00:00:07 Introduzione all’argomento del rischio cibernetico nelle catene di fornitura durante l’epidemia di coronavirus.
00:00:36 Il background di Richard Wilding come professore di strategia della catena di fornitura e il suo lavoro nel campo della gestione del rischio della catena di fornitura.
00:03:24 Panoramica delle sfide nel rilevare e prevenire i rischi cibernetici nello sviluppo del software.
00:06:06 La difficoltà nel determinare chi è responsabile della prevenzione degli attacchi cibernetici nelle catene di fornitura.
00:07:44 L’importanza dell’educazione degli utenti nella risoluzione dei problemi di sicurezza e la necessità di un approccio specifico alla sicurezza nel design.
00:08:00 Discussione sulla sicurezza basata sul comportamento umano.
00:09:04 Posizione controintuitiva adottata da aziende come Google sulla sicurezza.
00:09:57 Le persone sono consapevoli delle loro responsabilità in materia di sicurezza.
00:13:06 Le persone portano i propri dispositivi quando la sicurezza è troppo rigida.
00:15:04 GDPR e l’importanza di conservare solo i dati necessari.
00:16:00 Discussione sulla situazione attuale delle persone che lavorano da casa a causa del coronavirus e sui rischi che sono stati introdotti.
00:17:01 Discussione sulla sicurezza dei dispositivi personali e sulla necessità che le aziende educano i propri dipendenti a lavorare da casa in modo sicuro.
00:18:58 Consigli di Joannes per proteggere un’azienda dalle cattive decisioni dei dipendenti.
00:19:31 L’importanza di utilizzare “cappelli bianchi” (hacker legittimi) per migliorare la sicurezza informatica.
23:44 Considerazioni finali sulla battaglia in corso della sicurezza informatica e sulla necessità che i “bravi ragazzi” rimangano avanti.
Riassunto
L’intervista tra Kieran Chandler, Joannes Vermorel e Richard Wilding si concentra sull’argomento del rischio cibernetico nelle catene di fornitura. Vermorel e Wilding evidenziano la crescente vulnerabilità delle catene di fornitura a causa della loro maggiore connettività e sottolineano la necessità di un approccio più completo alla sicurezza. Discutono dei compromessi tra comodità e sicurezza, della natura controintuitiva di alcune misure di sicurezza e dell’impatto del lavoro da remoto sulla sicurezza informatica. La conversazione sottolinea l’importanza di un approccio multilaterale alla sicurezza informatica, che comprende la consapevolezza, gli hacker “cappello bianco” e soluzioni software e hardware migliorate. Sia Vermorel che Wilding sottolineano la natura continua della battaglia contro le minacce informatiche e la necessità che individui e aziende rimangano vigili e adattabili.
Riassunto Esteso
Kieran Chandler, il conduttore dell’intervista, presenta i due ospiti, Joannes Vermorel, fondatore di Lokad, un’azienda di software per l’ottimizzazione della catena di fornitura, e Richard Wilding, presidente (professore ordinario) di strategia della catena di fornitura presso il Centro per la logistica e la gestione della catena di fornitura, Cranfield School of Management UK, Supply Chain Innovator. L’argomento della discussione è il rischio cibernetico nelle catene di fornitura.
Richard Wilding fornisce una panoramica del suo background, essendo accidentalmente entrato nell’accademia dopo aver iniziato la sua carriera nell’industria. Con esperienza nel gestire le interruzioni nelle catene di fornitura fin dai primi anni ‘90, è diventato un professore di strategia della catena di fornitura. Il suo obiettivo è trasformare la conoscenza in azione, sfidando e ispirando i leader della catena di fornitura a innovare e creare valore economico, sociale o ambientale. L’obiettivo dell’Università di Cranfield è quello di consentire ai leader della catena di fornitura di innovare e creare valore nelle loro aziende.
