AGI – La cybersecurity non è mai stata così cruciale: tra ransomware sempre più sofisticati, cyber warfare e minacce invisibili, le aziende devono adottare strategie di difesa efficaci. In questa intervista, Marco Lucchina, Country Manager Italia di Cynet, svela come l’intelligenza artificiale e l’automazione possano rivoluzionare la sicurezza informatica, riducendo i rischi e migliorando la protezione aziendale. Per scoprire quali sono gli errori più comuni, le minacce emergenti e come affrontarle prima che sia troppo tardi.
Cynet ha rivoluzionato la cybersecurity con una piattaforma end-to-end automatizzata. Quali sono gli aspetti più innovativi che vi distinguono dai competitor?
Tutto è iniziato con l’automazione: la latenza umana ha mostrato i suoi limiti di fronte ai primi attacchi coordinati dalle Ransomware Gang, specialmente con l’ascesa delle criptovalute. Prima ancora della fase di sviluppo dell’AI, la nostra priorità è stata sviluppare tecniche di analisi comportamentale e di rilevazione precoce, come la deception. Oggi stiamo sviluppando molti componenti per ottenere il controllo della posture di sicurezza, questo dal punto di vista strategico significa anticipare la remediation: non più solo risposta alle minacce, ma mitigazione delle vulnerabilità prima che possano essere sfruttate. È fondamentale vista l’ampiezza della superficie d’attacco potenziale.
L’uso dell’intelligenza artificiale nella prevenzione dei ransomware è uno dei vostri punti di forza. Può spiegarci come funziona questa tecnologia e in che modo è più efficace rispetto ai metodi tradizionali?
Oggi siamo solo all’alba dell’evoluzione, ma l’AI ci permetterà di analizzare una quantità di informazioni inimmaginabile e fare detection con logiche dinamiche e che si adattano in tempo reale allo scenario. Per ora, e siamo molto avanti, ci accontentiamo di avere visibilità completa, di analizzare i comportamenti e di creare modelli predittivi, mettendo in correlazione queste informazioni per una detection più accurata con meno falsi positivi. Questo è un elemento cruciale per non sovraccaricare i team di sicurezza con allerte inutili.
Avete clienti in tutto il mondo: ci sono differenze tra le minacce informatiche che affrontano le aziende europee e quelle in altre regioni?
Nella nostra esperienza, ci sono molte affinità nelle minacce tra Europa e Nord America dove prevale in modo assoluto la dinamica del Cybercrime, ossia riuscire a fare soldi con un attacco informatico. Il ransomware è solo la punta dell’iceberg: esiste un’avanzata economia circolare che permette ricavi da capogiro. In Asia, invece, il fenomeno è più limitato e si bilancia con attività di spionaggio/cyber-warfare che, invece, da noi in Occidente restano numericamente marginali.
Quali sono i principali errori che le aziende commettono nella gestione della loro sicurezza informatica?
Lo sbaglio più grande che si tende a commettere è uno solo: sottovalutare il rischio. Questo ovviamente perché spesso non si ha una reale percezione delle minacce e delle loro conseguenze. Onestamente, tutti i ragionamenti che fanno i non addetti ai lavori sono proprio da non addetti ai lavori e molte delle scelte vengono fatte su convinzione errate e tanta approssimazione. Manca purtroppo una cultura della sicurezza informatica perché viene ancora percepita da molti come un problema tecnico e non come una questione strategica che impatta direttamente sulla continuità operativa e sulla reputazione aziendale.
Cyber Warfare e l’evoluzione delle minacce
Come è cambiato il panorama della Cyber Warfare negli ultimi anni, anche alla luce degli scenari geopolitici attuali?
È un concetto che negli ultimi si è evoluto molto in termini potenziali ma poco nei fatti. Finora infatti la Cyber Warfare non ha creato danni (conosciuti) alle infrastrutture occidentali. Principalmente oggi ciò che fa rumore sono i DdoS che però sono quasi innocui dal punto di vista operativo nel lungo termine perché al massimo generano disservizi temporanei senza compromettere in modo strutturale le infrastrutture critiche. L’unico esempio veramente efficace di Cyber Warfare con conseguenze concrete si può ritenere Stuxnet, il malware che qualche tempo fa ha colpito la centrale iraniana di Natanz, compromettendone il funzionamento. Questo attacco ha dimostrato la possibilità di danneggiare fisicamente infrastrutture industriali tramite il cyberspazio, inaugurando un nuovo paradigma di minaccia.
I conflitti moderni non si combattono solo sul terreno, ma anche nel cyberspazio. Quali sono i settori più vulnerabili agli attacchi informatici in questo contesto?
Potenzialmente tutti, quello ferroviario, sanitario, energetico, eccetera, ma in termini reali nessuno di questi. Si tratta di un fattore di deterrenza, non di un reale rischio. Potremmo ipotizzare che il rischio di ritorsione abbia una qualche similitudine con la situazione creatasi durante la Guerra Fredda, ma entriamo nel campo delle ipotesi. Nei fatti, infrastrutture anche deboli dal punto di vista Cyber vengono inspiegabilmente ignorate dagli attaccanti. Questo non significa che il rischio non ci sia, ma al contrario notiamo una grande attività nell’Intelligence, ossia nell’ottenimento di dati sensibili per ottenere vantaggi strategici. Il recente caso “Paragon” è solo una piccola parte di quello che realmente avviene. Se dovessi fare una sintesi del panorama attuale, posso affermare che oggi la Cyber Warfare è solo spionaggio e non (ancora) un’arma di distruzione diretta.
Qual è il ruolo degli Stati e delle organizzazioni internazionali nella protezione dalle minacce informatiche? Esistono collaborazioni tra pubblico e privato in questo senso?
