A colloquio con Stefano Chiccarelli, di Fortinet, sul tema del prelevamento capzioso di dati.
Spieghiamo, con parole semplici, perché il phishing è rischioso per un’utenza aziendale?
Il phishing è rischioso perché, con le stesse tecniche “di moda” oggi per venire in possesso di account per l’home banking, gli attacker possono venire in possesso di credenziali aziendali. Questo diventa presto il primo passo per la compromissione della sicurezza aziendale. In poche parole: se qualcuno abbocca alla mail del phisher e consegna la sua username e password aziendale l’attacker ha già un primo punto di accesso alle risorse aziendali.
Che formula possiamo utilizzare per dare un senso olistico alla protezione dell’infrastruttura di rete? Ovvero, se per la comunità tecnologica è
scontato che la sicurezza sia diventata una pratica end-to-end, per il mondo dell’utenza è lo stesso?
La formula da utilizzare è quella proposta spesso da Fortinet, utilizzare apparati o software che coprano più di una problematica di sicurezza (per esempio firewall, antivirus, antigrayware, intrusion prevention, Url filtering). Un approccio unificato alla sicurezza (Idc ha coniato il termine Unified Threat Management) aiuta a evitare che la complessità degli strumenti scoraggi l’implementazione di alcune protezioni che, di conseguenza, diventano l’anello debole della catena. Gli utenti iniziano ad avere consapevolezza di questo e tendono a semplificare e ad unificare la gestione delle minacce sul perimetro.
Quantificando, cioè fatto 100 il budget It, che percentuale si può individuare come parte destinata alla sicurezza per un responsabile It?
Questo è molto difficile da quantificare, è una percentuale che varia a seconda delle diverse realtà. Spesso dipende dalla sensibilità del responsabile It, spesso oggi troviamo responsabili It che non hanno giurisdizione sul budget sicurezza in quanto esistono le figure del security manager e del security team che decidono le politiche e gli investimenti sulla sicurezza. Possiamo dire però che mentre il mercato It è cresciuto molto poco in Italia negli ultimi anni, quello della sicurezza cresce con percentuale a due cifre e il trend sembra essere confermato per i prossimi anni.
Altro tema collegato: la soluzione di continuità nelle attività di protezione (e negli investimenti correlati) non dovrebbe esistere. È realmente così? Quali segnali arrivano a Fortinet dal mercato?
Oggi è un patrimonio abbastanza condiviso l’idea che gli apparati di sicurezza debbano essere aggiornati in maniera costante affinché risultino efficaci. La maggior parte delle aziende è consapevole di questo. Del resto, le minacce informatiche si evolvono costamente e in maniera molto veloce, è essenziale quindi che le risposte siano adeguate.
Ce la sentiamo di snocciolare un decalogo, eminentemente pratico e a beneficio di qualsiasi It manager, dei passi da seguire per proteggersi dal furto di dati e identità?
Diciamo, protezione totale sul perimetro costantemente aggiornata; analisi delle problematiche di sicurezza sulla Lan interna troppo spesso trascurata; vulnerability assessment periodico, trimestrale fatto da una terza parte, utilizzo del report per applicare le patch consigliate e non solo da tenere nel cassetto in caso di problemi; competenza del personale addetto alla sicurezza e formazione costante (investire sulle persone); considerazione del fattore umano nella gestione della sicurezza e non soltanto di quello tecnologico; i corsi per prevenire attacchi di social engineering dovrebbero essere tenuti a tutto il personale aziendale.
Dove finisce l’anti-phishing e dove inizia l’identity management?
Il phishing è soltanto una delle tecniche di attacco per il furto di credenziali e di identità ma, in realtà, gli attacchi possono essere tanti altri. Spesso gli attacchi prendono di mira le debolezze umane della catena di protezione: per gestire bene la sicurezza dell’identità in una azienda, occorre predisporre di un piano che vada oltre all’implementazione di soluzioni tecnologiche comprenda anche la formazione del personale e l’audit interno costante di persone e tecnologie. La materia è complessa, costosa e prevede la revisione dell’organizzazione aziendale, per questo abbiamo ancora tantissime lacune.
Veniamo al tema della conformità alle normative (sulla protezione dei dati, della privacy e dei requisiti legali per la corretta amministrazione). Non è giunto il momento che l’industria formuli un’offerta integrata? Potrebbe essere il caso di una suite di strumenti hardware e software, ma da acquistare in soluzione unica e da integrare velocemente nell’infrastruttura?
Il problema è che spesso i vendor di sicurezza si trovano ad affrontare il mercato Mondiale e devono quindi a misurarsi con legislazioni di troppi paesi, per poter scendere nel dettagli di uno solo (ad esempio l’Italia) e fornire una suite chiavi in mano. Questo lavoro spetterebbe ai system Integrator nazionali che, conoscendo a fondo la legislazione del proprio paese e l’offerta di sicurezza sul mercato potrebbero creare questa soluzione integrata. È giunto comunque il tempo che il mercato inizi a muoversi in questo senso, e gli strumenti Utm possono esere la soluzione giusta per la sicurezza a livello del perimetro.
Che peso hanno le attività di lobby (in senso buono) che la comunità tecnologica fa su chi deve legiferare sui temi della sicurezza informativa? C’è spazio, cioè, che l’industria metta la propria esperienza a favore di una normativa di garanzia? Anche in Italia?
Negli ultimi anni non mi è sembrato che ci fosse un rapporto di seria reciprocità tra classe politica e industria. Le leggi sono state fatte sull’onda della notizia del momento, sono stati interpellati esperti vicini alla fazione politica che in quel momento era a legiferare, ma non c’e’ stata una seria analisi delle problematiche effettuata coinvolgendo anche le aziende che producono le tecnologie. Ci ritroviamo quindi ad avere leggi fatte male, che complicano la vita agli It manager ma che non risolvono i loro problemi di sicurezza reale.
La convergenza delle reti crea più opportunità o più rischi?
Come tutte le novità siamo al 50%. È di un paio di mesi fa la notizia americana di frodi telefoniche in grande scala su provider VoIp a Miami (circa 10 milioni di minuti in 1 anno e mezzo frodate). Nulla di nuovo sotto il sole, le nuove tecnologie o le nuove applicazioni delle vecchie portano sempre con sé i due aspetti, da un lato opportunità di business, nuovi servizi, migliore qualità della vita, dall’altra nuovi bachi di sicurezza. Il problema sicurezza però non deve essere un freno all’innovazione: esistono già da oggi i rimedi, Fortinet ad esempio ha già in produzione moltissime soluzione per il VoIp la mobilità e la convergenza in generale. Basta che chi si prefigge di fare questo passo tenga a mente che mentre progetta la nuova rete convergente per la sua azienda deve anche progettare la sicurezza di quest’ultima.
