00:00:07 Introduzione al tema del rischio cibernetico nelle supply chains durante l’epidemia di coronavirus.
00:00:36 Il background di Richard Wilding come professore di strategia della supply chain e il suo lavoro nel campo della gestione del rischio nelle supply chains.
00:03:24 Panoramica delle sfide nel rilevare e prevenire i rischi cibernetici nello sviluppo del software.
00:06:06 La difficoltà nel determinare chi sia responsabile della prevenzione degli attacchi cibernetici nelle supply chains.
00:07:44 L’importanza dell’educazione degli utenti nella risoluzione dei problemi di sicurezza e la necessità di un approccio specifico alla sicurezza fin dalla progettazione.
00:08:00 Discussione sulla sicurezza basata sul comportamento umano.
00:09:04 Posizione controintuitiva adottata da aziende come Google riguardo alla sicurezza.
00:09:57 La consapevolezza da parte delle persone delle proprie responsabilità in tema di sicurezza.
00:13:06 Le persone che portano i propri dispositivi quando la sicurezza è troppo rigida.
00:15:04 Il GDPR e l’importanza di conservare solo i dati necessari.
00:16:00 Discussione sull’attuale situazione con le persone che lavorano da casa a causa del coronavirus e sui rischi che ne conseguono.
00:17:01 Discussione sulla sicurezza dei dispositivi personali e sulla necessità per le aziende di educare i propri dipendenti a lavorare da casa in sicurezza.
00:18:58 Il consiglio di Joannes su come proteggere un’azienda dalle decisioni sbagliate del personale.
00:19:31 L’importanza di utilizzare “white hats” (hacker etici) per migliorare la sicurezza IT.
23:44 Riflessioni finali sulla continua battaglia della sicurezza informatica e la necessità che i buoni rimangano un passo avanti.
Riepilogo
L’intervista tra Kieran Chandler, Joannes Vermorel e Richard Wilding si concentra sul tema del rischio cibernetico nelle supply chains. Vermorel e Wilding evidenziano la crescente vulnerabilità delle supply chains a causa della loro maggiore connettività e sottolineano la necessità di un approccio più completo alla sicurezza. Discutono dei trade-offs tra comodità e sicurezza, della natura controintuitiva di alcune misure di sicurezza e dell’impatto del lavoro da remoto sulla cybersecurity. La conversazione enfatizza l’importanza di un approccio multifaccettato alla cybersecurity, che includa consapevolezza, white hat hacker e soluzioni software e hardware migliorate. Sia Vermorel che Wilding sottolineano la natura continua della battaglia contro le minacce cibernetiche e la necessità che individui e aziende rimangano vigili e adattabili.
Riepilogo Esteso
Kieran Chandler, l’host dell’intervista, presenta i due ospiti: Joannes Vermorel, fondatore di Lokad, una società di software per l’ottimizzazione delle supply chain, e Richard Wilding, Chair (Professore Ordinario) in Supply Chain Strategy presso il Centre for Logistics and Supply Chain Management, Cranfield School of Management UK, innovatore nel campo delle supply chains. Il tema della discussione è il rischio cibernetico nelle supply chains.
Richard Wilding fornisce una panoramica del suo percorso, essendosi accidentalmente ritrovato in ambito accademico dopo aver iniziato la sua carriera nell’industria. Con un’esperienza nella gestione delle disruptions nelle supply chains sin dai primi anni ‘90, si è evoluto fino a diventare professore di supply chain strategy. Il suo obiettivo è trasformare la conoscenza in azione, sfidando e ispirando i leader delle supply chains a innovare e creare valore economico, sociale o ambientale. L’attenzione della Cranfield University è focalizzata nel permettere ai leader delle supply chains di innovare e creare valore nelle aziende in cui operano.
Joannes Vermorel affronta il tema del rischio cibernetico e il suo impatto sulle supply chains. Lo descrive come controintuitivo ed elusivo, con le metodologie di testing tradizionali e le pratiche di sviluppo che falliscono nel risolvere le problematiche di sicurezza. Nota inoltre che l’evoluzione del enterprise software negli ultimi decenni ha aumentato l’area di attacco, rendendo il software più esposto agli attacchi cibernetici. Il passaggio a ambienti cloud può aumentare la sicurezza, ma offre anche più punti di accesso per potenziali attaccanti.
