Dottor Iezzi siamo curiosi di sapere come nasce Swascan, con quali intenti e cosa la caratterizza nel panorama odierno del settore. Ci racconti, brevemente, la storia della nascita e crescita di questa realtà imprenditoriale.

«Swascan nasce nel 2016, in una classica osteria torinese. Al tavolo io, Raoul Chiesa (il padre dell’hacking europeo, considerato dagli americani tra i primi 10 esperti di cyber security al mondo, ndr) Sara Colnago e Riccardo Paglia, un gruppo di amici con la passione per il mondo della Cyber Security.

In un brainstorming tra salumi e vino rosso nasce l’idea di trovare una soluzione per sicurezza informatica, adatta non solo alle grandi aziende, ma anche alle PMI e ai liberi professionisti, a volte ancora poco sensibili all’argomento e soprattutto preoccupati del costo elevato che comporta investire in sicurezza e proprio per questo presi sempre più di mira.

Abbiamo quindi deciso di trovare una soluzione snella ma professionale, con un investimento iniziale minimo che permettesse alle PMI di tutelarsi.

Nei confronti della grande impresa, si è ragionato su come garantire loro dei servizi a valore aggiunto, in particolare relativi al mondo della threat intelligence e ad un centro di Competenza Cyber di eccellenza.

Il mercato ci ha subito premiato. I risultati ottenuti in breve tempo ma soprattutto le competenze e professionalità di un Team incredibile, ha portato Swascan a fare il suo ingresso – come colonna portante – nel più grande polo di Cyber Security interamente italiano, sotto la guida di Tinexta, all’interno del quale ci sono delle vere e proprie eccellenze, ad esempio nel mondo del digital trust e della marketing innovation».

Questa estate abbiamo assistito ad una massiccia offensiva nel dominio cyber da parte di attori ostili. L’attacco ransomware al sistema sanitario della Regione Lazio ne è l’esempio più eclatante, avendo assunto i caratteri di una guerra ibrida che ha colpito le esigenze sanitarie della cittadinanza, cosa ancor più grave in fase di pandemia. Dobbiamo aspettarci un proliferare di minacce ransomware, secondo il suo punto di vista, ed in tal caso quali i metodi che lei suggerirebbe ad un’istituzione o ad un’azienda per fronteggiarli?

«È un trend osservato da alcuni anni, gli attacchi ransomware sono e con grande probabilità saranno uno strumento che verrà largamente utilizzato anche nel prossimo futuro, nelle sue diverse declinazioni: il ransomware diretto (dove c’è un interesse diretto da parte di un gruppo altamente organizzato di Criminal Hacker a lanciare l’offensiva), il ransomware “as a service” (ovvero venduto all’interno del Dark Web in modalità Ready to use) ed il ransomware impiegato alla stregua di “distrattore”, cioè come copertura di operazioni diverse; ma qui siamo già nel campo dell’intelligence o delle guerre asimmetriche tra entità statuali.

Più in generale, volendo fare una semplificazione, per sentirsi al sicuro bisogna rendere il proprio perimetro “poco appetibile” ai Criminal Hacker. Ovvero, riducendo le superfici esposte su Internet, rendendo sicuro e ben protetto il proprio perimetro, per gli aggressori non ci saranno incentivi in termini di effort ad attaccare noi rispetto ad un altro bersaglio meno protetto o più esposto. Per farlo c’è bisogno di un chiaro action plan. Quale? Formando e adottando una strategia di Cyber Security efficace e reattiva. Bisogna impostare la propria difesa sui tre pilastri della Cyber Security: Sicurezza Predittiva, Preventiva e Proattiva. La Sicurezza Predittiva lavora tramite fonti OSINT e CLOSINT per comprendere quali minacce esistono e se ci sono informazioni sulla nostra azienda che possono farci correre dei rischi. Servizi come la Domain Threat Intelligence e Cyber Threat Intelligence diventano la base di partenza per impostare correttamente sia la sicurezza preventiva che proattiva.

