Lino Fornaro: «Proteggervi dagli hacker si può»

di Redazione

06/10/2017 Società

Valutazione attuale:  / 6
Scarso Ottimo 

Vota

«Il nostro compito è formare il popolo dei non tecnici alle nuove tecnologie per la sicurezza informatica. Per noi si tratta d’un business, ma nello stesso tempo promuoviamo queste iniziative per formare e diffondere una cultura sociale di questa problematica». Lino Fornaro, consulente per la sicurezza informatica per Evolumia, è l’anima del ConfSec, il più importante evento sulla sicurezza delle informazioni nel Mezzogiorno che si è svolto giovedì a Bari. L’appuntamento, annuale, è giunto alla terza edizione. Ma il contrasto agli hacker di Fornaro va avanti giorno per giorno.

Qual è, attualmente, l’orizzonte di criticità?

«Il problema della cyber security è esploso nel 2016 con degli attacchi di malware di portata spaventosa. Le caratteristiche erano soprattutto d’ingegneria sociale. L’accesso fraudolento servendosi di sistemi in buona fede condizionati all’insaputa dei loro utenti è cresciuto a quattro cifre di percentuale. Il fenomeno dei virus ransomware, che bloccano l’accesso ai dati personali nel computer fino a quando non si è pagato un riscatto, ha trasformato il furto dei dati in una maniera di fare cassa immediata, anche se è meno grave del fenomeno del furto e della vendita dei dati alle aziende concorrenti. La questione centrale è che continuiamo a non avere una cultura della protezione digitale. In un’epoca in cui chi detiene l’informazione ha il potere, è una grave lacuna».

Che cos’è l’ingegneria sociale?

La social engineering, o ingegneria sociale, è il complesso delle tecniche utilizzate dagli hacker per riuscire a entrare nei sistemi informatici e negli account degli utenti. La strategia consiste nello studiare i comportamenti delle potenziali vittime in maniera da accorgersi delle possibili falle che consentono di mettere in pratica gli intenti fraudolenti. È un insieme di ingegneria elettronica e di psicologia perché richiede lo studio di tecniche personalizzate rispetto al profilo psicologico della persona da colpire. Lo scopo principale è ottenere informazioni e dati confidenziali di cui servirsi».  

Quali responsabilità ha l’utente ignaro rispetto agli eventuali danni a terzi derivanti dall’utilizzo di apparecchiature informatiche di sua proprietà?

«La mia sensazione è che finora non sia stato abbastanza capito il Regolamento europeo 679/2016, che si applica alle persone giuridiche ed è adeguato al livello di rischio attuale nella gestione dei dati. Esso impone il principio dell’accountability, cioè della rendicontazione verso chi subisce eventuali danni, a cui ci si dovrà adeguare. Significa che l’impresa deve trattare le informazioni prendendo delle precauzioni mirate alla possibilità che siano trafugate, ed effettuare delle verifiche sull’integrità dei suoi sistemi informatici se è in grado di farlo. In ogni caso, sarà chiamata a rispondere del buon funzionamento dei suoi sistemi informatici. Non basterà un semplice firewall. E se subirà un’intrusione informatica, dovrà dichiararla, in maniera che altri possano prendere delle precauzioni e un’eventuale diffusione d’un attacco informatico possa essere bloccata con maggiore facilità. Perciò, dal 25 maggio 2018, si perseguirà la cosiddetta privacy by design, cioè il principio che la protezione dei dati aziendali è incorporata a partire dalla progettazione d’un processo aziendale. Le applicazioni informatiche di protezione saranno quindi studiate su misura delle aziende e della loro attività». 

Come il problema della sicurezza può riguardare le piccole, medie e micro imprese?

«Anche le medie, le piccole e le micro imprese non hanno una sufficiente percezione che il brevetto che magari giustifica la loro ragione d’essere possa venire trafugato attraverso internet. A Martina Franca ci sono aziende che creano valore, producono ricchezza e non hanno una misura minima, neanche un firewall, per difendere i loro dati. Continuano a pensare che il problema non le riguardi. Chi subisce un ingresso informatico non lo dichiara e non ha ben chiaro che oggi, se pone altri a rischio di vedersi trafugare i loro dati, può incorrere in sanzioni fino a dieci e venti milioni di euro. Poiché sono sanzioni pensate per i big di internet come Google o Facebook affinché non trattino come merce di scambio i dati dei cittadini, se colpiscono una pmi, essa chiude». 

Cosa consigli per affrontare adeguatamente il problema?

«Affidarsi a professionisti e a tecnologie all’altezza della situazione e, soprattutto, non stancarsi di praticare la formazione e l’informazione seria. Gran parte della sicurezza passa attraverso la formazione e l’informazione».