LA FORMAZIONE
La carenza di personale qualificato è una costante in tutti i settori dell’economia, ma in quello della cybersecurity è particolarmente sentita ed è diventata un problema serio. Oggi il numero di persone necessarie è molto più alto rispetto alle attuali disponibilità: servono una specializzazione mirata e conoscenze ampie e specifiche. L’esperienza di Sorint.Lab che ha lanciato la campagna Hackers Gen tra le scuole superiori italiane per far crescere la sensibilità sulle potenzialità e i rischi del settore informatico
Un po’ in tutti i settori si parla di carenza di personale qualificato. Tuttavia, nell’ambito della sicurezza informatica delle aziende questa carenza sembra essere diventata un problema. Gli esperti nel contrasto agli attacchi hacker sono pochi rispetto alle richieste delle aziende mondiali e italiane, soprattutto di fronte all’incremento significativo di queste aggressioni tanto virtuali quanto con effetti reali sull’economia e sull’immagine delle imprese colpite. «Nella nostra azienda abbiamo attivato una serie di misure interne, senza seguire protocolli particolari, inserendo un responsabile della sicurezza in ogni gruppo di lavoro e tenendo numerosi corsi, con pillole formative e passaggi obbligatori, organizzando anche in ciascun gruppo di lavoro dei finti attacchi hacker per capire se le persone fossero o meno preparate»: a spiegarlo è Chiara Marilli, Responsabile People Development di Sorint.Lab, realtà che si occupa di guidare le aziende in percorsi di innovazione digitale scegliendo la migliore tecnologia anche per far fronte agli attacchi informatici.
La prova interna con finti attacchi
E proprio la “prova” dei finti attacchi informatici, per capire quanto l’azienda sia o meno pronta a reali intrusioni di hacker, è una delle tecniche più usate in diverse imprese italiane: «Un nostro cliente, una banca – prosegue Marilli –, dopo aver istruito i dipendenti, ha provato a testarli tramite attacchi mirati e contemporanei interni, sia via e-mail, sia via telefono, sia via chat.
Ciò per capire se i dipendenti avevano assimilato le misure di protezione che la banca aveva fornito loro». Più attacchi (finti) in contemporanea, dunque, a tutti i dipendenti. «Ogni azienda si deve di fatto ‘inventare’ le misure di protezione e i protocolli», evidenzia Marilli.
Pochi tecnici, aziende più vulnerabili
Anche perché la carenza di personale specializzato nel contrastare gli attacchi è davvero un problema: «Il numero di persone necessarie è molto più alto rispetto alle attuali disponibilità – conferma Cesare Pizzi, Security Analist di Sorint.Lab: del resto, servono nel contempo una specializzazione mirata e conoscenze ampie e specifiche.
Oggi è difficile trovare chi abbia queste competenze. È vero che le Università stanno formando sempre più persone in questo settore attraverso corsi specifici: è dunque un gap che andrà a colmarsi, ma che per ora è presente e crea difficoltà, che si ripercuote in una maggiore vulnerabilità per le aziende di fronte agli attacchi”.
I principali attacchi che colpiscono l’Italia arrivano da USA, Russia e Cina
Attività di protezione diverse
«Esistono diverse modalità, più o meno riconosciute e utilizzate dalle aziende, per contrastare gli attacchi – prosegue Pizzi. È poi vero che alcune attività di difesa possono avere un senso in un tale azienda e meno in un’altra: dipende dalla tipologia di attività svolta. Nelle aziende più grandi ci sono persone incaricate di organizzare attacchi interni simulati per comprendere il livello di sicurezza dell’impresa stessa. Si chiama ‘red timing’ e si tratta di test che dipendenti interni effettuano per cercare di forzare le misure difensive informatiche interne e capire dove si potrebbero insidiare vulnerabilità e debolezze del sistema.
Test che hanno un senso quando l’azienda ha alle spalle una struttura informatica minimamente complessa, che non dipende tanto dal numero di dispositivi informatici ma dalla loro complessità di configurazione: se, per esempio, l’azienda ha solo ‘client’ e pochi servizi esposti di rete e, dunque, poca superficie di attacco, quest’azienda può essere meno esposta».