La Sicurezza Preventiva corrisponde a tutto quel mondo di analisi del rischio tecnologico, umano e di processo. Stiamo parlando di attività quali penetration test, phishing simulation attack, ransomware attack simulation fino ad arrivare ad analisi specifiche del rischio cyber basate sui framework di sicurezza internazionali come NIST, CIS o ISO27001.

La Sicurezza Proattiva fa entrare in campo tutto il mondo del SOC (una struttura centralizzata costituita da persone, tecnologie e processi deputata a soddisfare le esigenze di sicurezza informatica di un’azienda; rappresenta un asset critico per qualunque organizzazione a rischio di attacco cyber) dove sistemi, processi e tecnologie permettono di gestire, monitorare e far emergere qualsiasi anomalia che possa registrare la mia infrastruttura, chiudendo il cerchio con la capacità di reazione, ovvero: incident response, business continuity e disaster recovery. È importante chiarire un aspetto: tutti questi sistemi e framework se non si testano e non si mettono alla prova, non servono a niente.

Visto il livello di target colpiti dagli attacchi cyber, cito in proposito il famoso caso del Colonial Pipeline Usa, non crede che si debba parlare di cyber terrorismo più che di cyber crime in eventi di questo genere?

«Questa rimane una questione complessa. Da un lato alcune figure di spicco lo hanno già fatto (così come alcuni Stati), dall’altro attribuire questi attacchi è sempre complesso. Anche se sembrerebbe che questi gruppi di Criminal hacker – responsabili della maggior parte degli attacchi – siano spalleggiati in particolare dalla Russia. Forse in questi casi sarebbe più corretto parlare di giochi di geopolitica condotti con tecniche di guerra ibrida o, parafrasando un celebre testo cinese, di guerra senza limiti.

Un attacco come Colonial Pipeline potrebbe essere stato un monito, ma allo stesso tempo una leva per trattative future. È qualcosa che per tanti versi nel mondo del business si sapeva già da anni; l’importanza del dato e delle informazioni digitali: il nuovo punto focale del contendere. In un certo senso quello cambio di paradigma era stato sancito in maniera ufficiosa dall’incontro Biden – Putin a Ginevra; dove a farla da padrone era stato il dibattito sulle regole d’ingaggio nel Cyber Warfare non ufficiale tra stati. Con il neo presidente degli Stati Uniti che aveva cercato di imporre alla controparte russa una lista di bersagli “off-limits” (memore degli attacchi a Colonial Pipeline); per poi sottolineare come: “Gli ho fatto notare che abbiamo una significativa capacità informatica, e lui lo sa”. Insomma, due grandi presidenti che si siedono ad un tavolo per parlare di Cyber Security e delle implicazioni che questa può avere nelle relazioni tra i due Paesi è un momento spartiacque».

Quanto impatta il “fattore umano”, sia come insider che come portatore di bassa awareness digitale, sulla dimensione di vulnerabilità cyber di un’impresa o di un ente? E cosa si può fare per ridurre al minimo tale impatto?

«Il fattore umano, lo human risk per essere più specifici, rimane centrale quando si parla di Cyber Security, perché è uno degli entry point più utilizzati. Non serve ricordarlo forse ancora una volta, ma l’attacco al CED della regione Lazio è partito – sembrerebbe – da una serie di credenziali compromesse di un dipendente della regione; peraltro vorrei aggiungere che questo evento ha portato all’attenzione dell’opinione pubblica il concetto delle botnet, un tema non noto a tutti. Una botnet è una rete formata da una pluralità di dispositivi connessi alla rete (pc, server, dispositivi mobili e smart object), infiltrati con un malware e controllati da remoto; gli apparati compromessi sono poi utilizzati per fini malevoli all’insaputa degli utilizzatori.

Le difese migliori passano sicuramente da formazione continua e best practice, ma anche dall’utilizzo di strumenti di Cyber Threat Intelligence e Domain Threat intelligence in grado di rilevare il grado di esposizioni ad attacchi di social engineering».