Richard Wilding discute della difficoltà di proteggere le supply chains a causa del desiderio di apertura e connettività tra fornitori e clienti. Questa apertura crea molteplici punti di ingresso per attacchi cibernetici, che possono avere effetti devastanti sulle aziende. Esempi di potenziali interruzioni includono attacchi denial of service su siti web, interruzioni dei sistemi di gestione dei warehouse e interferenze con veicoli autonomi. Wilding sottolinea che la gravità degli attacchi cibernetici può aumentare quando essi prendono di mira le supply chains, anziché singoli siti web o applicazioni.
L’intervista evidenzia l’importanza crescente del rischio cibernetico nelle supply chains e le sfide che le aziende devono affrontare per risolvere le problematiche di sicurezza. Entrambi gli ospiti sottolineano la necessità di innovare in questo settore, così come l’importanza di ripensare i metodi tradizionali per proteggere le supply chains. Tuttavia, la discussione resta incompleta, e si prevede che la conversazione continuerà in futuro.
La conversazione mette in luce la maggiore vulnerabilità delle supply chains a causa della crescente connettività, con un focus sugli attacchi cibernetici.
Richard sottolinea che gli attacchi cibernetici alle supply chains sono diventati più frequenti negli ultimi anni, ed è responsabilità di tutti garantire la sicurezza. Sostiene che educare tutte le parti coinvolte sui potenziali rischi è essenziale. Joannes, tuttavia, ritiene che affidarsi esclusivamente all’educazione degli utenti non sia sufficiente. Invece, sostiene il principio della “correctness by design”, in cui le misure di sicurezza sono integrate nei sistemi per ridurre la possibilità di errore umano.
Per illustrare il suo punto di vista, Joannes cita l’esempio del “USB key on the parking lot attack”, in cui una chiave USB infetta da malware viene lasciata in un luogo pubblico, facendo leva sulla curiosità umana per compromettere i sistemi. Confronta questo approccio con le strategie di sicurezza di aziende come Google, che presumono che le persone commetteranno errori e progettano i loro sistemi di conseguenza.
Richard concorda sul fatto che la correctness by design sia fondamentale, ma insiste anche sul fatto che l’errore umano rimane un fattore significativo in molte violazioni della cybersecurity. Cita esempi come la violazione dei dati di Target, risultato di un attacco a un fornitore tramite email di phishing. Questa violazione ha costato all’azienda milioni e ne illustra l’importanza sia della consapevolezza che della progettazione dei sistemi per proteggere le supply chains.
Sia Joannes che Richard concordano sul fatto che per migliorare la sicurezza delle supply chains sia necessaria una combinazione di educazione degli utenti, consapevolezza e progettazione dei sistemi. Bilanciare l’apertura per l’innovazione e il blocco dei sistemi è una sfida che le aziende devono affrontare per garantire la sicurezza delle loro informazioni e dei loro beni.
La conversazione tratta il bilanciamento tra accessibilità e sicurezza, la natura controintuitiva di alcune misure di sicurezza e l’impatto del lavoro da remoto dovuto alla pandemia di coronavirus.
La discussione evidenzia che le misure di sicurezza possono talvolta ritorcersi contro, portando a conseguenze non intenzionali. Ad esempio, quando le aziende implementano misure di sicurezza rigide sui laptop, i dipendenti potrebbero portare i propri dispositivi, creando involontariamente rischi per la sicurezza. Allo stesso modo, frequenti cambi di password possono portare i dipendenti a scrivere le password, rendendole più vulnerabili. Vermorel osserva che è essenziale considerare le reazioni umane alle misure di sicurezza per evitare risultati controproducenti.