I “ponti informatici” che nascondono i criminali
Quali sono le aziende potenzialmente più esposte all’agire dei cybercriminali? «Le imprese più golose da questo punto di vista sono quelle finanziarie, che sono infatti anche quelle più attente alla sicurezza e che hanno le difese più alte – aggiunge il Security Analist. Di solito, per capire quanto un’impresa possa essere “interessante” per gli attacchi criminali, si vanno a vedere quali prodotti di interesse possono avere: progetti, informazioni o brevetti sono gli obiettivi dei criminali informatici. Che solitamente agiscono dall’estero: i principali attacchi
che colpiscono l’Italia arrivano da USA, Russia e Cina, ma ciò non significa assolutamente che gli attaccanti si trovino fisicamente in quei Paesi». Esistono infatti i “ponti informatici” che fanno rimbalzare da un capo all’altro del mondo l’origine del collegamento: «Per questo, attribuire la responsabilità degli attacchi è davvero complesso – continua Pizzi. Anche perché c’è chi agisce su commissione, chi si appoggia su strutture statali o servizi segreti internazionali, chi si rivela una ‘false flag’, ovvero sembra abbia agito per conto di qualcuno ma in realtà lo ha fatto solo per coprire qualcun altro. Di certezze ce ne sono poche e per questo è difficile giungere alla precisa attribuzione di un attacco hacker. Hacker che a volte sono loro stessi strutturati come delle aziende vere e proprie».
Le nostre aziende, per tutelarsi e difendersi, devono necessariamente investire: «Siamo un po’ in ritardo anche su questo fronte – rileva l’esperto –, anche perché iniziare a investire oggi è solo l’inizio di un lungo percorso di messa in sicurezza della propria azienda. Che, se piccola, può provare a fare rete con altre analoghe realtà per non farsi trovare impreparata su questo importante fronte di difesa».
Il coinvolgimento delle nuove generazioni
L’informazione e la formazione devono necessariamente partire prima e coinvolgere le nuove generazioni in percorsi di approfondimento sulla cybersicurezza che partano dalle scuole. Per esempio, da alcuni anni è attivo il progetto Hackers Gen, un network di comunità tra scuole e insegnanti che ha già coinvolto 4.000 studenti, 300 professori e oltre 40 scuole superiori da tutta Italia – quasi tutti istituti per periti informatici – con almeno una classe e un docente coinvolti. Referente del progetto è Michele Finazzi: «L’idea è arrivata durante la pandemia, quando i ragazzi che partecipavano alla nostra ‘Accademia’ di persona sono stati costretti a stare a casa – spiega: abbiamo così attivato la piattaforma online con corsi live e on-demand. Gli argomenti sono tra i più disparati sul fronte dell’informatica, a 360 gradi, e la sicurezza gioca un ruolo fondamentale. I primi contatti sono stati con le scuole di Bergamo, poi il progetto è stato esteso ». Per gli istituti e i privati che partecipano a Hackers Gen non ci sono costi: «È tutto gratuito: un servizio che vogliamo dare alle nuove generazioni e a chiunque sia interessato a un tema così di attualità. Anche perché i materiali e i contenuti proposti non sono presentati come per professionisti ma appunto per studenti e persone non necessariamente esperte».
Hacker è anche una persona altamente competente
Ma perché il termine ‘Hackers’ nel nome? «Perché, se da un lato è nota esclusivamente la sua accezione negativa – rileva il referente –, in realtà hacker indica una persona altamente competente che, come tale, può decidere di mettere a frutto le proprie competenze per progetti positivi o progetti negativi». I corsi sono ora tutti online sul portale di Hackers Gen e sono tornati anche dal vivo: «La possibilità di tenerli online ci ha permesso di raggiungere anche 1.200 studenti in un’unica volta – aggiunge Finazzi: con la chat, poi, tutti potevano interagire in diretta. Tra l’altro i percorsi sono riconosciuti come ‘alternanza scuola-lavoro’ e i professori e le scuole sono i nostri primi interlocutori. È infatti fondamentale in questo periodo storico fornire una maggiore consapevolezza ai ragazzi sulle potenzialità informatiche, ma anche sui rischi e le problematiche che questo settore può presentare. A volte anticipiamo loro strumenti e competenze che vengono solitamente illustrate quando entrano nel mondo del lavoro: così sono preparati e hanno già gli strumenti per comprendere quando si trovano di fronte a un rischio reale».
