La Repubblica: “WannaCry e le aziende? La disattenzione alla sicurezza è paradossale”

la-repubblica-it-logo

“WannaCry e le aziende? La disattenzione alla sicurezza è paradossale”

Intervista a Carlo Mauceli, CTO e CISO di Microsoft Italia. Che analizza i motivi del grande attacco di ransomware e dice: “Ci vuole più informazione e occorre maggiore collaborazione tra aziende, clienti e governi”
di ARTURO DI CORINTO per La Repubblica del 22 Maggio 2017

ALL’INDOMANI dell’epidemia del ransomware WannaCry c’è chi ha incolpato i criminali, chi l’intelligence chi le vittime stesse del blocco di 200mila sistemi informatici basati su Windows. Le versioni attaccate sono state infatti molte, da Windows Vista a Windows Server 2008, da Windows 7 a Windows XP. Il motivo è ovvio: Microsoft è leader mondiale nel mercato dei sistemi operativi. Ne parliamo con l’ingegnere Carlo Mauceli, Chief Technology Officer e Cyber Security Officer di Microsoft Italia.

Dottor Mauceli, l’attacco ransomware che ha colpito 150 paesi bloccando la sanità inglese e i trasporti tedeschi e russi, aziende francesi, banche e compagnie telefoniche spagnole, è stato basato su un malware che attaccava esclusivamente sistemi Microsoft Windows non aggiornati. Ritiene che la sua azienda abbia delle responsabilità?
“No. Lo dico in maniera netta. Siamo sul mercato da 30 anni e dagli anni 2000 abbiamo cominciato un percorso legato alla sicurezza perché i nostri clienti fossero consapeveli di vulnerabilità e problemi. Il software è scritto da persone che seguono regole e processi altamente controllati, ma i ‘buchi’ possono esserci proprio perché i programmi li fanno le persone. Noi offriamo un servizio rilasciando mensilmente i bollettini di sicurezza. Nel caso WannaCry abbiamo “patchcato” (chiuso le falle, ndr) anche sistemi non più supportati come Windows2003 e XP. E questo perché crediamo che chi opera nel cyberspazio fa parte di una catena che deve convergere verso il terreno della sicurezza”.

Ma come è possibile che oggi che affidiamo le nostre vite all’informatica ci sia ancora così poca attenzione alle prestazione dei dispositivi tecnologici che usiamo ogni giorno?
“Gli attacchi vanno a buon fine perché sfruttano le debolezze di chi si difende. Consideriamo questa metafora: perché il doping è sempre avanti all’antidoping? Investire in antidoping costa tantissimo e non posso farlo a tutti. Ma è paradossale questa disattenzione alla sicurezza”.

Ma allora la colpa è di chi non si protegge?
“Mi spiego meglio. Ad esempio nel mondo applicativo ci sono tantissimi software che non permettono l’aggiornamento dei sistemi. È stato creato un mostro. Le applicazioni software svolgono un ruolo fondamentale ma non poter aggiornare un sistema e non poter mettere una patch perché l’applicazione altrimenti non funzionerebbe è inaccettabile. Siamo a questo punto a causa di un lock-in (dipendenza dal fornitore, ndr) fortissimo dove ci sono grandi interessi economici. È per questo che molte le aziende non fanno gli aggiornamenti”.

In altri casi invece i sistemi non sono aggiornati perché mancano processi, perché la sicurezza viene vista come un costo e non si pensa agli impatti che gli incidenti di sicurezza possono avere. E se ci fosse stato un attacco basato su uno zero-day?
“Il punto è che non paga mai nessuno quando non si aggiornano e mettono in sicurezza i sistemi”.

Come avete reagito? Quante le richieste di supporto, le lamentele, e soprattutto, avete fatto una stima dei danni?
“In Italia i danni sono stati limitatissimi. I paesi più colpiti son sono stati Spagna e Portogallo, i danni economici diretti bassi, visto che le realtà colpite avevano le istruzioni di ripristino. E tuttavia hanno pagato dal punto di vista delle attività svolte e questo non è calcolabile facilmente. Tuttavia c’è un aspetto positivo: insieme a noi molti hanno cominciato a fare assessment sulle applicazioni per capire se hanno bisogno oppure no di strumenti come il SMB, il protocollo di condivisione attaccato dal virus. E potrebbe essere l’occasione per cambiare postura di sicurezza”.

L’exploit usato dai criminali è stato trafugato dagli Shadowbrokers alla NSA. Se la Nsa vi avesse avvisato subito sarebbe cambiato qualcosa?
“Noi facciamo le patch indipendentemente da quello che succede nel mondo. Sono fautore del rapporto pubblico privato per ottenere il massimo dalla relazione tra enti governtivi, cloud provider, grandi aziende. Dalla collaborazione spinta possono nascere delle opportunità. Anche in Italia ad esempio offriamo programmi gratuiti di collaborazione ai Cert (Computer emergency response team) e alle agenzie di sicurezza: sono 64 realtà che hanno adottato il nostro Government security programme. È basato sull’information sharing e coordinato dai centri di sicurezza informatica dipendenti dalla Cybercrime Unit di Redmond”.

Alcuni deputati al congresso americano hanno presentato una legge per obbligare le agenzie di sicurezza a condividere e notificare le informazioni relative alla scoperta di vulnerabilità nei sistemi informatici. Cosa ne pensa?
“Sono assolutamente d’accordo. In particolare ritengo importante la notifica dei databreach da parte delle aziende. Non per mettere in piazza i panni sporchi, ma per prevenire situazioni pericolose”.

Ci sono già delle varianti del virus in circolazione. Come possiamo evitare un nuovo attacco?
“Occorre sensibilizzare la società a tutti i livelli, anche con campagne sui media, epoi invitare al rispetto delle regole di comportamento per il cyberspace tutti gli interessati. E soprattutto applicare le regole base di security. Il nuovo perimetro da difendere è l’identità digitale. Quanti pensano di doverlo fare? Eppure la multi factor authentication, la biometria, i controlli di sicurezza possono aiutare e molto”.