che possiamo effettivamente utilizzare per proteggerci. Cosa possiamo fare qui?
Joannes Vermorel: Da Lokad, la sicurezza è la seconda preoccupazione più importante. La preoccupazione più importante è la qualità dei numeri che forniamo per un’ottimizzazione della supply chain eccellente. Ma la seconda preoccupazione è garantire la sicurezza dei dati dei nostri clienti. Una delle tecniche più basilari per farlo è limitare l’area di attacco per hacker e problemi in generale. Come si fa quando si progetta una soluzione software? Prima di tutto, si cerca di limitare il più possibile la quantità di cose che possono andare storte a causa vostra. Ad esempio, una delle ragioni per cui ci siamo spostati verso il cloud computing è stata quella di poter delegare l’hardware e gran parte della gestione dei sistemi operativi a Microsoft. Non è che Microsoft sia perfetta, ma in termini di team di ingegneria, hanno risorse molto più grandi per proteggere fisicamente l’hardware di calcolo rispetto a Lokad. Quindi ha molto senso non fidarsi del proprio team quando si ha un team di 20 persone, mentre Microsoft sta cercando di fare lo stesso sforzo di sicurezza con diverse centinaia di persone sul caso.
Kieran Chandler: Parliamo un po’ di questa delega. Ci sono molte aziende informatiche là fuori, quindi come si sa quali aziende si possono fidare e quali sono quelle che si dovrebbero evitare?
Joannes Vermorel: Come regola generale, fidati delle grandi aziende che mettono a disposizione tonnellate di risorse informatiche online. Sto parlando dei grandi fornitori di cloud computing come Amazon, Microsoft e Google. Questi sono sopravvissuti a Internet, attaccati ogni singolo giorno da centinaia di hacker. Se i loro sistemi sono ancora in piedi dopo un decennio di operazioni, significa che hanno resistito a tutte le punizioni che hanno subito quotidianamente. Non significa che non siano mai stati violati; significa solo che hanno diligentemente risolto e corretto tutti i problemi che hanno incontrato. Più esposizione ha il tuo fornitore e più tempo è stato in giro, più fiducia puoi dargli. Se sono rimasti esposti, sono stati attaccati senza sosta e sono sopravvissuti, probabilmente sono molto bravi in termini di sicurezza.
Kieran Chandler: Ok, quindi l’outsourcing ad altre aziende è un modo per garantire che i nostri sistemi siano sicuri. Quali altre tecniche possiamo utilizzare per garantire che i nostri sistemi siano sicuri?
Joannes Vermorel: Lo stesso principio di riduzione dell’area di attacco si applica anche alla parte interna del tuo software. Ad esempio, da Lokad, non utilizziamo internamente alcun sistema di database relazionale o database SQL. Non è che non ci piacciano; sono potenti e possono fare molte cose. Tuttavia, averli nel tuo livello di archiviazione crea un enorme problema di sicurezza. Può ancora essere protetto, ma richiede molto sforzo. Con SQL, è possibile scrivere codice, il che significa che è possibile scrivere codice maligno. Per proteggerci da questo, da Lokad utilizziamo un livello di archiviazione dati molto semplice e ingenuo, come l’archiviazione di blob su Azure. L’idea chiave è che utilizziamo un livello di archiviazione dati che è ordini di grandezza più semplice dei database relazionali e ha zero espressività programmabile. Ciò significa che intere classi di attacchi non possono accadere a livello del nostro livello di archiviazione dati perché è troppo semplice per offrire angoli per quegli attacchi. Applichiamo lo stesso principio a molti altri componenti, optando per opzioni più semplici e meno espressive per ridurre al minimo la quantità di cose che possono andare storte.
Kieran Chandler: Quindi essere semplici e un po’ stupidi è effettivamente molto vantaggioso. Questo riguarda la sicurezza progettuale. E per quanto riguarda la sicurezza in termini di cultura? Quali valori culturali dovrebbero promuovere le aziende per aumentare la sicurezza dei dati?
Joannes Vermorel: L’apertura è probabilmente la chiave.
Kieran Chandler: Quindi, come descrivi l’approccio fortezza che ho menzionato riguardo alle catene di approvvigionamento e al modo in cui venivano gestite dieci anni fa?