Joannes Vermorel affronta l’argomento del rischio cibernetico e il suo impatto sulle catene di fornitura. Lo descrive come controintuitivo e sfuggente, con metodologie di test tradizionali e pratiche di sviluppo che non riescono a affrontare le preoccupazioni di sicurezza. Sottolinea inoltre che l’evoluzione del software aziendale negli ultimi decenni ha aumentato l’area di attacco, rendendo il software più esposto agli attacchi informatici. Il passaggio a ambienti cloud può aumentare la sicurezza, ma fornisce anche più punti di ingresso per potenziali attaccanti.
Richard Wilding discute della difficoltà di proteggere le catene di fornitura a causa del desiderio di apertura e connettività tra fornitori e clienti. Questa apertura crea molteplici punti di ingresso per gli attacchi informatici, che possono avere effetti devastanti sulle aziende. Esempi di possibili interruzioni includono attacchi di negazione del servizio ai siti web, interruzioni dei sistemi di gestione dei magazzini e interferenze con veicoli autonomi. Wilding sottolinea che la gravità degli attacchi informatici può aumentare quando mirano alle catene di fornitura, rispetto a singoli siti web o applicazioni.
L’intervista mette in evidenza l’importanza crescente del rischio cibernetico nelle catene di fornitura e le sfide che le aziende devono affrontare per affrontare le preoccupazioni di sicurezza. Entrambi gli ospiti sottolineano la necessità di innovazione in questo settore, così come l’importanza di ripensare i metodi tradizionali per la sicurezza delle catene di fornitura. Tuttavia, la discussione rimane incompleta e si prevede che la conversazione continuerà in futuro.
La conversazione mette in evidenza la maggiore vulnerabilità delle catene di fornitura a causa della loro crescente connettività, con un focus sugli attacchi informatici.
Richard sottolinea che gli attacchi informatici alle catene di fornitura sono diventati più diffusi negli ultimi anni ed è responsabilità di tutti garantire la sicurezza. Sostiene che educare tutte le parti coinvolte sui potenziali rischi sia essenziale. Joannes, tuttavia, ritiene che fare affidamento esclusivamente sull’educazione degli utenti sia insufficiente. Invece, sostiene il concetto di “correttezza progettuale”, in cui le misure di sicurezza sono integrate nei sistemi per ridurre la possibilità di errori umani.
Per illustrare il suo punto di vista, Joannes condivide l’esempio dell’“attacco della chiavetta USB nel parcheggio”, in cui una chiavetta USB infetta da malware viene lasciata in un luogo pubblico, sfruttando la curiosità umana per compromettere i sistemi. Confronta questo approccio alla sicurezza con le strategie di aziende come Google, che assumono che le persone commetteranno errori e progettano i loro sistemi di conseguenza.
Richard concorda sull’importanza della correttezza progettuale, ma insiste anche sul fatto che l’errore umano sia ancora un fattore significativo in molte violazioni della sicurezza informatica. Cita esempi come la violazione dei dati di Target, che è stata il risultato di un attacco a un fornitore tramite e-mail di phishing. Questa violazione ha causato all’azienda milioni di dollari e illustra l’importanza sia della consapevolezza che della progettazione del sistema per garantire la sicurezza delle catene di fornitura.
Sia Joannes che Richard concordano sul fatto che sia necessaria una combinazione di educazione degli utenti, consapevolezza e progettazione del sistema per migliorare la sicurezza delle catene di fornitura. Bilanciare l’apertura all’innovazione e il blocco del sistema è una sfida che le aziende devono affrontare per garantire la sicurezza delle loro informazioni e risorse.
La conversazione copre l’equilibrio tra accessibilità e sicurezza, la natura controintuitiva di alcune misure di sicurezza e l’impatto del lavoro remoto a causa della pandemia di coronavirus.
La discussione mette in evidenza che le misure di sicurezza possono talvolta avere effetti indesiderati. Ad esempio, quando le aziende implementano rigorose misure di sicurezza sui laptop, i dipendenti potrebbero portare i propri dispositivi, creando involontariamente rischi per la sicurezza. Allo stesso modo, le frequenti rotazioni delle password possono portare i dipendenti a scrivere le password, rendendole più vulnerabili. Vermorel sottolinea che è essenziale considerare le reazioni umane alle misure di sicurezza per evitare risultati controproducenti.