Wilding aggiunge che le aziende dovrebbero conservare solo i dati necessari e seguire regolamenti come il GDPR per evitare di esporsi a rischi inutili. Sottolinea l’importanza di educare i dipendenti sulla sicurezza delle password e suggerisce che, sebbene il lavoro da remoto possa aumentare la sicurezza in alcuni aspetti, esso introduce anche nuovi rischi, come router e dispositivi personali.
Vermorel esprime scetticismo riguardo all’educazione come soluzione principale per prevenire le violazioni della sicurezza, citando minacce emergenti come i cavi USB contraffatti che trasmettono malware. La conversazione sottolinea la necessità di un approccio più completo alla sicurezza delle supply chains, che tenga conto del comportamento umano e bilanci accessibilità e protezione.
La conversazione evidenzia le sfide che aziende e individui devono affrontare per far fronte a minacce cibernetiche sempre più sofisticate.
Vermorel condivide l’esempio di come un cavo apparentemente innocuo possa contenere un microcomputer con il potenziale di compromettere i sistemi. Esprime scetticismo sull’efficacia di formare le persone per prevenire gli attacchi cibernetici, poiché le minacce sono varie e in continua evoluzione. Invece, suggerisce che impiegare white-hat hackers per identificare le vulnerabilità nei sistemi di un’azienda possa essere un approccio più efficace per migliorare la IT security.
Wilding concorda sull’importanza di impiegare white-hat hackers, citando la propria esperienza nell’assumere hacker per testare le misure di sicurezza nei consigli di amministrazione aziendali. Sottolinea inoltre la necessità di valutazioni regolari a causa della natura in continua evoluzione delle minacce cibernetiche. Wilding riconosce l’esistenza di software più sofisticati in grado di rilevare e allertare gli utenti su attività sospette, ma osserva che le vulnerabilità hardware, come le chiavette USB compromesse, rappresentano ancora rischi significativi.
Gli intervistati discutono dei compromessi tra comodità e sicurezza, con Wilding che sottolinea l’importanza di stabilire linee guida e firewall per limitare il potenziale di attacchi su larga scala. Condivide anche il suo ottimismo per il futuro della cybersecurity, riconoscendo che si tratta di una “battaglia in corso” con miglioramenti continui. Wilding cita la protezione antivirus integrata nei moderni laptop Windows come esempio di tali miglioramenti, ma evidenzia anche la necessità di una consapevolezza e vigilanza costanti.
Sia Vermorel che Wilding sottolineano l’importanza di un approccio multifaccettato alla cybersecurity, che includa consapevolezza, white-hat hackers e soluzioni software e hardware migliorate. Riconoscono la natura continua della battaglia contro le minacce cibernetiche e enfatizzano la necessità che individui e aziende rimangano vigili e adattabili.
Trascrizione Completa
Kieran Chandler: Oggi su LokadTV, siamo lieti di avere con noi il Professor Richard Wilding, che discuterà con noi il tema del rischio cibernetico nelle supply chains. Quindi, Richard, grazie mille per essere con noi in diretta dal Regno Unito. Forse per cominciare, potresti parlarci un po’ di te e del lavoro che svolgi a Cranfield.
Richard Wilding: Ok, il mio percorso è iniziato effettivamente nell’industria, e sono finito accidentalmente in ambito accademico diversi anni fa. Non sono mai riuscito a uscirne. Fondamentalmente, ho avuto una carriera incentrata sull’analisi delle disruptions nelle supply chains, risalendo ai primi anni ‘90. Naturalmente, le tipologie di eventi che allora abbiamo vissuto erano molto diverse. Negli anni 2000, abbiamo avuto eventi come l'11 settembre, nubi di cenere, crisi del carburante e la febbre aftosa, tutti impattanti sul rischio e sulla resilienza delle supply chains. In realtà, sono diventato probabilmente uno dei primi professori nel campo della gestione del rischio nelle supply chains al mondo, ma quel titolo si è evoluto, e attualmente sono Professor of Supply Chain Strategy a Cranfield. Il mio obiettivo è trasformare la conoscenza in azione, quindi quello che amo fare è prendere questa conoscenza e creare azione nell’industria. Sono stato immediatamente il presidente uscente del Chartered Institute of Logistics and Transport nel Regno Unito, che copre tutto, dal movimento di merci e persone a tutte le relative supply chains. Il mio focus è sfidare e ispirare i leader delle supply chains a innovare. Spero che i nostri ascoltatori di oggi possano portare con sé alcune idee e riflettere su come possano innovare per creare valore economico, sociale o ambientale. Questo è davvero l’obiettivo di Cranfield: trasmettere conoscenza ai leader delle supply chains, permettendo loro di innovare e creare valore nelle supply chains e nelle aziende in cui operano.
