Ivano di Santo, docente e formatore in tema di sicurezza informatica all’interno di Accademia Nautica dell’Adriatico, parla di cyber sicurezza e di come il nostro ITS sia particolarmente strategico nel contesto lavorativo futuro. Ne riproponiamo l’intervista a cura di Nicole Petrucci per la testata locale online TRIESTE.news.
17/05/2022 – 08.41 – Cyber security sempre più necessaria, e vista come lente d’ingrandimento che può essere utilizzata per cominciare a osservare le cose della tecnologia, e non solo, dall’interno. Comprenderla è una chiave per aprire il mondo dell’informatica (soprattutto di Internet) e dei dati, e per poterci guardare dentro: software, sistemi operativi, reti di comunicazione esaminati attraverso una modalità che non è più riservata solo agli addetti ai lavori ma diventa per tutti: sapere la qualità organizzativa del prodotto, avere un’armatura che riveste chi Internet la utilizza e tutta l’organizzazione all’interno della quale opera e lavora. Nel nostro percorso attraverso le molte facce della sicurezza informatica incontriamo, nella portualissima via Von Bruck e non distante dal leone della torre del Lloyd che vigila sul simbolico ingresso del porto di Trieste, Ivano Di Santo, responsabile per l’area Cyber security dell’Autorità di Sistema Portuale del Mare Adriatico Orientale, docente di lunga esperienza e formatore in tema di sicurezza informatica all’interno di Accademia Nautica dell’Adriatico, ITS (istituto tecnico superiore) d’eccellenza del cluster marittimo-portuale del Friuli Venezia Giulia.
Cosa potrebbe dirci della Cyber sicurezza che possa incuriosire e non spaventi chi di tecnologia ancora proprio non ne sa?
“Ad esempio che la Cyber security ha un approccio molto sociale: ha le capacità per aiutare gli altri a poter essere difesi, e non solo su Internet: tutela in modo molto forte la libertà. L’esperto di Cyber security più che un mago dell’informatica è una sorta di medico, un dottore dell’informazione: aiuta gli altri collaborando con tutti, e il suo obiettivo è poter creare un’armatura quasi inviolabile. La sua è la capacità di sviluppare competenze per far sì che pur non appartenendo a un’organizzazione specifica possa aiutare gli altri a proteggersi. L’hacker etico è quello che entra dentro casa o in un’azienda e non fa danni ma solo prova, sperimenta, raccoglie informazioni sui difetti che ha riscontrato e poi li comunica all’azienda o al proprietario di quei dati in modo che ne diventi consapevole, e sappia quali sono le falle e come sistemarle. La parte più bella del nostro lavoro”.
‘Quasi’ inviolabile, Di Santo, quest’armatura?
“Quasi. Sottolinearlo è importante, perché non bisogna vendere la Cyber security come elemento di protezione totale. La sicurezza assoluta non esiste; non bisogna pensarlo per nessuna ragione. Facciamo l’esempio dell’automobile: tutti noi abbiamo la macchina e conosciamo le regole del codice della strada, eppure abbiamo incidenti ogni giorno e in tutto il mondo. La Cyber security è la stessa cosa: uno strumento che si può utilizzare per attaccare e per difendere, ma non una certezza senza condizioni”.
Qual è, secondo lei, il punto che differenzia di più la Cyber security all’interno della galassia dell’informatica?
“L’elemento preponderante della Cyber security, anche se questo può interessare meno i ragazzi e più chi va già all’università o l’ha già finita da un po’, è la geopolitica. Di fatto, come abbiamo detto, è solo ed esclusivamente uno strumento: che si stia attaccando o difendendo, le dinamiche che regolano l’attacco e la difesa sono sostanzialmente le ripercussioni della geopolitica sulla vita quotidiana. A loro volta queste ripercussioni non sono solo la guerra Ucraina-Russia di questi giorni; gli attacchi informatici crescono di giorno in giorno ormai da tempo, la guerra li ha accentuati ma arrivano indistintamente dai grandi player del mondo da almeno tre anni”.
Si può immaginare una banca o un’installazione sotto attacco; come mai un porto, pur nella sua importanza logistica?
“Proprio perché è la geopolitica ad essere il punto cruciale e il porto è economia, geografia e politica. Lo strumento utilizzato da chi cerca di inserirsi nelle reti digitali marittime si chiama scansione delle porte: ‘port scanning’. Attraverso i servizi di Whois, vengo a sapere in qualche modo qual è l’indirizzo IP del bersaglio che ho scelto, perché è pubblico, e comincio a fare scansioni, cioè vado su quell’indirizzo e inizio a fare una serie di test. Ne provo uno, ne provo due, ne provo dieci, cento, cinquecento, finché non trovo effettivamente una falla in una di quelle ‘porte’ aperte verso il mondo esterno che consentono l’accesso a una serie di servizi. Siccome le modalità di attacco e difesa sono tutte certificate, quanto più è noto diciamo l’insieme delle attività che vanno fatte per difendersi, più è necessario, per chi sta all’esterno, alzare il livello dell’attacco. Questa è solo una delle tante modalità di condurre un attacco, ma è l’inizio comune di essi”.