Wilding aggiunge che le aziende dovrebbero conservare solo i dati necessari e seguire regolamenti come il GDPR per evitare di esporsi a rischi inutili. Sottolinea l’importanza di educare i dipendenti sulla sicurezza delle password e suggerisce che, sebbene il lavoro remoto possa aumentare la sicurezza in alcuni aspetti, introduce anche nuovi rischi, come router e dispositivi personali.
Vermorel esprime scetticismo sull’educazione come soluzione primaria per prevenire le violazioni della sicurezza, citando minacce emergenti come cavi USB contraffatti che trasmettono malware. La conversazione sottolinea la necessità di un approccio più completo alla sicurezza della catena di approvvigionamento, considerando il comportamento umano e bilanciando l’accessibilità con la protezione.
La conversazione mette in evidenza le sfide affrontate dalle imprese e dalle persone nel gestire minacce informatiche sempre più sofisticate.
Vermorel condivide un esempio di come un cavo apparentemente innocuo possa contenere un microcomputer con il potenziale per compromettere i sistemi. Esprime scetticismo sull’efficacia di addestrare le persone a prevenire gli attacchi informatici, poiché le minacce sono diverse e in continua evoluzione. Invece, suggerisce che l’impiego di hacker etici per identificare le vulnerabilità nei sistemi di un’azienda possa essere un approccio più efficace per migliorare la sicurezza informatica.
Wilding concorda sull’importanza di impiegare hacker etici, menzionando la sua stessa esperienza nell’assumere hacker per testare le misure di sicurezza sui consigli di amministrazione delle aziende. Sottolinea anche la necessità di valutazioni regolari a causa della natura in continua evoluzione delle minacce informatiche. Wilding riconosce l’esistenza di software più sofisticati in grado di rilevare e avvisare gli utenti di attività sospette, ma sottolinea che le vulnerabilità hardware, come le chiavette USB compromesse, rappresentano ancora rischi significativi.
Gli intervistati discutono dei compromessi tra comodità e sicurezza, con Wilding che sottolinea l’importanza di stabilire linee guida e firewall per limitare il potenziale per attacchi su larga scala. Condivide anche il suo ottimismo per il futuro della sicurezza informatica, riconoscendo che è una “battaglia in corso” con miglioramenti continui. Wilding cita la protezione antivirus integrata nei laptop Windows moderni come esempio di tali miglioramenti, ma sottolinea anche la necessità di una consapevolezza e vigilanza continue.
Sia Vermorel che Wilding sottolineano l’importanza di un approccio poliedrico alla sicurezza informatica, che includa la consapevolezza, gli hacker etici e soluzioni software e hardware migliorate. Riconoscono la natura continua della battaglia contro le minacce informatiche e sottolineano la necessità che individui e aziende rimangano vigili e adattabili.
Trascrizione completa
Kieran Chandler: Oggi su LokadTV, siamo lieti di essere accompagnati dal professor Richard Wilding, che discuterà con noi del tema del rischio informatico nelle catene di approvvigionamento. Quindi, Richard, grazie mille per esserti unito a noi in diretta dal Regno Unito oggi. Forse per iniziare, potresti dirci qualcosa su di te e sul lavoro che svolgi a Cranfield.
Richard Wilding: Ok, quindi la mia formazione è in realtà iniziata nell’industria e sono finito accidentalmente nell’accademia parecchi anni fa. Non sono mai riuscito a scappare. Ma in sostanza, ho avuto una carriera che ha esaminato le interruzioni nelle catene di approvvigionamento, risalendo agli anni ‘90. Ovviamente, i tipi di cose che stavamo vivendo allora erano molto diversi. Negli anni 2000, abbiamo avuto eventi come l'11 settembre, le nuvole di cenere, le crisi del carburante e la malattia della mucca pazza, che hanno tutti influenzato il rischio e la resilienza delle catene di approvvigionamento. Sono diventato probabilmente uno dei primi professori di gestione del rischio delle catene di approvvigionamento al mondo, ma quel titolo si è evoluto e attualmente sono professore di strategia delle catene di approvvigionamento a Cranfield. Il mio obiettivo è trasformare la conoscenza in azione, quindi ciò che amo fare è prendere questa conoscenza e creare azioni nell’industria. Sono il presidente uscente del Chartered Institute of Logistics and Transport nel Regno Unito, che copre tutto, dal movimento di merci e persone a tutte le relative catene di approvvigionamento. Il mio focus è sfidare e ispirare i leader delle catene di approvvigionamento a innovare. Spero che i nostri ascoltatori oggi possano portare via alcune idee e riflettere su come possono innovare per creare valore economico, sociale o ambientale. Questo è ciò che Cranfield rappresenta, portare la conoscenza ai leader delle catene di approvvigionamento, consentendo loro di innovare e creare valore nelle catene di approvvigionamento e nelle aziende in cui lavorano.
