Il problema di porre un argine all’ecosistema criminale con budget inadeguati, pastoie legislative e la mancanza di personale qualificato
«Negli ultimi anni sulla rete si è compiuta una saldatura preoccupante tra stati canaglia e criminalità organizzata, originando una minaccia in continua espansione per aziende e istituzioni» – afferma Arthur Coviello, executive chairman di RSA (www.italy.emc.com) dal palcoscenico del Centro Congressi di Assago, teatro dell’RSA Day 2012. Il matrimonio d’interesse ha radici lontane e precedenti ormai illustri. Dapprima, i cattivi si sono appropriati di tecniche sofisticate di attacco, come quelle che hanno portato alla creazione di malware micidiali sulla scia di Stuxnet, Flame e Gauss. Poi il vero salto di qualità, la stipula di un patto criminale con organizzazioni riconducibili più o meno apertamente a soggetti governativi, dotati delle risorse necessarie per appaltare attività intrusive e distruttive, indicare i target, fornire supporto logistico e finanziario. L’efficacia di ogni accordo si misura sulla sua capacità di soddisfare al meglio le esigenze di entrambe le parti. In questo caso il connubio risponde da un lato all’esigenza della criminalità di piazzare quantità ingenti di dati, difficilmente gestibili senza l’intervento di entità statali sempre più avide di informazioni. A loro volta gli stati-canaglia ripagano la criminalità oltre che con denaro e influenza, con l’expertise che ormai possiedono in tema di APT attacks. «Per loro, collocare tutti questi dati stava diventando un problema» – osserva Coviello. Ebbene, oggi questo problema è in gran parte superato. Ma non c’è molto da stare allegri. «Quello che sta avvenendo mette i brividi e ogni giorno la situazione peggiora». Porre un argine a questo ecosistema delinquenziale è davvero problematico. In primo luogo per la cronica carenza di esperti di sicurezza. «Per molte realtà – spiega Coviello – reclutare persone preparate su queste tematiche è diventato quasi proibitivo. Ma saremo tutti noi a pagare le conseguenze di queste lacune e non solo chi oggi è impreparato a raccogliere la sfida». Come se ne esce allora da questa situazione? Non esistono né ricette pronte per l’uso, né scorciatoie. Serve, invece, una strategia all’altezza della complessità del compito, un nuovo modello di cybersecurity che superi il paradigma della difesa perimetrale e non penalizzi il business. «Ho trascorso l’ultimo anno a parlarne con imprenditori, responsabili IT, manager di aziende private e di stato. E oggi, sono più che mai convinto che l’adozione di un nuovo modello di sicurezza non sia più procrastinabile – afferma Coviello – rilevando come l’efficacia dei vecchi sistemi di controllo perimetrali sia seriamente messa in discussione dall’impatto sulle reti aziendali di tablet e smartphone, trainato dalla domanda crescente di connettività, dal fenomeno BYOD e dalle piattaforme cloud». Coviello è convinto che imprese e organizzazioni debbano perciò costruire un’infrastruttura di sicurezza formata da componenti integrati e sorretta da strumenti avanzati di analisi dei dati. «Un sistema con queste caratteristiche per funzionare al meglio – afferma Coviello – ha bisogno però di procedure avanzate di condivisione delle informazioni e di una legislazione sulla privacy diversa da quella attuale». Arthur Coviello auspica una riforma della legislazione del settore – che partendo da una razionalizzazione del gran numero di leggi esistenti in materia di privacy – semplifichi il lavoro delle aziende nello sforzo di proteggere i loro dati, favorendo l’adozione del nuovo paradigma. Un’ultima annotazione: se vi siete persi l’incontro, cercate almeno di recuperare il video della performance di Daniele Vergassola che ha declinato il claim dell’incontro “Parla con RSA”, con una formidabile raffica di battute.