Joannes Vermorel: Se hai una mentalità da fortezza, vuoi bloccare i tuoi dati in una cassaforte sepolta e molto difficile da accedere. Questo rende tutto opaco e oscuro, ed è difficile accedere ai dati. Ma questo ti rende davvero sicuro? Il problema è che, per quanto riguarda l’IT, questo tipo di comportamento e cultura aziendale è molto avverso alla sicurezza.
Kieran Chandler: Perché i sistemi IT non sono sicuri?
Joannes Vermorel: I sistemi IT non sono completamente sicuri, non solo perché sono stati progettati per essere sicuri, ma anche a causa delle pratiche di progettazione. Se non hai la correttezza progettuale nel software, è molto difficile proteggere qualsiasi cosa. Una volta che hai questo, insieme a un alto grado di controllo nel tuo software, ciò di cui hai bisogno per migliorare la sicurezza è trasparenza ed esposizione.
La trasparenza significa che le persone possono vedere cosa succede all’interno dei tuoi sistemi IT, e la sicurezza non è una proprietà emergente del fatto che nessuno sa cosa c’è nei tuoi sistemi IT. Le persone dovrebbero sapere come funzionano, la loro architettura, e possono vedere se sono progettati correttamente e sono sicuri. L’esposizione significa essere esposti agli hacker, e ancora più importante, ai white hat, i bravi ragazzi.
Kieran Chandler: Sembra controintuitivo esporre i tuoi sistemi e lasciare che tutti vedano cosa succede. Come fa il fatto che le persone hackerino i tuoi sistemi a renderti più sicuro? Cosa fanno effettivamente questi white hat?
Joannes Vermorel: I white hat sono i bravi hacker. Provano ad entrare nei sistemi come modo di vivere. Da Lokad, abbiamo avuto questa esperienza un paio di volte. Le persone su Internet si registrano per un account gratuito su Lokad e cercano di curiosare, vedere se possono trovare problemi di sicurezza. Alcuni di loro sono riusciti a trovare problemi, ma solo all’interno di un singolo account, quindi il contenimento era stretto.
Quando trovano un problema, tornano indietro e lo segnalano. Potrebbero chiedere una ricompensa, ma spetta a te decidere il prezzo. Questo li motiva a trovare più problemi nei tuoi sistemi, rendendoli ancora più sicuri. Vuoi che le persone cerchino di hackerare il tuo sistema, specialmente i white hat, quindi quando trovano un problema, lo segnalano diligentemente a te. Devi giocare il gioco e compensarli equamente per lo sforzo che mettono nell’hackerare il tuo sistema. Ecco come diventi più sicuro.
Se i tuoi sistemi sono suppostamente sicuri ma nessuno ha mai provato ad hackerarli, allora è molto rischioso, perché non lo sai. Nell’IT, non esiste una fortezza ovvia. In una vera fortezza, hai mura di pietra, e ci vuole la forza bruta per superarle. Ma in termini di software, la sicurezza può crollare a volte a causa del più piccolo errore, come un piccolo problema di configurazione in uno dei tuoi server secondari. Quindi, devi avere persone che cercano di curiosare ovunque per garantire la tua sicurezza.
Kieran Chandler: Sicuri fino in fondo, è un concetto un po’ bizzarro, vero, che ci siano persone che stanno hackerando il tuo sistema che in realtà sono i bravi ragazzi? Quindi dove tracci la linea tra un attacco di tipo white hat e qualcosa di più malevolo?
Joannes Vermorel: È completamente diverso. I white hat sono come liberi professionisti, ma hanno la loro reputazione. Sono bravi ragazzi, molto professionali nel modo in cui rivelano i problemi. Tipicamente, rivelano il problema prima a te, e poi dicono: “Beh, quanto mi paghi dipende da te.” Alcune aziende hanno persino programmi di ricompensa ufficiali. Fondamentalmente, sono come liberi professionisti che aiutano il tuo sistema a migliorare in termini di sicurezza.
I black hat, d’altra parte, sono l’opposto. Non faranno così. Una volta che trovano una falla nel tuo sistema, sfrutteranno quella falla fino alla fine dei tempi o fino a quando non avrai corretto la falla. Poi, cercheranno di rivendere i tuoi dati o ricattarti. È molto diverso. I white hat, non è una questione di ricatto. Dicono: “Se non mi paghi, va bene. Non sto ricevendo soldi, ma non aspettarti che continui a lavorare sul tuo sistema dopo.” Hanno fatto il primo gratuitamente in modo che tu possa vedere che è una cosa reale e stanno facendo un lavoro serio, non solo facendo affermazioni vuote. Ma poi, quanto paghi dipende da te. Più paghi, più catturerai il loro interesse nel cercare effettivamente ulteriori problemi nel tuo sistema. E ha senso perché sono liberi professionisti che potrebbero lavorare per migliorare la sicurezza della tua azienda o di altre aziende, quindi devono stabilire le priorità.