Kieran Chandler: È un’introduzione brillante. Penso decisamente che l’idea di innovare sia qualcosa con cui siamo d’accordo qui su LokadTV. Joannes, il nostro tema di oggi riguarda il rischio cibernetico e il suo impatto sulle nostre supply chains. Qual è la tua prima impressione?
Joannes Vermorel: Il rischio cibernetico è una di quelle cose che in pratica risulta estremamente controintuitiva. È molto difficile, per esempio, rilevare problemi di sicurezza nel software. La maggior parte delle metodologie di testing consuete non funziona, e la maggior parte delle pratiche di sviluppo tipiche non riesce a risolvere tali problematiche. È un tema elusivo. Ciò che ha suscitato sempre più il mio interesse nell’ultimo decennio è che la maggior parte della durata impiegata dal software enterprise in generale
Kieran Chandler: Negli ultimi decenni, tendiamo a vedere un aumento di quella che tecnicamente è conosciuta come l’area di attacco del software. Hai software che è più esposto agli attacchi, specialmente quando ti sposti verso un ambiente cloud. Gli ambienti cloud sono più sicuri, ma offrono molti più punti di accesso per il tuo software. Inoltre, ogni volta che hai una web app, esistono intere classi di rischi che sono molto difficili da mitigare o prevenire per progettazione in termini di potenziali problemi di sicurezza.
Joannes Vermorel: Kieran, hai menzionato metodologie di testing che non funzionano molto bene. Richard, se osserviamo le cose dal punto di vista di una supply chain, cosa c’è in una supply chain che la rende così difficile da proteggere?
Richard Wilding: Da una prospettiva di supply chain, vogliamo che le cose siano relativamente aperte. Vogliamo connetterci con i nostri fornitori e clienti, ma questo crea in realtà più punti di accesso. Spesso, gli attacchi avvengono sulla supply chain. Se volessi chiudere un’azienda, un attacco denial of service su un sito web è devastante, ma se inizi a pensare alla devastazione che potrebbe essere causata dall’interruzione di un sistema di gestione del magazzino o di veicoli autonomi, potrebbe essere molto più distruttivo per un’azienda in termini della sua capacità di proseguire e rinascere in futuro. Stiamo constatando che alcuni degli attacchi veri e propri avvengono, per esempio, tramite un portale fornitori. Le persone ottengono accesso ai dati o riescono a fornire informazioni a un grande cliente, ma questo crea un punto di accesso. Se qualcuno potesse fare qualcosa di semplice come un attacco di phishing, ciò può causare problemi.
Ci sono molteplici esposizioni, ed è qualcosa di cui parlo da probabilmente 18 mesi ormai, perché abbiamo assistito a un grande aumento degli attacchi informatici alle supply chain. Una cosa davvero interessante è di chi spetti l’incarico di impedire che ciò accada. Il problema è che se ti rivolgi al team della supply chain, diranno che è il compito del team IT. Se invece ti rivolgi ai team IT, diranno che è compito della supply chain. È il compito di tutti, quindi dobbiamo assicurarci che ci sia consapevolezza tra tutti nel fermare questo genere di situazioni. Educare l’azienda e renderla consapevole di queste sfide è fondamentale.
Kieran Chandler: Richard ha menzionato che le supply chain stanno decisamente diventando più connesse. Se osservi una multinazionale, ora stanno distribuendo i loro sistemi in tutto il mondo. Diresti che l’aumento della connettività è una vera debolezza?
