Alessandro Bertoldi sul Dominio Cibernetico

03/05/2019

Alessandro Bertoldi sul Dominio Cibernetico

III Seminario Italian Open Lab [16]

Al terzo appuntamento del seminario Italian Open Lab sul dominio cibernetico Alessandro Bertoldi è l’esempio lampante di come una piccola azienda possa diventare il punto di riferimento dell’impresa più grande che esista: lo Stato e, in questo caso, il Ministero della Difesa.

La storia della “Bertoldi cybersecuritycomincia cosi: non trovando adeguati riscontri al Cyber Tech di Roma alla fine del 2018, Bertoldi non si arrende e tenta di sfruttare le sue conoscenze informatiche per avere un contatto con la Difesa.

Prima invia due mail al sito ufficiale del Dicastero, collegate rispettivamente all’indirizzo del sottosegretario Angelo Tofalo e del comandante Campanella, e poi manda un sms a due numeri di telefoni mobili sempre intestati alla Difesa.

Ebbene, Bertoldi si accorge che il numero della Difesa non riusciva a verificare il numero del mittente della telefonata, perché l’imprenditore aveva falsificato il caller ID della chiamata ben sapendo, da test effettuati in precedenza, che i numeri del Ministero non avrebbero mai potuto identificare colui che chiamava

Inoltre, prima di inviare mail ed sms Bertoldi aveva analizzato l’intero sistema informatico della Difesa e aveva individuato alcune debolezze sui sistemi di posta elettronica e telefonia mobile, nonostante il numero del Ministero appoggiasse su una piattaforma dell’Intelligence.

Scoperta la falla, la Difesa cominciò ad apportare alcuni cambiamenti nel sistema, basati sui consigli dell’azienda di Bertoldi: utilizzo del centralino e applicazioni interamente gestite e non condivise.

Lo stesso approccio usato con la Difesa è stato tentato anche con grandi aziende come l’Enel.

“I riscontri sono sempre stati positivi e le nostre informazioni sono state usate per apportare migliorie ai vari sistemi di sicurezza ma nei nostri confronti c’è sempre stata poca considerazione. Le piccole aziende hanno percepito una sorta di interesse per la cyber security, anche se è ancora considerata da molti solo come un costo aggiuntivo e un processo che controlla la libertà”.

Un altro problema denunciato da Bertoldi è l’astrazione del tema Intelligenza artificiale e la mancanza di configurazioni di base sul tema della sicurezza, che necessitano di un immediato passaggio dal piano astratto a quello tecnico e da quello teorico a quello reale.

Come fare allora per proteggere i milioni di dati che circolano in un libero mercato come quello del web? Aggiornare i sistemi di sicurezza, combinare in modo opportuno i vari elementi che li compongono, rendere meno rigida la catena di comando e fare molta attenzione alle fughe di notizie sui social.

“Le fughe di notizie sui social  sono utili per gli hacker ma creano inutili casse di risonanza a livello sociale e politico perché sono male interpretate. Perciò abbiamo creato il progetto Intact per la protezione e la sicurezza dei servizi aziendali esposti in cloud. Abbiamo sviluppato un poligono virtuale e cercato di capirne la vulnerabilità, di conseguenza abbiamo capito come proteggerci attraverso servizi di sicurezza opportunamente configurati tra di loro”.

Questo progetto ha partecipato all’evento “Genova Start 4.0” e si è candidato a diventare un hub del Cnr.

“Non ci si può occupare di cyber security senza aver mai hackerato”: questo è il mantra di Bertoldi, che conclude il suo intervento all’evento Italian Open Lab focalizzato sul dominio cibernetico così:

“La gran parte delle aziende italiane sono in alto male, solo poche sono ben strutturate ed hanno capito che devono iniziare a collaborare. La sicurezza va gestita. Nemici della cyber sono la mancanza di comunicazione, la rigidità delle regole e dei processi, la mancanza di aggiornamento della conoscenza e la carenza di budget. Gli obiettivi invece si riconoscono nella forza del singolo e del gruppo, nel dubbio, come elemento di successo, e nell’equilibrio tra operatività e sicurezza affinché questa sia agile e dinamica”.