Andrea Rigoni, esperto di Cyber defence per la Nato, qual è la differenza tra cyber security e digital security?
“Non c’è una differenza ben definita. Sono termini che in questo momento variano nell’uso a seconda delle mode. Sussiste invece una differenza tra information security e cyber security. Cyber security è un dominio più ampio che riguarda anche tutti i servizi anche in qualche modo fisici collegati ai servizi digitali. Quando si parla di protezione cyber, la si intende rispetto al dominio del cyber, quindi non solo informazione e servizi digitali, ma anche utilità non digitali erogate tramite il digitale, come l’erogazione dell’energia elettrica. Quindi sebbene sia un senso comune, nessuno ha ancora trovato una definizione di cyber security. Digital security ancora peggio. Ho l’impressione che ci siano dei cicli di moda, che si parli di economia digitale. L’economia digitale va protetta e la sua protezione si chiama digital security”.
Quest’anno ci sono stati circa 315 milioni di cyber-attacchi finanziari e anche casi di persone a cui hanno completamente svuotato il conto. Come ci si può proteggere?
“La maggior parte delle frodi finanziarie nasce dall’identificazione del soggetto. Se un conto è accessibile da remoto attraverso la password e quest’ultima cade nelle mani di un criminale, è evidente che quel conto non è più protetto. I sistemi identificano l’utente in colui che possiede la credenziale. Le banche si sono mosse in questo senso adottando sistemi sempre più sofisticati per l’identificazione all’accesso. Le famose chiavettine che danno una chiave temporanea usa e getta, ma nonostante questo sono stati sviluppati sistemi in grado di intercettare quelle password temporanee e utilizzarle in tempo reale. È una costante rincorsa tra le banche che sono sempre più interessate a rendere sofisticati i loro sistemi di protezione. Questo avviene in cyber security come in ogni altro settore della sicurezza, dove si utilizzano serrature, antifurti e sistemi di sicurezza perimetrale”.
Proprio oggi ho ricevuto una mail, tra l’altro da un gestore diverso da quello della mia mail che mi comunicava che qualcuno aveva tentato l’accesso al mio account e di fornire la mia password, pena la cancellazione dell’account.
“Questo è il più classico degli esempi. Si chiama phishing: si va a pesca cercando di portare a casa delle password. È vero che il sistema bancario è protetto da password di questo genere, ma se uno ha un conto Amazon Prime, collegato ad una carta di credito, comunque è protetto solo da una password. A volte si possono carpire i numeri di carte di credito da utilizzare altrove da siti di e-commerce e di musica on line. Il numero di carta di credito di fatto è una sorta di codice segreto, se lo si conosce si può usare su un sito on line. Spesso si mira a venire a conoscenza di quel numero”.
Secondo lei oggi l’utente è consapevole del cyber risk?
“Il timore generale c’è. La maggior parte degli utenti sa che ci sono queste truffe. Il problema è che non essendo specialisti, potrebbero cadere nelle trappole di truffe abbastanza sofisticate. Perché spesso si utilizzano molte situazioni verosimili. Per quanto si possano dare informazioni agli utenti non saranno mai abbastanza. Bisogna lavorare molto sulla prevenzione”.
Uno degli ultimi casi di cronaca: hanno hackerato il telefono di Diletta Leotta. Potrebbe capitare a chiunque, come possiamo proteggerci?
“Non si punta più alle password solo per accedere ai conti on line, ma anche per rubare delle password di i-cloud dove finiscono tutte le foto di rullini di I-phone. È accaduto ora, come è accaduto anche a tanti altri artisti. Lì ovviamente il guadagno è il ricatto”.
Come deve esser composta una password sicura?
“Ci sono delle regole di base, solo che sono quasi inapplicabili. Una password sicura dovrebbe essere lunga almeno 12 caratteri misti tra maiuscole, minuscole e segni di punteggiatura. Ogni utente dovrebbe avere password uniche per ogni sito, ma questo è quasi impossibile considerato che un utente medio accede a decine se non a centinaia di siti diversi. Così un hacker che intercetta una password, potrebbe usarla anche per altri siti. Ecco perchè in Italia come in altri paesi, sono stati promossi servizi come lo spid, il servizio pubblico di identità digitale. Lo spid mirerebbe a creare una sorta di chiave universale sicura che è utilizzabile su tutti i siti appartenenti ad una federazione. Spid lo promuove con regole pubbliche e estremamente sicure e trasparenti, sono stato l’autore della legge quando lavoravo a Palazzo Chigi con l’intento di dare un’alternativa ai siti pubblici e a quelli privati che vendono prodotti online”.
Durante l’ultimo Cyber Tech Europe, si è parlato della connessione tra la cyber e fisica, approfondendo l’aspetto del wifi a bordo degli aerei. Secondo lei è sicuro?
“I wifi a bordo degli aerei ci sono, come ci sono a bordo delle automobili. Non è uno scenario futuro ma uno scenario presente. Compagnie come Emirates, Lufhtansa, Turkish airlines oggi offrono questo servizio ai passeggeri. Sono utilità che potrebbero aprire agli scenari di vulnerabilità a seconda di come viene studiato e implementato il sistema. A conferma di questo vi è stato un caso dimostrato di una rete wifi di un aereo che non era del tutto separata dalle reti di controllo. Un esperto di sicurezza a bordo di un volo ha evidenziato che poteva interferire con il sistema di controllo e con la cabina di pilotaggio. Quindi, sebbene sia possibile disegnare sistemi totalmente sicuri, questo esempio e tanti altri ci dimostrano che va usata enorme prudenza. Progettazione e testing di questi sistemi vanno fatti con attenzione e tra l’altro con degli standard industriali, che in questo momento non esistono. Comunque gli aerei e i sistemi di controllo sono stati progettati senza questi rischi in mente. Il wifi è un aggiunta che è stata fatta agli aerei. Il rischio non è tanto nella tecnologia, ma nell’unire pezzi mai stati testati a fondo in precedenza. Questo è anche il tema dell’industria 4.0, che testa la sicurezza dei singoli elementi, ma quando poi si mettono insieme non so se offono il fianco ad eventuali accessi non autorizzato”.