Joannes Vermorel: Sì, è esattamente ciò che intendevo quando parlavo di aumento della superficie d’attacco. Più cose sono esposte a terzi, più sono vulnerabili. Su internet non ti connetti a una persona, quindi se hai un portale web, hai un pezzo di software che interagisce sulla porta 80 tramite HTTP. Potrebbe trovarsi dall’altra parte; è sempre una macchina. La macchina può essere operata da un umano, e può essere operata da un umano che per caso è il dipendente che pensi che questa persona sia.
Kieran Chandler: Quindi, in effetti, grazie, ma dove ti perdi leggermente e dove pensi che possa verificarsi un diverbio in termini di sicurezza, magari nell’interpretazione?
Joannes Vermorel: Credo che, in generale, l’educazione degli utenti non sia sufficiente a risolvere quei problemi di sicurezza. Ecco perché la sicurezza è estremamente concentrata. Deve essere una specie di trappola della sicurezza, ed è proprio qui che serve avere un approccio specifico di correctness by design. Non puoi aspettarti che le persone non clicchino sugli allegati o altro. Se ti aspetti che le persone seguano la regola per qualcosa in cui sono a un solo clic dal disastro, lo faranno. Per esempio, uno degli attacchi semplici è chiamato attacco della chiave USB nel parcheggio. Basta lasciare una chiave USB infetta da malware nel parcheggio, e ci scrivi sopra “Bitcoin stash”. Puoi essere sicuro che ci sarà qualcuno che proverà effettivamente la chiave, collegandola al computer. Se ti basi sul fatto che le persone dovrebbero essere educate, voglio dire, sono umani. Anche se sono abbastanza intelligenti, possono soffrire di mancanza di sonno e, a volte, commettere errori di giudizio. Semplicemente succede. Quindi, se conti sul fatto che le persone siano intelligenti, attente ed educate, in qualche modo non funziona. E è molto curioso perché quando vedi come viene gestita la sicurezza nelle aziende, come Google, adottano l’approccio opposto. Un approccio che è stato più applicato in altri settori, come l’industria nucleare, dove invece si presume che le persone siano stupide. Quando pensi che faranno qualcosa di estremamente sciocco, ti chiedi: possono fare qualcosa che peggiori ancora di più? Ma ci sono molte altre idee simili, che sono praticamente incorporate in fase di progettazione.
Kieran Chandler: Va bene, Joannes ha menzionato quell’idea di correctness by design, Richard. Quali sono i metodi che possiamo introdurre per garantire che i nostri sistemi siano davvero sicuri?
Richard Wilding: Penso che sia una cosa interessante, e credo che dobbiamo avere la correctness by design. Non c’è dubbio su questo. Ma se osservi la vecchia regola 80-20 delle cause di molti problemi, tristemente, si tratta delle persone. Ed è interessante notare che Google Australia è stata hackerata da alcuni hacktivist solo per dimostrare di poterlo fare. E il loro accesso è avvenuto in realtà attraverso il sistema di controllo dell’edificio per il nuovo bel palazzo di Google in Australia. È stato hackerato. Se osservi alcune delle interruzioni veramente significative per le aziende, come Target negli Stati Uniti, che è ancora in subbuglio con una miriade di azioni collettive e altro, è stato piuttosto interessante. Quarantamila credenziali di carte di pagamento e settanta milioni di record dei clienti sono stati semplicemente raccolti, e ciò è avvenuto attraverso il sistema di controllo dell’aria per il riscaldamento e la ventilazione. Un fornitore è stato preso di mira con email di phishing. Successivamente, sono riusciti a entrare in quella parte dell’azienda, e hanno semplicemente gironzolato raccogliendo dati, scoprendo la rete dei punti vendita, e poi semplicemente hanno prelevato le informazioni.
Kieran Chandler: Questo è davvero importante perché, finora, il carburante, credeteci o no, è costato loro 162 milioni. Questo è uno specifico esempio di interruzione che si è verificata. Ma penso che la chiave qui sia riuscire a far sì che le persone diventino consapevoli di queste cose, consapevoli delle loro responsabilità. Ma poi c’è anche il lato del design. Il problema è che serve un certo grado di apertura.