Ci vorrebbero certamente molto più spazio e più tempo per spiegarlo, ma: come funziona un attacco informatico?
“La maggior parte degli attacchi informatici si basa su sistemi diversi. Oggi, chi cerca di entrare in una rete non attacca più il perimetro esterno, perché il perimetro è difeso in maniera sempre migliore, tranne in momenti specifici in cui si combinano una serie di condizioni particolari che potrebbero far calare le difese – momenti che sono di solito ben noti a chi la rete la deve proteggere. Ormai la componente più forte di attacco riguarda l’ingegneria sociale, cioè quella che si concentra sul processo di gestione dell’informazione e sulla conoscenza degli elementi che stanno intorno, e non più sulla sola tecnica: il punto più debole, quindi, è l’uomo”.
Che cos’è l’ingegneria sociale?
“L’ingegneria sociale è quella materia che sviluppa lo studio di modalità; la tecnica più famosa si chiama OSINT, una abbreviazione di ‘Open Source Intelligence’. Un sistema di accesso a informazioni disponibili anche pubblicamente e di manipolazione delle menti, che coniuga azioni dirette e indirette in maniera da influenzare o manipolare il pensiero umano. Sono interessato ad attaccarti: cosa posso fare? Cerco di capire qual è l’organizzazione per la quale lavori. Mi metto fuori dalla porta dell’organizzazione e cerco di entrare: posso provare a sfondare la porta, ma è faticoso, perché se è una piccola azienda è un conto, ma se fai parte di un’organizzazione complessa so già che sarà difficile. Allora ti osservo, tanto sui Social network c’è il settanta/ottanta per cento della tua vita, e mi avvicino a te. Come? Utilizzando il nome del tuo cane, o di tuo figlio, che è taggato sulle foto di Facebook, e mi spaccio per il suo amico di scuola, che è taggato assieme a lui. Creo a poco a poco quel meccanismo di fiducia in te, per la quale con una frequenza minima di interrogazioni riesco ad avere da te una serie di informazioni che altrimenti, tramite un attacco informatico in piena regola, farei troppa fatica a ottenere: forse tu sei molto vicina alla persona che vorrei colpire e che sta al vertice della piramide, e quindi ti uso per arrivare lì”.
Quindi il problema è alla base, nella cultura di fondo? Non c’è sufficiente consapevolezza di quali siano i rischi?
“Quando si parla di Cyber security bisogna abbandonare l’idea del nerd col cappuccio sulla testa che sta nascosto in una cantina al buio, circondato da computer. La Cyber security è un problema sociale e organizzativo delle aziende e delle scuole, ed è nazionale, comunitario ed internazionale. La tecnologia di Internet ha molti problemi rispetto ad altre perché è recente ed è nata già globalizzata. Abbiamo difficoltà a far capire agli altri che Internet sdogana male e bene nello stesso momento. La guerra che si scatena fra queste spinte contrapposte trova soltanto negli esperti di Cyber security quelli che possono arginarne gli effetti, e la figura di esperto di sicurezza informatica diventa un ruolo chiave per i prossimi quindici anni”.
Lavorando con i ragazzi, cosa manca? Come mai in aula a studiare informatica, e Cyber sicurezza, ce ne sono così pochi?
“La risposta è drammaticamente semplice. Un ragazzo o una ragazza, quando devono decidere dei propri studi, si guardano attorno e cercano delle risposte, dei punti di riferimento. Un genitore d’oggi, che spesso è fra i cinquanta e i sessant’anni d’età, o le stesse istituzioni, la Cyber security non sa neppure cosa sia. Nelle scuole d’Italia, troppi pochi docenti la conoscono: abbiamo iniziato con l’informatica, ma da poco e in maniera limitata. Sono famiglia e scuola le pietre miliari di un ragazzo che cresce: nessuno dei due è in grado di contaminare con elementi che parlino di Cyber security le menti che si stanno formando. Di conseguenza, è un percorso sconosciuto, del quale si è sentito forse parlare da lontano ma che non attrae”.
Chi sono, di solito, quei pochi che vediamo in classe intenti a studiarla?
“Sono quelli che acquisiscono prima degli altri in maniera autonoma una capacità di pensare in modo analitico e strutturato. Oggi la tecnologia la si dà per scontata. Non c’è l’uso consapevole. La tecnologia è diventata come il rubinetto: giri, ed esce l’acqua. C’è un errore nell’analisi che facciamo quando pensiamo alle nuove generazioni: non è che, in quanto nuove, abbiano già dalla nascita in sé la nozione di cosa siano tecnologia e informatica. Non è così. Imparano rapidamente a usare i dispositivi spesso imitando ciò che vedono e cosa fa chi gli è vicino, non perché sono stati istruiti a usarli e li hanno capiti ma proprio perché usarli è facile, è accessibile. Questo, in sé, è pericoloso”.
