Microsoft e sicurezza informatica: in Italia è un disastro

La sicurezza informatica è un settore ormai cruciale nello sviluppo delle aziende e della Pubblica Amministrazione, ma ancora manca la giusta sensibilità per comprendere i rischi enormi di una arretratezza senza confini. Ne abbiamo parlato con Carlo Mauceli, CTO di Microsoft, per capire di cosa ha bisogno il nostro Paese per uscire da questa situazione.

L'informatica è ormai entrata prepotentemente nei processi produttivi di qualsiasi azienda: tantissimo dipende ormai dai computer sia nel settore privato sia in quello pubblico.

Dati sensibili, documenti, atti, pagamenti transitano ogni giorno sulla rete aziendale, come fosse la linfa vitale che fa funzionare processi e produzione.

Ma cosa accade se il fluire di questa linfa fosse interrotto? Tutti sono concordi: sarebbe un disastro. Cosa si fa, quindi, per proteggerlo? Quasi niente nella maggior parte dei casi e non abbastanza nel resto, con pochissime eccezioni.Availability on Demand thumb

Siamo andati a trovare Carlo Mauceli, CTO di Microsoft Italia, nel suo ufficio proprio per fare due chiacchiere con chi è a contatto ogni giorno con aziende ed enti che devono proteggersi contro le minacce informatiche e la sensazione è che la maggior parte di loro sembra non aver idea di come fare.

"In Italia" – ci dice Mauceli – "il panorama della sicurezza delle informazioni è davvero grigio, tanto nella Pubblica Amministrazione quanto nel settore privato."

Il problema principale è che non si è sviluppata quella sensibilità necessaria a vedere la sicurezza come uno degli aspetti principali da tener presente quando si prepara un business. Oggi, la sicurezza è ancora vista come un costo che nessuno vuole sobbarcarsi.

"Il problema" – ci spiega – "è che poi i costi arrivano davvero quando si verifica una intrusione. La spesa tipica per il recovery da un attacco in una media azienda è di circa 3 milioni di dollari".

Al fermo dell'attività, infatti, vanno poi a sommarsi i costi dell'intervento di recupero e pulizia veri e propri, oltre alla necessità di ricostruire spesso completamente l'infrastruttura per eliminare le falle che hanno portato al disastro.

RiformaPA imgnews 04082015

"Troppe reti" – continua Mauceli – "non sono progettate partendo dal concetto di sicurezza: non sono Secure by Design, come si dice in gergo . Le aziende e gli enti si limitano ad applicare qualcosa che dia una impressione di protezione a quello che è un colabrodo."

"Otto aziende attaccate su 10 non vengono colpite perché espressamente prese di mira da attacchi super sofisticati, ma perché non applicano le patch di sicurezza. Quando entriamo in un'azienda o un ente, ci capita di trovare server con un arretrato di 100/150 patch da applicare. Quale può essere la sicurezza in questi casi? E pensare che applicarle non costa niente o quasi…"

Probabilmente questi casi sono il retaggio dell'antico adagio "se funziona, non aggiustarlo", una filosofia di vita che non può più essere applicata al giorno d'oggi perché se il malfunzionamento di una macchina può causare dei danni, una intrusione informatica (che avverrà se non c'è un'attenta manutenzione) comporta problemi molto più seri.

"Eppure, sono pochissimi quelli che fanno del risk management sensato. Ci si limita quasi esclusivamente a un discorso di difesa perimetrale, tralasciando tutto quello che va oltre ed è più importante al giorno d'oggi." – osserva Mauceli.

"Le soluzioni in cloud" – continua il CTO – "sono ingiustamente sottovalutate, le si guarda con sospetto quando in realtà sono gli strumenti più avanzati che un responsabile IT possa sfruttare. Senza scendere in soluzioni particolarmente complesse, basti pensare al sistema di controllo della posta."

Per esempio, proprio Microsoft propone un sistema chiamato Advanced Threat Protection che prevede una "detonation chamber": quando un allegato a un messaggio non viene riconosciuto, il sistema in cloud lo sposta in un'area protetta e lo apre, analizzandone il comportamento e bloccandolo se compie azioni illecite.

Una applicazione emblematica che già ci fa pensare al fatto che fare sicurezza "fuori" dall'azienda è intrinsecamente più sicuro che farla "dentro".

"Quanta infrastruttura di sicurezza può mettere in piedi un'azienda al suo interno? Per quanti soldi possa spendere, sarà sempre una versione minima di quello che può esser offerta da una struttura in cloud che gira in un datacenter dedicato e può contare sui dati che arrivano dall'analisi di milioni di casi".

Ma vediamo nella prossima pagina come i problemi partano da ancora più indietro...