Kieran Chandler: Questa è un’introduzione brillante. Sono sicuro che l’idea di innovare sia qualcosa con cui concordiamo qui su LokadTV. Joannes, il nostro argomento di oggi riguarda il rischio informatico e il suo impatto sulle nostre catene di approvvigionamento. Qual è la tua panoramica iniziale?
Joannes Vermorel: Il rischio informatico è una di quelle cose che è estremamente controintuitiva nella pratica. È molto difficile, ad esempio, rilevare problemi di sicurezza del software. La maggior parte delle metodologie di test usuali non funziona e la maggior parte delle pratiche di sviluppo tipiche non riesce a affrontare tali problemi. È un argomento sfuggente. Ciò che ha sempre suscitato sempre più il mio interesse negli ultimi dieci anni è che la maggior parte del tempo richiesto dal software aziendale in generale
Kieran Chandler: Negli ultimi decenni, tendiamo a vedere un aumento di ciò che è tecnicamente noto come area di attacco superficiale del software. Hai un software che è più esposto agli attacchi, soprattutto quando ti sposti verso un ambiente cloud. Gli ambienti cloud sono più sicuri, ma hai molti più punti di ingresso per il tuo software. Inoltre, ogni volta che hai un’app web, hai intere classi di rischi che sono molto difficili da mitigare o prevenire in termini di potenziali problemi di sicurezza.
Joannes Vermorel: Kieran, hai menzionato metodologie di test che non funzionano così bene. Richard, se guardiamo le cose da una prospettiva di catena di approvvigionamento, cosa rende così difficile proteggerla?
Richard Wilding: Da una prospettiva di catena di approvvigionamento, vogliamo che le cose siano relativamente aperte. Vogliamo connetterci con i nostri fornitori e clienti, ma ciò crea effettivamente molteplici punti di ingresso. Spesso gli attacchi avvengono sulla catena di approvvigionamento. Se voglio chiudere un’azienda, un attacco di negazione del servizio a un sito web è devastante, ma se inizi a pensare alla devastazione che potrebbe essere causata dalla disruzione di un sistema di gestione del magazzino o di veicoli autonomi, potrebbe essere molto più devastante per un’azienda in termini di capacità di continuare e risorgere in futuro. Stiamo scoprendo che alcuni degli attacchi effettivi avvengono, ad esempio, attraverso un portale dei fornitori. Le persone ottengono accesso ai dati o sono in grado di fornire informazioni a un grande cliente, ma ciò crea un punto di ingresso. Se qualcuno potesse fare qualcosa di semplice come un attacco di phishing, potrebbe creare problemi.
Ci sono molteplici esposizioni, ed è qualcosa di cui sto parlando da circa 18 mesi perché abbiamo visto un grande aumento degli attacchi informatici alle catene di approvvigionamento. Una cosa davvero interessante è chi ha il compito di impedire che ciò accada. Il problema è che se vai al team di catena di approvvigionamento, diranno che è compito del team IT. Se vai ai team IT, diranno che è compito della catena di approvvigionamento. È compito di tutti, quindi dobbiamo assicurarci che ci sia consapevolezza da parte di tutti per fermare questo tipo di cose. Educare l’azienda e renderla consapevole di queste sfide è fondamentale.