È possibile invertire la rotta di questa nave che si trova già in mezzo a un mare di rischi?
“Si. Vanno fatti dei cambiamenti, ma devono partire dalla fonte: bisogna far capire che la tecnologia è una materia a sé stante e specifica. Che sono conoscenze che non arrivano da sole. Poi c’è un problema ricorsivo: sono state scritte delle leggi che hanno normato la sicurezza fisica, si pensi al Dlgs 81/2008 e successive modificazioni e integrazioni, è una legge analitica che impone dispositivi di protezione individuale, alle regole da seguire sui luoghi di lavoro e via dicendo, mentre tutto il resto è ancora quasi interamente da fare. Che differenza c’è tra la difesa fisica e quella dei sistemi, dei dati e di Internet? Non c’è nessuna differenza. Motivo per il quale, nel momento in cui insegni al ragazzo che impara a lavorare che deve mettersi l’elmetto e le scarpe antinfortunistiche, gli devi insegnare a proteggere anche i suoi dati e i dispositivi che usa, altrimenti diventa lui stesso un veicolo di attacco. Deve cambiare la percezione: un braccio rotto lo si vede e fa male, ma milioni di euro trafugati e un’azienda fatta chiudere fanno male allo stesso modo. Il problema di percezione, che è tutto umano, è tra materiale e immateriale: l’immateriale sembra non aver valore, ed è falso, è una sensazione di sicurezza che ci tradisce. Il problema vero è quindi culturale, ed è uno dei motivi per cui la materia ‘cyber’, quando si sceglie quale scuola fare, non fa facilmente presa”.
Come siamo messi, in Italia, da un punto di vista di sicurezza?
“Non bene. Il problema della sicurezza informatica in Italia è importantissimo. Proviamo a pensare a cosa potrebbe succedere se ci fosse un attacco informatico su larga scala: noi non abbiamo la capacità di difenderci, perché nel nostro paese non abbiamo un esercito, mentre da altre parti sì e gli esperti ci sono. Questa è la realtà di oggi. La guerra cibernetica è iniziata molti anni fa, e non finirà con questo conflitto: il problema è che la cultura digitale non passa dai telegiornali”.
Perché?
“Non verrebbe capita facilmente, e la notizia che va comunicata è sempre quella che tu capisci. La guerra con i carri armati uccide, ed è una cosa orribile ma compresa. Esistono altre guerre che scorrono invisibili nel mondo digitale, sono quelle tecnologiche, fatte di ospedali bloccati, persone che possono morire a causa di questo, fallimenti di aziende. Nel periodo Covid, le aziende più piccole, che non avevano mai investito in sicurezza, si sono trovate di fronte a rischi grandissimi. Alcune sono state spazzate via: una piccola azienda può trovarsi a dover chiudere anche per un furto informatico di poche decine di migliaia di euro oppure a causa di richieste di riscatto troppo al di sopra delle proprie possibilità e con i sistemi informatici crittografati e quindi bloccati sono state costrette a chiudere. A volte gli attacchi anche se di piccola entità hanno permesso l’intervento degli organi di polizia di intervenire oltre le normali procedure di routine: gli strumenti che mancano, abbiamo detto, sono anche normativi e le forze dell’ordine fanno il possibile con gli strumenti a disposizione. E se parliamo della difesa dei dati personali, quelli di ciascuno di noi, da un utilizzo illecito o non etico fatto dalle ‘giant company’ – le società enormi dell’informatica mondiale – è che siamo ancora più esposti e a causa delle loro dimensioni non abbiamo modo di impattare su di loro. Ma le buone notizie ci sono, nell’agosto dello scorso anno è stata finalmente costituita l’agenzia nazionale della Cyber Security, finalmente ne abbiamo una anche noi”.
Come stimolare, con una frase, un ragazzo a studiare Cyber security?
“Dicendogli che è sicuramente uno dei migliori modi di realizzarsi come persona, perché la componente etica è una delle più importanti che c’è nel mondo della tecnologia, ed è spesso fortissima. Sono una testimonianza di questo i messaggi che gli ultimi ‘anonymous’ hanno mandato nel corso dei primi giorni della guerra russo-ucraina. Sicuramente se una persona vuole arrivare ad essere retta, un eccellente adulto, la Cyber security è uno dei miglior modi per esserlo, perché potrai aiutare gli altri a vivere meglio quella vita digitale che è ormai parte di noi e che in Italia gran parte delle persone non sa neppure di avere”.
di Nicole Petrucci