Come valuta la nascita dell’ACN, l’Agenzia per la Cyber sicurezza Nazionale? E, a tal riguardo, quali potrebbero essere i margini di collaborazione pubblico-privato in tale settore?

«L’ACN rappresenta una svolta per l’Italia. Era assolutamente necessario un coordinamento pubblico-privato in termini di Cybersecurity – cosa che l’ACN si prefigge di risolvere – ed era necessaria un’iniezione di liquidità per dare la giusta spinta verso la digitalizzazione in quelle aree o settori che meno avevano beneficiato della trasformazione digitale.

Il tema adesso è quello di impostare, in tutto il Paese, un framework di sicurezza – condiviso e impostato sulla cooperazione pubblico-privato – bastato su tecnologie, processi e competenze».

La Swascan è riuscita a scovare falle digitali in colossi come Lenovo e Xerox. Ma come si spiega che tali giganti, disponendo di considerevoli risorse umane e finanziarie, possano farsi trovare così esposte ad eventuali minacce cyber?

«Andando al di là dei singoli casi, forse qui entra più in gioco la percezione. Sarebbe sbagliato ragionare per dimensioni. Un Criminal Hacker ragiona per costo/beneficio, in maniera non dissimile a un qualunque imprenditore: minore sarà lo sforzo per lui di attaccare un bersaglio, maggiore sarà la possibilità di finire nel mirino. Certo, può sembrare che tra le vittime vi siano solo i “big”, ma questo è semplicemente l’impressione che si ha leggendo i quotidiani. Naturalmente quando vengono colpite multinazionali o sistemi dell’amministrazione pubblica si avrà una copertura mediatica enorme.

In realtà però la grande azienda è a rischio tanto quanto la PMI e la frequenza degli attacchi è sicuramente sbilanciata verso le seconde. I Criminal Hacker cercano i bersagli di opportunità nella stragrande maggioranza dei casi e – come accennato – soprattutto il minor “sforzo” possibile per portare a termine i loro attacchi.

Grazie all’abbondanza di informazioni pubbliche e semi-pubbliche (OSINT e CLOSINT) presenti sul web, come coppie di e-mail e password o credenziali di accesso compromesse, gli aggressori sono in grado di lanciare massicci attacchi automatizzati che fanno leva su queste per prendere il controllo di sistemi e installare malware o portare a termine altri tipi di cyber crime. Un altro grande pericolo è quello delle botnet. Queste sono grandi reti di computer compromessi, la cui potenza di elaborazione viene utilizzata all’insaputa dell’utente per svolgere attività criminali. Questo può includere la distribuzione di spam o e-mail di phishing, così come l’esecuzione di attacchi DDoS, ma anche il furto di credenziali di accesso dai nostri sistemi e non solo…».

Ho letto le indagini di cyber risk pubblicate sul vostro sito. Sono molto interessanti poiché si basano su indicatori di cyber risk. Al momento avete esaminato il settore metalmeccanico, il settore energetico, il settore marittimo e da ultimo il settore sanità. Quali tra di essi presenta le maggiori vulnerabilità e perché?

«L’analisi che ha restituito il maggior numero di vulnerabilità è stata quella pubblicata a luglio di questo anno dedicata al settore Energy e al settore Sanità. Il motivo è molto semplice: più cresce l’esposizione dei servizi sul web, più aumenta il rischio di essere colpiti da attacchi cyber; da questo punto di vista noi vediamo che il settore energia ha numerosi oggetti distribuiti ed esposti sul web, mentre il comparto sanità offre ormai moltissimi servizi accessibili on line».

Su quali settori intendete, nei prossimi mesi, focalizzare le vostre indagini tendenti a mettere in luce le vulnerabilità ad attacchi informatici?

«Il prossimo focus non sarà in realtà un settore merceologico, come avvenuto finora, ma un’area geografica: ci concentreremo sul sud Italia. La ragione ha a che fare con i prossimi investimenti previsti dal PNRR per incentivare l’innovazione nelle aziende del meridione; questo porterà ovviamente ad un aumento della loro digitalizzazione e di conseguenza ad un aumento del rischio di cyber-attacchi».