Kieran Chandler: Richard ha menzionato che le catene di approvvigionamento stanno diventando sempre più connesse. Se guardi qualsiasi multinazionale, stanno diffondendo i loro sistemi in tutto il mondo al giorno d’oggi. Diresti che un aumento della connettività è una vera debolezza?
Joannes Vermorel: Sì, è esattamente ciò che intendevo quando ho detto aumento dell’area di attacco superficiale. Più cose sono esposte a terze parti, più sono vulnerabili. Su Internet, non ti connetti a una persona, quindi se hai un portale web, hai un pezzo di software che interagisce sulla porta 80 tramite HTTP. Può essere dall’altra parte; è sempre una macchina. La macchina può essere gestita da un essere umano e può essere gestita da un essere umano che si rivela essere l’impiegato che credi sia.
Kieran Chandler: Quindi, grazie, ma dove diverresti leggermente e dove pensi che potrebbe verificarsi una divergenza in termini di sicurezza, magari con l’interpretazione?
Joannes Vermorel: Credo che in generale, l’educazione degli utenti in generale non sia sufficiente per risolvere questi problemi di sicurezza. Ecco perché è molto concentrata. Deve essere una sorta di trappola della sicurezza, ed è lì che hai davvero bisogno di avere un approccio specifico di correttezza progettuale. Non puoi aspettarti che le persone non clicchino su allegati o altro. Se ti aspetti che le persone si attengano alla regola per qualcosa in cui sono a un solo clic dal disastro, lo faranno. Quindi, ad esempio, uno degli attacchi semplici si chiama attacco della chiavetta USB nel parcheggio. Lasci cadere una chiavetta USB con malware nel parcheggio e scrivi “tesoro di Bitcoin” sopra. Puoi essere sicuro che ci sarà qualcuno che proverà effettivamente la chiavetta, collegandola al computer. Se ti affidi al fatto che le persone sono supposte essere educate, voglio dire, sono umane. Anche se sono abbastanza intelligenti, possono avere una mancanza di sonno e a volte hanno un lapsus di giudizio. Succede. Quindi, se ti affidi alle persone per essere intelligenti, attente ed educate, non funziona. Ed è molto divertente perché quando vedi come viene fatta la sicurezza nelle aziende, come Google, prendono una posizione opposta. Una posizione che è stata più applicata in altri settori come l’industria nucleare, dove si assume al contrario che le persone faranno cose stupide. Quando pensi che faranno qualcosa di super stupido, pensi, possono fare qualcosa di ancora peggio di quello? Ma ci sono molte altre idee simili, che sono praticamente per progettazione.
Kieran Chandler: Ok, Joannes ha menzionato quella idea di correttezza progettuale, Richard. Quali sono i metodi che possiamo introdurre per garantire che i nostri sistemi siano molto sicuri?
Richard Wilding: Penso che sia una cosa interessante, e penso che dobbiamo avere la correttezza progettuale. Non c’è dubbio su questo. Ma se guardi la vecchia regola dell'80-20 delle cause di molti problemi, purtroppo, sono le persone. Ed è interessante notare che Google Australia è stato hackerato da alcuni hacktivisti solo per dimostrare che potevano farlo. E il modo in cui hanno avuto accesso è stato attraverso il sistema di controllo degli edifici per il bel nuovo edificio di Google in Australia. È stato hackerato. Se guardi alcune delle vere grandi interruzioni alle attività aziendali, come Target negli Stati Uniti, che sta ancora continuando con tutte le azioni collettive e tutto il resto, è stato piuttosto interessante. Quaranta milioni di credenziali di carte di pagamento e settanta milioni di record dei clienti sono stati semplicemente raccolti, e il modo in cui è avvenuto è stato attraverso il sistema di controllo dell’aria di riscaldamento e ventilazione. Un fornitore è stato preso di mira con e-mail di phishing. Sono poi riusciti ad accedere a quella parte dell’azienda e hanno semplicemente iniziato a raccogliere informazioni, hanno scoperto la rete di punti vendita e si sono semplicemente seduti lì a prendere le informazioni.