Richard Wilding: Giusto, quindi se penso al mio laptop, l’università può bloccarlo in modo che io non possa fare nulla con esso, e non è per niente divertente. Qualche anno fa c’era una situazione in cui si diceva: “Questo è aziendale. Nessuno può andare su LinkedIn, nessuno su YouTube, nessuno su questo o quello.” Ma il problema è che, tornando all’innovazione, l’innovazione consiste nel prendere idee che sono nuove per te e crearne valore. Se all’improvviso blocchi i tuoi sistemi perché questi potrebbero potenzialmente permettere alle persone di accedere a ciò a cui non dovrebbero, o perché indeboliscono la nostra infrastruttura e così via, ciò può avere un altro effetto. Quindi, con il grande “facciamo un blackout dei social media all’interno della nostra azienda”, quello che si ottiene in realtà è anche un blackout dell’innovazione, si potrebbe dire. Perché ora molte delle innovazioni e delle buone idee vengono condivise efficacemente attraverso questi canali. Quindi, bisogna prestare particolare attenzione a questo, e penso che sia una di quelle situazioni in cui bisogna trovare un equilibrio tra accessibilità e sicurezza, assicurandosi, per design, che se le cose vanno male, vengano rilevate rapidamente.
Kieran Chandler: Ok, volevi intervenire, Joannes?
Joannes Vermorel: Sì, intendo, solo per farti un esempio, quando dicevo che è controintuitivo, penso che l’idea di bloccare sia un perfetto esempio di ciò. Se hai una sicurezza ultra rigida per i laptop, in cui l’azienda può installare solo il software approvato e puoi visitare solo i siti web approvati, cosa succede in pratica? Le persone portano i propri dispositivi, comprano i propri laptop. Quindi, in teoria, mentre pensavi di creare sicurezza, in realtà non la crei, semplicemente perché le persone reagiranno e faranno qualcos’altro di lato. E lo stesso vale per le password, per esempio. Ci sono stati studi, persino pubblicati dalla NSA negli USA, che hanno dimostrato che la rotazione delle password è dannosa. Se cambi le password frequentemente, quello che fanno le persone è attaccare dei post-it sulla scrivania con la password della settimana. Così, finiscono per avere interi uffici in cui la password di tutti è apposta su ogni scrivania.
È per questo che dico che è molto controintuitivo, e non si tratta solo di un equilibrio. Infatti, spesso puoi spingere le persone a fare cose che sono ancora meno sicure. E, ancora, penso che l’industria nucleare offra molti esempi utili. Quando, per esempio, sovraccarichi le persone con troppa attrezzatura protettiva, a un certo punto durante l’estate fa semplicemente troppo caldo, così si sbarazzano di tutto perché non riescono nemmeno a sopportare il calore di tutto ciò che devono portare, e finiscono per non avere alcuna attrezzatura protettiva, il che è davvero stupido. Quindi è per questo che la sicurezza è così complicata. È perché devi pensare a come reagiranno gli esseri umani, ed è come un meccanismo di feedback completamente ricorsivo.
Kieran Chandler: Pensaci, ci sono alcuni dati che non dovresti raccogliere per alcun periodo di tempo, magari una settimana, e poi eliminarli.
Richard Wilding: Penso che la cosa interessante di Target, ovviamente, fosse che non conservavano i dati. Questi passavano semplicemente attraverso i loro sistemi. Se stai effettuando una transazione con carta di credito, deve transitare per internet fino alla banca. Se puoi sederti lì a intercettare quel flusso, che è effettivamente quello che stava accadendo, allora puoi fare questo genere di cose. Ma penso che sia davvero importante, se consideri il GDPR e la protezione dei dati, conservare solo ciò che è realmente necessario. Qual è il senso di avere tutta questa massa di dati? Alcune aziende ora, con artificial intelligence, credono di dover conservare tutti questi dati perché potrebbero riuscire a fare qualcosa di utile in futuro. Beh, è un po’ come se io tenessi ogni singola email che ho mai scritto nella mia vita. Farò mai qualcosa di utile con essa in futuro? Dobbiamo riflettere su questo.
