Cesare D’Angelo, Ceo di Kaspersky Italia

«Abbiamo fondato la nostra società e le nostre soluzioni sulla trasparenza. E non lo diciamo solo noi, è stato confermato più volte da terze parti indipendenti». Cesare D’Angelo ha il volto sereno e il sorriso lieve di chi sa di affermare verità documentate in maniera inoppugnabile. La tempesta perfetta che, pochi giorni dopo l’invasione russa in Ucraina, s’era scatenata contro Kaspersky, l’azienda di nazionalità russa di cui lui guida la branch italiana, è stata una prova difficile che oggi può dirsi superata. «Grazie al nostro impegno a rispettare i più alti principi di sicurezza, Kaspersky ha superato ancora una volta l’audit Soc 2, la Service Organization Control for Service Organizations Type 1, condotto da una delle società di revisione internazionale Big Four – spiega con dovizia di particolari – la valutazione indipendente ha riconfermato che il processo di sviluppo e rilascio degli AV database di Kaspersky è protetto da modifiche non autorizzate grazie a rigidi controlli di sicurezza». La certificazione ha confermato dunque che i sistemi di sicurezza dei dati di Kaspersky soddisfano le best practice del settore. Con buona pace dei detrattori che, all’indomani dello scoppio del conflitto voluto da Putin, insinuavano che i suoi popolarissimi antivirus non fossero “sicuri” solo perché provenienti da una casa madre russa. Grazie alla Global Transparency Initiative lanciata fin dal 2017, gli stakeholder possono esaminare in qualunque momento, nei Transparency Center dedicati, il codice sorgente di Kaspersky, gli aggiornamenti, le regole di rilevamento delle minacce e gli audit dei processi interni. «Vogliamo dimostrare così il continuo impegno dell’azienda alla responsabilità e trasparenza, riconoscendo che la fiducia non è scontata e deve essere guadagnata ogni giorno» chiosa il manager.

Kaspersky, dalla sua nascita, vanta oltre un miliardo di cyber-minacce rilevate, ma oggi lo scenario si fa sempre più drammatico.
«È vero, il numero di attacchi informatici sta salendo esponenzialmente. Nel 2021, i nostri sistemi di rilevamento hanno registrato una media di 380 mila nuovi file dannosi al giorno, ovvero 20 mila in più rispetto all’anno precedente. Ma era uno scenario piuttosto prevedibile, poiché con l’adozione del lavoro da remoto in tutto il mondo, le attività svolte online si sono moltiplicate. E anche il numero di dispositivi utilizzati è aumentato, comportando a livello mondiale un ampliamento della superficie di attacco esposta alle minacce».

Ma è solo una questione di numeri?
No, il problema è anche nella tipologia degli attacchi, che diventano sempre più sofisticati ed efficaci, rendendo i dati aziendali esposti a minacce di ogni tipo. Nel 2021 in Italia i ransomware sono raddoppiati rispetto all’anno precedente, aumentando dell’81%. Il cryptomining, cioè l’utilizzo di software per la creazione di cryptovalute installati all’insaputa delle vittime con lo scopo di sfruttare la potenza di calcolo del loro computer, o il più tradizionale phishing sono solo alcuni degli attacchi informatici più in voga negli ultimi tempi. Attacchi che stanno diventando sempre più sofisticati e silenziosi, cioè difficili da intercettare e bloccare a causa di tecniche di offuscamento e persistenza sempre più evolute.

E le imprese come possono difendersi?
È sempre più importante che la difesa passi da uno studio non solo delle proprie vulnerabilità, ma anche e soprattutto delle nuove armi di cui dispone il cyber-crimine. Le imprese non possono più rimandare l’implementazione di prassi di sicurezza informatica. Il vantaggio non riguarda solo la protezione della propria continuità operativa, ma anche la capacità di poter continuare a competere nei mercati nazionali e internazionali. Raggiungere la cyber-resilienza significa identificare le attività critiche, gli scenari dei rischi più probabili e implementare appropriate capacità di rilevare eventi di sicurezza sospetti o anomali in tutti gli ambienti IT, prevedendo anche piani di contingency in emergenza.