Si stanno mettendo in campo collaborazioni interessanti. In tutti i Paesi europei agenzie equivalenti ad ACN stanno rilasciando linee guida per le difese e certificazione per l’adozione di tecnologie e processi. Si sta facendo spazio l’idea che la cybersecurity non può essere solo una responsabilità delle singole aziende ma deve essere affrontata come una questione su scala nazionale e internazionale. La strada è sicuramente quella giusta, l’esecuzione ancora da valutare.
Abbiamo visto un aumento degli attacchi informatici legati a operazioni di guerra ibrida. Quali sono le tecniche più utilizzate dai cybercriminali e dagli Stati ostili?
Non sono totalmente d’accordo, a meno che non si consideri il DDoS un attacco, allora sì, ne vediamo molti, ma il loro impatto è più simbolico che operativo. Come dicevo prima, oggi le vere attività ostili si concentrano sullo spionaggio e sulla manipolazione dell’informazione, sottraendo dati sensibili per influenzare il dibattito pubblico.
Come è cambiato il profilo dei cybercriminali? Oggi parliamo più di gruppi sponsorizzati dagli Stati o di singoli hacker?
Eliminerei i singoli hacker dalla lista, quantomeno per l’accezione di significato che la community dà al termine. Le ransomware gang sono la quasi totalità degli attacchi e agiscono con il modello dell’affiliazione, la cosa interessante è che gli affiliati possono essere chiunque: un collaboratore scontento, un ragazzo, crimine organizzato, qualcuno che vuole fare soldi. A questi soggetti viene messo a disposizione tutto, non serve competenza ma solo la volontà di fare.
Il ransomware è ancora la minaccia principale o ci sono nuove tecniche emergenti che stanno diventando più pericolose?
È ancora la minaccia principale, anche se si è evoluta con tecniche più sofisticate. Si tende ad associare il rischio al solo blocco dei sistemi e al relativo fermo dell’operatività aziendale, mentre la compromissione dei dati in sé viene bollata come secondaria. Uso un esempio per spiegare meglio lo scenario: chiedete a 20 persone che controlli fanno prima di mettere una webcam a casa (quelle che si trovano sul mercato a 30 euro per intenderci). Nessuna di loro vi citerà la sicurezza della videocamera stessa e una volta messi di fronte a oggettivi dati tecnici vi diranno “tanto io non ho nulla da nascondere”. Questa mentalità è il vero punto debole che i cybercriminali sfruttano.
Il futuro della cybersecurity e i trend emergenti
Quali sono i trend più importanti nella cybersecurity che le aziende devono monitorare nei prossimi anni?
Ne dico uno su tutti: identità digitale. E nulla ha a che vedere con il phishing di cui spesso si parla o con il furto di credenziali, è un argomento molto più complesso e ha a che fare con due elementi chiave: identificare la persona dietro l’identità, ad esempio per aprire un conto bancario o attivare servizi online e la crescita esponenziale verso non-human-identity, che ha aperto una nuova branchia nel campo della sicurezza: oggi l’introduzione di un bot o di un assistente vocale ha delle ripercussioni importanti sulla sicurezza delle informazioni, dato che può essere interrogato da un buon “prompter” per rilevare informazioni sensibili (la prima versione di Bard rivelava la password di root).
L’intelligenza artificiale sta cambiando il modo in cui si difendono i sistemi, ma può anche essere usata dai cybercriminali. Come possiamo proteggere le aziende da minacce sempre più sofisticate?
Oggi l’IA è molto usata dagli attaccanti, per automatizzare gli attacchi e aggirare i sistemi di sicurezza. Chi difende, invece, stenta a stare al passo perché le soluzioni basate su una AI avanzata richiedono investimenti spesso davvero significativi. È fondamentale capire che la protezione passa dall’integrazione di strumenti di sicurezza reali e da un approccio proattivo che anticipi le minacce, anziché limitarsi a mettere in campo soluzioni di reazioni postume. A questi si aggiunge anche l’importanza della formazione continua dei team di sicurezza
I piccoli team di sicurezza aziendali spesso faticano a gestire attacchi complessi. Qual è il ruolo dell’automazione nella difesa dalle minacce informatiche?
Credo che sia un processo imprescindibile sia per i piccoli che per i grandi team di sicurezza perché nessuno è in possesso di risorse sufficienti per rispondere manualmente ad attacchi complessi. In uno scenario in rapida evoluzione, l’automazione consente di rilevare, analizzare e rispondere tempestivamente alle minacce, riducendo il carico di lavoro per le risorse e riuscendo a minimizzare gli errori umani. In questo modo le aziende possono migliorare la difesa alla loro infrastruttura, garantendo una protezione maggiore .
Quali consigli darebbe alle aziende che vogliono rafforzare la propria sicurezza informatica ma non dispongono di grandi risorse?
Allora conviene tagliare il cavo del router. La sicurezza richiede investimenti. Investire poco e male equivale a non ridurre il rischio, quindi tanto varrebbe assorbirlo per intero e non buttare neanche quei soldi.
La cybersecurity viene spesso percepita come un costo e non come un investimento. Come si può cambiare questa mentalità nel mondo aziendale?
La mentalità aziendale riguardo alla cybersecurity cambierà solo se sarà imposta da una normativa. Così come è stato fatto con il codice della strada, che obbliga le case automobilistiche a installare nelle auto sistemi di sicurezza come airbag e cinture di sicurezza, allo stesso modo bisognerebbe imporre alle aziende le soluzioni di cybersecurity come obbligatorie. Dubito che esista un altro modo per far percepire in modo corretto il rischio, soprattutto in contesti dove la figura del CISO non ha un budget proprio e relativo potere decisionale.