Il ravennate Salvatore Marcis è il direttore tecnico in Italia per la giapponese Trend Micro: «Il 3-5 percento degli utili delle imprese andrebbe in vestito in sicurezza informatica». Ecco cosa sono deep fake e darkweb

«La domanda giusta da farsi per un’azienda non è se subirà un attacco informatico, ma quando lo subirà». Mette le cose in chiaro Salvatore Marcis. Il ravennate è il direttore tecnico del ramo italiano di Trend Micro, colosso giapponese della sicurezza informatica con settemila dipendenti nel mondo.

Marcis, con il lockdown lo smart working ha fatto boom. Ci si connette dalla rete di casa e non più solo su quella dell’ufficio. È aumentato il rischio per le aziende?
«Come Trend Micro abbiamo visto che le aziende non si sono sbilanciate nella corsa a far lavorare i dipendenti da casa senza le dovute cautele. La sicurezza è stata privilegiata. Diverso per i casi in cui è stato chiesto ai dipendenti di usare i propri dispositivi: in quel caso c’è voluto un po’ di assistenza in più. Noi ad esempio abbiamo concesso sei mesi gratuiti di licenza aggiuntiva».

Il lockdown ha portato anche più cittadini comuni a usare il web per tante necessità. Ci siamo esposti troppo?
«Siamo esposti tanto perché manca la consapevolezza dello strumento che stiamo usando. Internet deve essere per tutti e, anzi, il digital divide è ancora troppo. Anche la pubblica amministrazione ha allargato il suo recinto digitale e ci sono operazioni che si possono svolgere solo online. Ma troppe persone usano internet senza conoscerlo. Troppe volte si finisce vittime di situazioni di cui si potrebbe capire la pericolosità».

L’hacker che sferra un attacco a un’azienda o un privato da cosa è mosso?
C’è solo la volontà di raccogliere risorse illegali? «Il ragazzino che vuole sfidare il grande nome per dimostrare di saper perforare la rete esiste ancora ma quelli spesso finiscono davanti alla polizia postale ancora prima di aver concluso perché stanno solo sfidando se stessi, non c’è una spinta politica o delinquenziale. Diverso è per le attività criminali. Nell’ultimo periodo sono orientate soprattutto all’estorsione: sottraggono dati e chiedono soldi per restituirli. Ma sono cambiati i modi: non più l’attacco a strascico con migliaia di email mandate a chiunque per raccogliere 100-200 euro in massa da chi si è visto sottrarre le foto di famiglia. Oggi gli attacchi di tipo ransomware sono mirati, hanno target precisi e studiati. Dietro c’è un gruppo di hacker che puntano un’azienda specifica, studiano le sue barriere per individuare il punto di accesso. E spesso vediamo che questo lo trovano nell’account aziendale di un dipendente, quello con cui si accede alla rete. Una volta compromesso quello si è dentro alla rete e si può cominciare a muoversi».

Questo significa che quando l’attacco diventa palese per l’azienda in realtà era già in corso da tempo?
«Sì. E quel tempo è tutto il vantaggio che hanno gli hacker. In media 30-50 giorni per i casi più eclatanti come è successo di recente a Enel o Luxottica. Vengono estrapolati una quantità di dati importante e si chiede un riscatto per non divulgarli. Il consiglio è di non pagarlo mai perché si alimenta un mercato ma soprattutto non si ha la certezza di essere liberi perché quei dati possono essere stati copiati».

Si può mettere in conto di lasciarli divulgare?
«A volte in quei dati c’è un tesoro per l’azienda: segreti di produzione, progetti, due diligence. Materiale che una volta pubblico può mettere a rischio la sopravvivenza dell’impresa».

Potendo disporre di risorse infinite, si può raggiungere il rischio zero?
«Non esiste il rischio zero perché si scoprono sempre nuove vulnerabilità. Un’azienda deve capire la sua percentuale di esposizione e mitigarla. Ma la difficoltà è nel reperire competenze sul mercato: non è facile trovare uno specialista capace di riconoscere gli alert di un sistema sotto attacco».

Quante risorse andrebbero destinate alla sicurezza informatica?
«Andrebbe accantonato un 3-5 percento degli utili. Senza dimenticare che una volta fatto l’investimento non è finita: per l’auto vanno controllate pressione pneumatici e temperatura olio, così va fatto anche per le reti informatiche».

Attualmente qual è il canale più usato per gli attacchi hacker?
«Resta ancora la posta elettronica. Perché ne riceviamo a tonnellate, e mi riferisco a quella già ripulita dallo spam che ormai viene filtrato dai motori. Molte volte riceviamo email buone che portano a siti compromessi. Poi ci sono i banner dei siti su cui si clicca con troppa facilità attirati dallo sconto, dall’outlet, dalla speranza di fare l’affare. E infine i social non tanto come social in sé ma per quello che c’é: le piattaforme vendo-scambio sono un terreno fertile per i truffatori».

Il deep fake è la capacità di realizzare video falsi con volti e voci di persone che non hanno mai pronunciato quelle parole. Sarà la nuova frontiera delle minacce e sarà impossibile riconoscerle?
«Dalle nostre informazioni non sono noti casi di attacchi fatti con la tecnica di deepfake con faccia. Ma dobbiamo farci delle domande: oggi per ottenere Spid viene richiesta una identificazione a video. Saremo in grado di individuare se quel video è falso?».

Proviamo a spiegare cos’è il dark web.
«Nelle infografiche si usa sempre l’immagine dell’iceberg. La punta in superficie è il www che conosciamo tutti. Poi abbiamo il deep web che è tutto quello non indicizzato dai motori di ricerca, per scelta o per incapacità: non è detto che sia insicuro. E poi c’è il darkweb: richiede un browser ad hoc per una connessione cifrata a più strati».

Tutto il darkweb è pericoloso?
«No. Ci sono anche siti sicuri che vogliono stare lì: ad esempio attivisti di Paesi sotto regimi dittatoriali che usano questi canali per divulgare notizie altrimenti imbavagliate. Mettiamola così: è il sottopasso della metropolitana, lo si può usare per attraversare ma non stupiamoci se incontriamo brutte facce».

Parliamo di sicurezza, concludiamo con Immuni. L’ha installata? È sicura?
«L’ho installata perché ho un bambino piccolo e giro molto per lavoro quindi ogni cautela in più è sempre ben accetta. Purtroppo è stata usata poco ma non solo per colpa di poche installazioni: conosco amici che erano positivi e non hanno avuto modo di comunicare la positività tramite app. Per la sicurezza bisogna dire che i sorgenti sono pubblici e non sono stati trovati problemi». Andrea Alberizia