Ma i software di protezione bastano? I vostri stessi studi dicono che l’80% degli incidenti informatici è riconducibile a errori umani…
È un dato corretto. Sfruttare le debolezze umane come ignoranza o negligenza, del resto, è molto più facile ed economico che provare ad aggirare software sofisticati. E gli incidenti informatici causati da errori umani si traducono, a livello aziendale, in investimenti economici ingenti per ripristinare i sistemi interessati. Lo smart working che negli ultimi 2 anni è stato implementato, per ovvi motivi in modo non programmatico, ha evidenziato ancora di più quanto l’elemento umano possa essere un importante vulnerabilità aziendale. Una ricerca condotta da Kaspersky ITSRS ha rilevato l’aumento dell’uso di device e servizi non corporate a fini professionali. La sfida principale per le aziende consiste dunque nel cercare l’equilibrio tra compliance ed ignoranza in cybersecurity dei dipendenti. Non basta aggiornare le policies di sicurezza, occorre anche impostare training e relativi aggiornamenti al personale.

Cioè bisogna investire di più in formazione?
Diciamo che bisogna migliorare l’alfabetizzazione digitale e soprattutto aumentare la consapevolezza in materia di sicurezza informatica che è stata sempre vista come una questione legata esclusivamente alla tecnologia, un insieme di strumenti utili per proteggere utenti, aziende e dipendenti. Ma con l’avvento del mondo digitale non può più essere pensata come un semplice strumento, bisogna tener conto della sua dimensione sociale, culturale e soprattutto umana. Sì, credo che la parola chiave per abitare in maniera corretta l’ambiente digitale sia “consapevolezza”.

Facciamo un esempio del perché oggi la consapevolezza conti più della tecnologia.
La vulnerabilità umana è il principale target dei cybercriminali. Nelle aziende gran parte degli attacchi inizia con una mail e molti sono causati da errori dei dipendenti. Le tecniche di “Social Engineering”, che sfruttano lo studio del comportamento delle persone al fine di manipolarle e carpire informazioni sono in crescita e vengono utilizzate in diversi attacchi. Ecco perché, prima ancora delle tecnologie, sono le persone a fare la differenza quando si tratta di sicurezza informatica e la prevenzione è necessaria per difendersi. Per ovviare al pericolo legato al fattore umano è improrogabile creare una “cultura di cybersecurity” non solo nelle aziende, dove sono necessari percorsi di formazione continua che coinvolgano tutti, ma anche nelle scuole, per offrire ai più giovani, sin da piccoli, gli strumenti per navigare in rete nel modo più sicuro possibile.

Kaspersky cosa propone alle aziende?
Quelle più piccole si sentono più esposte rispetto al possibile uso improprio delle risorse It da parte dei propri dipendenti. Un personale consapevole, ben formato e informato, in un’azienda del resto rappresenta la prima linea di difesa. Purtroppo, non tutte credono nei corsi di formazione. A questo proposito abbiamo progettato Kaspersky Automated Security Awareness Platform (Asap), un nuovo approccio ai programmi formativi online basato su un mix tra tecniche moderne di apprendimento, sessioni ludiche, attività pratiche e rafforzamento dei concetti, che è in grado di creare vere e proprie competenze di cybersecurity per i dipendenti.

Il piano più efficace di incident response?
Oggi che con l’aumento delle soluzioni digitali nelle aziende è aumentata in parallelo la superficie di attacco a disposizione dei criminali, per prevenire le minacce cyber è importante avere una struttura difensiva adeguata, dotata delle più moderne ed efficienti apparecchiature, costantemente aggiornate, dei più avanzati sistemi anti-cracker e di personale istruito, addestrato, qualificato e pronto ad usare questi strumenti per bloccare sul nascere le iniziative dei malintenzionati. Come in ogni settore lavorativo, la sola componente proattiva non è sufficiente. I security incident possono verificarsi anche nella più corazzata delle strutture e quindi avere una divisione adibita al comportamento “reattivo” è ugualmente importante. L’incident response, cioè la risposta agli incidenti, è dunque un processo fondamentale all’interno di tale contesto e per tale motivo avere un team di persone adibite a questo scopo, opportunamente formate e dotate degli strumenti adeguati, è di vitale importanza per le aziende.