Kieran Chandler: E hai accennato prima che è molto facile che ci sia una piccola falla che potrebbe esistere da qualche parte, ed è quello in cui gli hacker sono bravi: trovare quelle falle. Ma puoi mai essere veramente sicuro della sicurezza dei tuoi dati? Voglio dire, anche i governi vengono hackerati al giorno d’oggi, e sembrano avere risorse infinite da dedicare a queste cose. Quindi puoi mai davvero rilassarti?
Joannes Vermorel: La risposta è davvero no. È interessante perché penso che tutti questi problemi di sicurezza siano diventati più visibili grazie a cose come Bitcoin. Perché? Perché improvvisamente diventa ovvio che è incredibilmente difficile proteggere qualsiasi cosa. Con Bitcoin, se la tua macchina che tiene i tuoi Bitcoin viene hackerata, i Bitcoin vengono rubati. Le persone hanno iniziato a capire quando mettevano Bitcoin su server online che praticamente tutto era sparito dopo un po’. Quindi, le persone hanno capito quanto fosse difficile proteggere effettivamente qualsiasi cosa.
Se prendiamo l’esempio dei governi, in termini di maturità, per quanto riguarda la sicurezza, hai da un lato dell’arco, le aziende estremamente buone come Facebook e Google. Sì, Facebook può essere hackerato di tanto in tanto, ma migliaia di persone cercano di hackerare Facebook ogni singolo giorno. Quindi sono sopravvissuti, e sono molto bravi perché hanno una grande esposizione, attacchi massicci e attacchi continui ai loro sistemi. È lo stesso per Google, Amazon e Apple - tutte quelle aziende che sono orientate al consumatore finale e super esposte.
Poi, un gradino più in basso nella scala delle pratiche, ci sono tutte le aziende software B2B come Lokad. Da Lokad, cerchiamo di essere molto esposti su Internet nel senso che i nostri sistemi non sono sicuri perché sono opachi. Tutto è documentato online, e puoi persino registrarti gratuitamente e accedere a un account online. Quindi, fondamentalmente, ci diamo un alto grado di esposizione proprio come Facebook, apposta. Ma ammettiamolo, quando tu
Kieran Chandler: Joannes, puoi parlare delle differenze in termini di sicurezza tra organizzazioni piccole e grandi, e persino tra governi?
Joannes Vermorel: Sì, certamente. Quindi, il numero di hacker che le piccole organizzazioni affrontano è tipicamente inferiore, e di conseguenza, la loro sicurezza tende ad essere più debole. Poi, un grande passo in basso, hai tutto ciò che è come le mega-corporazioni e i governi. Direi che le mega-corporazioni che non sono orientate alla tecnologia, come i Googles di questo mondo, tendono ad avere una sicurezza molto debole. Perché? Perché sono ancora molto legate a questa mentalità di fortezza, sicurezza per oscurità, il che significa che le cose sono protette non perché sono trasparenti ed esposte, ma perché cercano di tenerle nascoste. Ma indovina un po’? Se sei un’organizzazione molto grande, non funziona. Non puoi tenere le cose nascoste e avere decine di migliaia di giovani dipendenti nell’organizzazione. Questo semplicemente non è compatibile. Quindi, in definitiva, la sicurezza tende ad essere piuttosto scarsa. E all’estremo opposto dello spettro, hai il militare, che è probabilmente il peggiore in termini di sicurezza informatica e pratica. So che la gente penserebbe che sia esattamente il contrario e direbbe che il militare dovrebbe essere assolutamente sicuro, extra. Ma, al contrario, hanno decenni di esperienza nel gestire le proprie reti private, i propri sistemi privati, tutto. E di conseguenza, sono drasticamente carenti nell’esposizione che dovrebbero avere. E se segui alcune notizie, vedrai che alcuni eserciti in tutto il mondo hanno frequentemente tonnellate di problemi informatici relativamente arretrati che sono una diretta conseguenza della mancanza di esposizione.
Kieran Chandler: Cosa c’è in quelle reti private che le rende più vulnerabili? Perché se hai un sistema militare che è stato privato per decenni, sicuramente saranno in grado di risolvere la loro sicurezza e sarà qualcosa di sicuro?