Kieran Chandler: Questo è davvero importante perché finora il carburante gli è costato, credeteci o no, 162 milioni. Questa è una particolare interruzione che è avvenuta. Ma penso che la cosa chiave qui sia riuscire a far capire alle persone queste cose, far capire loro le loro responsabilità. Ma poi hai anche il lato del design delle cose. Il problema è che hai bisogno di un certo livello di apertura.
Richard Wilding: Giusto, quindi se penso al mio laptop, l’università può bloccarlo in modo che non possa fare nulla con esso, e non è molto divertente. Abbiamo avuto questo qualche anno fa, quando era come “Questo è aziendale. Nessuno può andare su LinkedIn, nessuno può andare su YouTube, nessuno può andare su questo o quello”. Ma il problema è che, tornando all’innovazione, l’innovazione consiste nel prendere idee che sono nuove per te e creare valore. Se improvvisamente blocchi i tuoi sistemi perché potrebbero potenzialmente consentire alle persone di accedere a cose che non dovrebbero o indeboliscono la nostra infrastruttura e tutto il resto, questo può avere un altro effetto. Quindi, con il grande “facciamo un blocco dei social media all’interno della nostra azienda”, quello che è effettivamente risultato è un blocco dell’innovazione, potresti dire. Perché ora molte delle innovazioni e delle buone idee vengono condivise efficacemente attraverso questi canali. Quindi, devi essere particolarmente attento a questo, e penso che sia una di queste cose che richiede un equilibrio tra accessibilità e sicurezza, ma assicurandoti, per design, che se le cose vanno storte, le rilevi rapidamente.
Kieran Chandler: Ok, volevi intervenire, Joannes?
Joannes Vermorel: Sì, voglio dire, solo per darti un esempio, quando dicevo che è controintuitivo, penso che l’intera idea di bloccare sia un esempio perfetto di questo. Se hai una sicurezza estremamente rigida per i laptop in cui l’azienda può installare solo il software approvato e puoi visitare solo i siti web approvati, cosa succede nella pratica? Le persone portano i propri dispositivi, comprano i propri laptop. Quindi, mentre in teoria pensavi di creare sicurezza, non lo stai facendo, solo perché le persone reagiranno e faranno qualcos’altro di nascosto. E lo stesso vale per le password, ad esempio. Ci sono stati studi, anche pubblicati dalla NSA negli Stati Uniti, che hanno dimostrato che le rotazioni delle password sono dannose. Se si ruotano frequentemente le password, le persone mettono dei promemoria sul loro tavolo con la password della settimana. Quindi, finisci con interi uffici in cui la password di tutti è sul tavolo di tutti su un promemoria.
Ecco perché dico che è molto controintuitivo, e non è solo un equilibrio. In effetti, spesso puoi spingere le persone a fare cose ancora meno sicure. E ancora una volta, penso che l’industria nucleare abbia molti buoni esempi di questo. Se si sovraccarica le persone con troppa attrezzatura protettiva, ad un certo punto durante l’estate, fa troppo caldo, quindi si sbarazzano di tutto solo perché non riescono nemmeno a sopportare il calore di tutte le cose che devono portare, e così finiscono per non avere alcuna attrezzatura protettiva, il che è molto stupido. Ecco perché la sicurezza è così complicata. Perché devi pensare a come reagiranno gli esseri umani, ed è come un ciclo di feedback completamente ricorsivo.
Kieran Chandler: Ci pensi, ci sono alcuni dati che non dovresti raccogliere per nessuna durata di tempo, magari una settimana e poi eliminarli.
Richard Wilding: Penso che la cosa interessante di Target, ovviamente, fosse che non stavano memorizzando i dati. Stavano solo passando attraverso i loro sistemi. Se stai effettuando una transazione con carta di credito, deve passare attraverso Internet alla banca. Se puoi stare lì a intercettare quel flusso, che è effettivamente ciò che stava succedendo, allora puoi fare queste cose. Ma penso che sia davvero importante, se pensiamo al GDPR e alla protezione dei dati, mantenere solo ciò che è davvero necessario. Qual è il punto di avere tutto questo accumulo di dati? Alcune aziende ora, con l’intelligenza artificiale, credono che dovrebbero conservare tutti questi dati perché potrebbero essere in grado di farne qualcosa di utile in futuro. Beh, è un po’ come se tenessi ogni singola email che ho mai scritto nella mia vita. Farò mai qualcosa di utile con esse in futuro? Dobbiamo pensarci attentamente.