Adoro questa piccola citazione quando parlo con le persone delle password: “Passwords are like underwear. You don’t want to let people see it, change it often, and you should not share it with strangers.” Ma allo stesso tempo, devi assicurarti di riuscire a ricordare queste cose, ed è per questo che sono necessari altri approcci.
Kieran Chandler: Richard, parliamo un po’ della situazione attuale con sempre più persone che lavorano da casa a causa del coronavirus. Presumibilmente, questo ha introdotto molti più rischi. Cosa può fare un’azienda, magari qualcuno che guarda questo, per proteggersi?
Richard Wilding: Beh, consiglierei che quando lavori da casa, in una certa misura, possa risultare più sicuro perché se ci fossero password sparse sulla mia scrivania – cosa che non accade – ci sarebbero meno persone che vi si aggirano intorno. Quindi, ci sono alcuni elementi che si potrebbe sostenere rendano il lavoro da remoto leggermente più sicuro. Ma allo stesso tempo, ora utilizziamo dispositivi personali di ciascuno, il che è un punto già menzionato, e dobbiamo sapere come gestirlo. È anche importante riconoscere che stiamo usando i nostri router personali, connessioni internet, reti Wi-Fi e tutto il resto. Quindi, quanto è sicuro tutto ciò? Penso che le aziende debbano iniziare a formare i propri dipendenti sul lavoro da casa e a utilizzare risorse come Cyber Essentials per guidarli su ciò che fanno.
Kieran Chandler: Joannes, quale consiglio daresti a qualcuno che guarda questo? Dalla tua esperienza, come si protegge un’azienda da situazioni in cui il personale, come me, magari prenda decisioni sbagliate?
Joannes Vermorel: Davvero non credo nel percorso educativo, o almeno non in senso stretto. Solo per darti un’idea delle minacce emergenti che vediamo oggi, ci sono tonnellate di prodotti contraffatti su Amazon, e persino per alcune altre cose…
Kieran Chandler: Quindi, Richard, cominciamo da te. Stiamo sentendo molto parlare della transizione verso il lavoro da remoto, specialmente nel contesto della pandemia. Quali sono alcune delle maggiori preoccupazioni che hai riguardo alla sicurezza IT in un ambiente di lavoro da remoto?
Richard Wilding: Beh, penso che ci siano una vasta gamma di preoccupazioni relative alla sicurezza IT quando si tratta di lavoro da remoto. Una cosa a cui le persone potrebbero non pensare è quanto basilari possano essere alcune di queste preoccupazioni. Per esempio, qualcosa di semplice come i cavi USB, che usiamo tutti i giorni, può effettivamente trasmettere malware al tuo computer. Con i progressi dell’informatica, è ormai possibile avere un microcomputer all’interno di un cavo. E questo è solo un esempio del tipo di cose che possono accadere con adattatori e dispositivi simili. Quindi, in sostanza, puoi avere qualcosa di potente come un computer di 20 anni fa all’interno di un cavo che sembra proprio un cavo normale. E può anche avere un marchio di cui ti fidi, ma quello che stai acquistando potrebbe in realtà essere un falso. E Amazon ha avuto qualche problema a riguardo.
Joannes Vermorel: Se posso aggiungere, Kieran, sono molto scettico sul fatto che la semplice formazione faccia la differenza quando si tratta di sicurezza IT. I problemi sono così diffusi e vari che non penso si possa contare sul fatto che le persone si comportino sempre in un certo modo. Ma credo che il lavoro da remoto abbia un vantaggio positivo che le persone potrebbero non considerare, ovvero rendere il lavoro da remoto più accettabile. E, secondo la mia esperienza, il modo più efficace per migliorare la sicurezza IT è in realtà utilizzare white hats – cioè, hacker che offrono i loro servizi da remoto per trovare falle nella sicurezza della tua azienda. È strano, ma la sicurezza è un ambito così bizzarro che, anche quando ti aspetti che le persone si comportino in un certo modo, è molto possibile che non lo facciano. Per esempio, qualcuno potrebbe fingersi il supporto tecnico e chiamarti per ottenere accesso al tuo computer.
