Microsoft e la sicurezza che parte dal cloud

La security aziendale e della PA sono un fattore cruciale non solo di business, ma anche di normale lavoro quotidiano. Le vulnerabilità di ogni sistema necessitano una attenzione continua, e il cluod offre nuove e più efficaci soluzioni. Ne abbiamo parlato con Carlo Mauceli, National Digital Officer di Microsoft Italia.

Microsoft e sicurezza sono due fattori da sempre sulla bocca di tutti. Qual è oggi la vostra visione? 

La visione di Microsoft sulla sicurezza parte da una serie di numeri che vanno assolutamente elencati. Partiamo dalle perdite: 9 miliardi di euro persi nell'ultimo anno per azioni derivanti da cybercrime; il 95% delle aziende italiane colpite da attacchi informatici, sotto attacco o che lo sono già state. E' un problema del Paese, che poi si amplia a livello europeo e a livello mondiale. Noi come azienda lavoriamo soprattutto a livello governativo per cercare di riuscire a creare quella sensibilità sulle tematiche di sicurezza che crediamo manchi in questo Paese. E' ovvio che la sicurezza non può essere vista come un costo, ma deve essere vista come un'opportunità e dall'altro un'esigenza, se non un dovere. Ricordiamoci che in qualsiasi azienda, il respondabile unico di un attacco informatico - e delle conseguenti perdite di dati o furto degli stessi - è l'Amministratore Delegato o il dirigente di un'azienda pubblica.

Ritengo che con la tecnologia esistente si possa ovviare a questo problema e lo si possa fare con un minimo di investimento che garantisce un ritorno nell'immediato, perché il costo dovuto ad un attacco per ripristinare la situazione, è assolutamente rilevante, oltre al blocco del lavoro quotidiano. C'è stato un esempio pubblico tra i più famosi, avvenuto a una maison di moda nostrana, che ha subito un attacco informatico che ha fatto sì che i bozzetti delle nuove produzioni di un brand famoso fossero rubati. Questi sono stati portati in un altro mercato, messi in produzione e rivenduti. Un danno d'immagine, un danno economico e un danno al brand. Il rischio di perdite è enorme.

E' possibile una sicurezza totale?

In Microsoft, da  sempre siamo molto vicini alla tematica della security e lavoriamo attraverso le nostre soluzioni, affinchè gli utenti possano soddisfare un'esigenza che spesso non è nemmeno percepita, utilizzando infrastrutture e soluzioni che nascono, come diciamo noi, "security by design", che non è uno slogan, ma è un modo di operare. All'interno dei nostri data center, dove c'è sicurezza di ordine fisico e dove sviluppiamo le nostre soluzioni secondo il ciclo di vita del software, offriamo soluzioni che garantiscono livelli di sicurezza altissimi.

E' chiaro che la sicurezza è un'utopia, non esiste al 100%, ma è altresì chiaro che dipende sempre da dove si vuole piazzare l'asticella, più la si alza e meno rischi si corrono. 
C'è un modo di pensare comune: qualsiasi sistema, indipendentemente dal fatto che sia proprietario piuttosto che sia libero, non è immune agli attacchi. Non esiste un sistema sulla terra che non abbia necessità di essere comunque aggiornato, "patchato" per garantire i livelli di sicurezza. Raccontare che determinati sistemi sono più sicuri di altri è una falsità: non esiste un sistema più o meno sicuro, si può parlare di vulnerabilità ed è un fatto legato alla marketshare.

Sul lato aziende c'è quindi ancora molto lavoro da fare...

Le aziende approcciano il tema della sicurezza a valle, cioè in reazione a qualche cosa, un attacco, e quindi intervengono. Questa è la misura da un lato della scarsa sensibilità al problema, e dall'altro di una necessità di investimenti che spesso e volentieri mancano. Io penso che prevenire sia meglio che curare. E' chiaro che con processi e soluzioni atte a prevenire le situazioni di non sicurezza e di attacco si è avvantaggiati. In questo, soprattutto nell'ambito della Pubblica Amministrazione, offriamo un servizio che si chiama Goverment Security Program che viene usato dai Cert nazionali e da quelli delle PA dei vari Paesi del mondo, per garantire ai governi e di conseguenze a tutte le amministrazioni pubbliche una condivisione delle informazioni, un'analisi delle botnet che li possano aiutare a prevenire queste situazioni.

La prevenzione passa anche dalla condivisione di esperienze passate. Abbiamo presentato all'Agid, al Ministero della Difesa e Mise, che è il Cert nazionale, proprio questo programma e crediamo che sia un valore immenso che offriamo al nostro Paese.
Un'altra condizione che può in qualche modo aiutare a mitigare il fenomeno del cyber-crime è l'utilizzo delle soluzioni online e del cloud. Quando si parla di Cloud, per una questione culturale si viene guardati con sospetto e si ritengono poco sicuri. La domanda che rivolgo a queste persone è ne siete proprio sicuri? Pensare di avere sistemi di sicurezza superiori ad una grande azienda, che non siamo solo noi, direi che è abbastanza improbabile. Giusto per indicarne uno, noi abbiamo un sistema per la posta elettronica, che lavora dal punto di vista del malware in anticipo. Se ho un oggetto in mano non sono in grado di dire se questo può arreccare danni finché non li crea. Noi creiamo una "camera di detonazione digitale" dove possiamo vedere se c'è un bubbone e lo facciamo scoppiare. Arriva un qualcosa di sospetto e decidiamo di farlo esplodere, e così facendo siamo in grado di iniettare l'antivirus e di capire come si comporta effettivamente. Questo perché va nella direzione di quello che il vice presidente di Symantec disse nel 2014, cioè che gli antivirus sono in grado di trovare solo il 45% dei virus esistenti e quindi bisogna ragionare in maniera diversa. L'antivirus lavora in reazione, noi cerchiamo di lavorare a monte del problema e anche le aziende dovrebbero comportarsi allo stesso modo.