Mi piace questa piccola citazione quando parlo alle persone delle password: “Le password sono come la biancheria intima. Non vuoi farle vedere, cambiale spesso e non dovresti condividerle con estranei.” Ma allo stesso tempo, devi assicurarti di poter ricordare queste cose anche, ecco perché hai bisogno di approcci diversi.
Kieran Chandler: Richard, parliamo un po’ della situazione attuale con sempre più persone che lavorano da casa a causa del coronavirus. Presumibilmente, questo ha introdotto molto più rischio. Cosa può fare un’azienda, magari qualcuno che sta guardando questo, per proteggersi?
Richard Wilding: Beh, consiglierei che quando lavori da casa, in un certo senso, potrebbe essere più sicuro perché se ci sono password lasciate ovunque sulla mia scrivania, che non ci sono, ci sono meno persone che si muovono. Quindi, ci sono alcuni elementi che potresti sostenere rendono il lavoro remoto leggermente più sicuro. Ma allo stesso tempo, ora stiamo usando i dispositivi personali di tutti, che è un punto che è stato fatto in precedenza, e dobbiamo essere in grado di affrontare anche questo. È anche importante riconoscere che stiamo usando i nostri router personali, connessioni internet, reti Wi-Fi e tutto il resto. Quanto è sicuro tutto ciò? Penso che le aziende debbano iniziare a educare i propri dipendenti sul lavoro da casa e utilizzare risorse come Cyber Essentials per aiutarli a guidarli in ciò che stanno facendo.
Kieran Chandler: Joannes, qual è il tuo consiglio per qualcuno che sta guardando questo? Dalla tua esperienza, come proteggi un’azienda da dipendenti, come me, che potrebbero prendere decisioni sbagliate?
Joannes Vermorel: Non credo davvero nella strada dell’educazione, o forse in un modo molto specifico. Solo per darti un’idea delle minacce emergenti che vediamo oggi, ci sono tonnellate di falsi su Amazon, e persino per cose…
Kieran Chandler: Quindi, Richard, cominciamo con te. Sentiamo molto parlare del passaggio al lavoro remoto, specialmente nel contesto della pandemia. Quali sono alcune delle maggiori preoccupazioni che hai riguardo alla sicurezza informatica nell’ambiente di lavoro remoto?
Richard Wilding: Beh, penso che ci siano una serie di preoccupazioni riguardo alla sicurezza informatica quando si tratta di lavoro remoto. Una cosa che le persone potrebbero non pensare necessariamente è quanto basilari possano essere alcune di queste preoccupazioni. Ad esempio, qualcosa di così basilare come i cavi USB, che tutti usiamo ogni giorno, può effettivamente trasmettere malware al tuo computer. Con i progressi dell’informatica, è ora possibile avere un microcomputer all’interno di un cavo. Ed è solo un esempio del tipo di cosa che può accadere con adattatori e altri dispositivi simili. Quindi, la conclusione è che puoi avere qualcosa di potente come un computer di 20 anni fa all’interno di un cavo che sembra solo un normale cavo. E può persino avere un marchio di fiducia, ma ciò che stai acquistando potrebbe essere un falso. E Amazon ha avuto alcuni problemi a riguardo.
Joannes Vermorel: Se posso aggiungere qualcosa, Kieran, sono molto scettico che la formazione da sola faccia la differenza quando si tratta di sicurezza informatica. I problemi sono così diffusi e diversi che non penso si possa fare affidamento sul fatto che le persone si comportino sempre in un certo modo. Ma penso che il lavoro remoto abbia un vantaggio positivo che le persone potrebbero non pensare, ovvero che rende il lavoro remoto più accettabile. E dalla mia esperienza, il modo più positivo per migliorare la sicurezza informatica è effettivamente utilizzare i cappelli bianchi, ovvero hacker che offrono i loro servizi a distanza per trovare falle nella sicurezza della tua azienda. È strano, ma la sicurezza è un’area così strana che anche quando ti aspetti che le persone si comportino in un certo modo, è molto possibile che non lo facciano. Ad esempio, qualcuno potrebbe fingere di essere il supporto tecnico e chiamarti per ottenere accesso al tuo computer.