Richard Wilding: Sì, Joannes, sono completamente d’accordo con te. Infatti, nel mio ruolo nei consigli di amministrazione, abbiamo impiegato tali persone – di solito ex hacker che hanno scontato la loro pena in prigione e adesso collaborano con le organizzazioni per trovare vulnerabilità nella loro sicurezza. È importante fare questo regolarmente perché i metodi d’attacco cambiano costantemente. Ed è anche importante che le persone sappiano cosa fare quando si verifica un attacco. Ora esiste un software più sofisticato che può rilevare modifiche ai file o a porzioni di codice che vengono riscritte, ma dobbiamo anche pensare all’approccio hardware. Per esempio, le chiavette USB non sono ammesse in alcuni ambienti, come il campus militare di Cranfield dove lavoro.
Kieran Chandler: È davvero interessante. Quindi, Richard, puoi parlarci un po’ di più degli approcci software che ora vengono utilizzati per rilevare gli attacchi informatici?
Richard Wilding: Sì, ora esistono approcci software più sofisticati in grado di rilevare quando i file vengono modificati o quando frammenti di codice vengono riscritti. Possono generare avvisi su queste modifiche e contribuire a prevenire attacchi prima che accadano. Ma, come ho detto in precedenza, dobbiamo anche pensare all’approccio hardware. Dobbiamo avere delle linee guida per questioni basilari come chiavette USB e cavi, e dobbiamo impiegare regolarmente white hats per individuare vulnerabilità nella nostra sicurezza.
Kieran Chandler: Quindi, Joannes, Richard, abbiamo parlato molto delle vulnerabilità e dei rischi associati alla sicurezza informatica, ma quali sono alcuni dei modi in cui possiamo proteggerci?
Joannes Vermorel: Beh, penso che la prima cosa da capire sia che la sicurezza informatica non è un assoluto. È un compromesso tra sicurezza e comodità. Ad esempio, se hai un sistema molto sicuro, potrebbe risultare molto scomodo da usare, e se è molto comodo, potrebbe non essere molto sicuro. Quindi, dobbiamo trovare un equilibrio tra queste due cose.
Richard Wilding: Sì, e penso che un altro punto importante sia che dobbiamo disporre di una sorta di firewall per limitare ciò che accade all’interno dei nostri sistemi. Non vogliamo un mega-attacco, dunque dobbiamo essere in grado di rilevare e fermare il malware prima che venga distribuito.
Kieran Chandler: È un buon punto. Quindi, concentriamoci per un attimo sugli aspetti positivi. La sicurezza informatica ha fatto molta strada negli ultimi decenni. Pensi che continuerà a migliorare e che un giorno saremo più sicuri che mai?
Richard Wilding: Penso che sia una battaglia continua, ad essere onesti. La sicurezza informatica è un gioco in costante evoluzione. Tuttavia, credo che le cose stiano migliorando. Per esempio, se oggi compri un laptop Windows, esso viene fornito con Windows 10, che offre una protezione antivirus abbastanza decente, contribuendo in parte al lavoro gratuitamente. Quindi, stiamo cominciando a vedere che la sicurezza informatica sta diventando parte integrante del pacchetto.
Joannes Vermorel: Sì, ma dobbiamo anche diffondere consapevolezza a tutti. Le persone devono sapere che anche una chiavetta USB o un cavo possono creare problemi. Questa è la natura della situazione. Però, se la gente ne è consapevole, potrebbe pensarci due volte prima di fare certe cose.
Kieran Chandler: Quindi, è una combinazione di sensibilizzazione e di sistemi in grado di rilevare e fermare il malware prima che venga distribuito. Bene, dobbiamo concludere qui, ma grazie a entrambi per il vostro tempo. Questo è tutto per questa settimana. Grazie mille per averci seguito, e ci vedremo di nuovo nel prossimo episodio. Grazie per aver guardato.