Joannes Vermorel: La cosa è che se dici che la mia rete è sicura perché è disconnessa da Internet, beh, indovina un po’? Di nuovo, se sei l’esercito, sei un’organizzazione di grandi dimensioni che si estende su molte sedi con decine di migliaia di persone. Se sei effettivamente un esercito attivo che combatte all’estero, i tuoi sistemi si diffonderanno su più paesi. E come puoi mantenere questa rete completamente disconnessa da tutto il resto? Non puoi fidarti dei tuoi dipendenti o delle persone che fanno parte della nostra organizzazione a quella scala, non quando hai migliaia di persone. La quantità di acquisizioni che hai è inutile perché abbiamo scoperto molti truffatori. Bernie Madoff, fino a quando non è stato condannato, non aveva nulla nel suo curriculum. Aveva un curriculum impeccabile fino a quando abbiamo scoperto che era la più grande frode della storia. Quindi, questo è ciò che di solito accade. Ci fidiamo delle persone fino a quando non vengono scoperte. Hanno un curriculum impeccabile, e questo vale per i fondi di investimento, ma è la stessa cosa per l’esercito e così via. Queste sono solo cose umane. Quindi, in conclusione, se la tua rete è…Completamente disconnessa, come fai ad avere l’esposizione a tutti quegli hacker che cercano di individuare e sondare, ad esempio, le vulnerabilità esistenti nell’hardware Intel? Quindi, i processori delle CPU hanno due classi di vulnerabilità che sono state scoperte circa un anno fa: Spectre e Meltdown. Significa che l’hardware stesso è vulnerabile e che hai classi di applicazioni software che diventano vulnerabili perché l’hardware su cui vengono eseguite è compromesso. Non credo per un secondo che oggi qualsiasi esercito non abbia hardware Intel nei propri sistemi. Voglio dire, Intel ha circa oltre il cinquanta percento di quota di mercato nelle CPU per desktop. Quindi, sono abbastanza sicuro che ogni singolo esercito del mondo abbia letteralmente centinaia, se non migliaia, di postazioni di lavoro che utilizzano hardware Intel con vulnerabilità critiche. Quindi, come affronti la situazione se non hai persone che cercano di correggere la cosa? Beh, è probabile che rimarrai vulnerabile fino a quando qualcuno riuscirà a connettersi alla tua rete suppostamente privata e protetta, e poi sarà tutto finito perché tutto è un po’ debole e non ha ricevuto abbastanza attenzione.
Kieran Chandler: Inizio a preoccuparmi un po’. Potrei non riuscire a dormire stanotte. Cerchiamo di concludere su una nota più positiva allora. Google e Facebook di questo mondo stanno investendo molto nella ricerca e sviluppo della sicurezza dei dati. Quindi, possiamo immaginare un giorno in cui l’hacking sarà una cosa del passato e non esisterà più?
Joannes Vermorel: Credo di sì. Non esiste una legge fisica che dica che ogni singolo sistema informatico è insicuro. Non esiste una legge fondamentale che dica che la quantità di hacking aumenterà solo nel tempo. Quindi, questo non è entropia. Ma in definitiva, ci vorrà tempo. E per quanto riguarda le catene di approvvigionamento, questa evoluzione può avvenire molto più velocemente se si abbraccia una cultura di apertura ed esposizione per la propria catena di approvvigionamento e i propri sistemi di catena di approvvigionamento. Ciò significa che, avendo sistemi più trasparenti, più esposti, ma comunque sicuri. Non sto dicendo che si vuole essere esposti nel senso che chiunque può accedere a qualsiasi cosa da qualsiasi luogo, non è questo il significato di esposizione. Con esposizione intendo che non è sicuro solo perché c’è una sola persona nel dipartimento IT che dovrebbe essere in grado di accedervi. Non è questo tipo di sicurezza. Ma fondamentalmente, più le aziende hanno catene di approvvigionamento con sistemi più online, più sicuri con una filosofia di difesa in profondità, allora avranno qualcosa di molto più sicuro e molto più veloce.
Kieran Chandler: Dobbiamo lasciare le cose così. Speriamo che nessuno ci hackeri dopo questo, o forse vuoi che ci hackerino. Solo cappelli bianchi, per favore. Questo è tutto per questa settimana. Grazie mille per averci seguito, e ci vediamo la prossima volta. Ciao per ora.