Richard Wilding: Sì, Joannes, sono completamente d’accordo con te. Infatti, nel mio ruolo nei consigli di amministrazione, abbiamo assunto persone del genere, di solito ex hacker che hanno scontato una pena in prigione e ora lavorano con organizzazioni per trovare vulnerabilità nella loro sicurezza. È importante fare questo regolarmente perché i metodi di attacco cambiano costantemente. Ed è anche importante che le persone capiscano cosa fare quando avviene un attacco. Ora esistono software più sofisticati che possono rilevare i cambiamenti nei file o la riscrittura di parti di codice, ma dobbiamo anche pensare all’approccio hardware. Ad esempio, le chiavette USB non sono consentite in alcuni ambienti, come il campus militare di Cranfield dove lavoro.
Kieran Chandler: È molto interessante. Quindi, Richard, puoi dirci un po’ di più sugli approcci software che vengono utilizzati ora per rilevare gli attacchi informatici?
Richard Wilding: Sì, ora ci sono approcci software più sofisticati che possono rilevare quando i file vengono modificati o parti di codice vengono riscritte. Possono creare avvisi su questi cambiamenti e aiutare a prevenire gli attacchi prima che accadano. Ma, come ho detto prima, dobbiamo anche pensare all’approccio hardware. Abbiamo bisogno di avere linee guida in merito a cose di base come le chiavette USB e i cavi, e dobbiamo impiegare regolarmente white hat per trovare vulnerabilità nella nostra sicurezza.
Kieran Chandler: Quindi, Joannes, Richard, abbiamo parlato molto delle vulnerabilità e dei rischi legati alla sicurezza informatica, ma quali sono alcuni dei modi in cui possiamo proteggerci?
Joannes Vermorel: Beh, penso che la prima cosa da capire è che la sicurezza informatica non è assoluta. È un compromesso tra sicurezza e comodità. Ad esempio, se hai un sistema molto sicuro, potrebbe essere molto scomodo da usare, e se è molto comodo, potrebbe non essere molto sicuro. Quindi, dobbiamo trovare un equilibrio tra queste due cose.
Richard Wilding: Sì, e penso che un altro punto importante sia che abbiamo bisogno di avere una sorta di firewall per limitare ciò che succede all’interno dei nostri sistemi. Non vogliamo un mega-attacco, quindi dobbiamo essere in grado di rilevare e fermare l’installazione di malware.
Kieran Chandler: È un buon punto. Quindi, concentriamoci sugli aspetti positivi per un momento. La sicurezza informatica ha fatto molti progressi negli ultimi decenni. Pensate che continuerà a migliorare e che saremo più sicuri che mai un giorno?
Richard Wilding: Penso che sia una battaglia continua, ad essere onesti. La sicurezza informatica è un gioco in continua evoluzione. Tuttavia, penso che le cose stiano migliorando. Ad esempio, se acquisti un laptop Windows oggi, viene fornito con Windows 10, che ha una protezione antivirus discreta che fa un po’ del lavoro gratuitamente. Quindi, stiamo iniziando a vedere che la sicurezza informatica sta diventando parte del pacchetto.
Joannes Vermorel: Sì, ma abbiamo anche bisogno di creare consapevolezza in tutti. Le persone devono sapere che anche una chiavetta USB o un cavo possono creare caos. Questa è la natura di ciò che sta accadendo. Ma, se le persone ne sono consapevoli, potrebbero pensarci due volte prima di fare alcune di queste cose.
Kieran Chandler: Quindi, è una combinazione di creare consapevolezza e avere sistemi in atto che possono rilevare e fermare l’installazione di malware. Beh, dobbiamo concludere qui, ma grazie a entrambi per il vostro tempo. Questo è tutto per questa settimana. Grazie mille per averci seguito e ci vediamo nella prossima puntata. Grazie per la visione.
