Mirko Gatti direttore commerciale e co-founder di Inn-Tech Up Sagl

Mirko: Ma, in realtà, devo fare una premessa. Io ormai, purtroppo, ogni tanto faccio i calcoli... e sono 26 anni che sono nel mondo dell'informatica. Diciamo che sono partito come tecnico, poi sono diventato tecnico commerciale e alla fine sono passato a fare il commerciale. Per cui, diciamo che ormai sono ben 26 anni che sono in questo settore. Eh, dopo un breve stop dovuto anche al fatto che c'è stato un periodo in cui la tecnologia aveva subito un forte fermo, sia a livello di innovazione che di personale che doveva andare in giro, soprattutto nell'ambito commerciale, mi sono spostato su altri settori. Ma adesso, dopo anche quello che è successo con il Covid, con tutti i progetti di innovazione che stanno venendo fuori e sono sempre in crescita, ho deciso di tornare in questo settore. Anche perché è sempre stato il mio settore.

Mirko: Allora, in realtà noi siamo una società di informatica divisa in due business unit: una si chiama Data Edge, che si occupa di tutta la parte infrastrutturale, compresi anche i centralini VoIP, la parte Microsoft, i server, i backup e tutto quanto. Poi abbiamo la parte Zero Edge, che invece è specializzata e focalizzata in maniera molto verticale sulla Cyber Security, perché oggi è un tema che purtroppo dobbiamo affrontare tutti quanti. E grazie anche a uno dei soci, che è esperto di Cyber Security da anni, abbiamo deciso di investire e crescere in quel settore, portando la nostra esperienza per aiutare sia i privati, ma soprattutto le aziende, a fronteggiare le minacce e gli attacchi informatici quotidiani.

Mirko: È la conoscenza. Cioè, a parte che ci stiamo certificando a livello federale per essere un'azienda qualificata in Cyber Security, quello che ci distingue è che lavoriamo con i maggiori player di mercato nell'ambito della sicurezza. Questi player, al momento, sono visti come i migliori al mondo per l'innovazione tecnologica. Poi c'è uno studio quotidiano, perché purtroppo gli attacchi sono innovativi giorno dopo giorno. Non c'è modo di dire "Faccio questo e sono a posto", perché bisogna studiare tutti i giorni ed essere consapevoli, sia a livello aziendale che come utenti. Per questo abbiamo creato anche una Zero Academy, dove facciamo corsi sia a livello base per gli utenti sia a livello intermedio per i tecnici. Formiamo le persone su come utilizzare i dispositivi e su come comportarsi online, cosa che molti sottovalutano. Oggi siamo circondati da tecnologia e quello che di sicuro devi fare è sapere come muoverti, perché le truffe sono dietro l'angolo. La problematica maggiore è che chi fa le truffe, oltre a utilizzare la tecnologia, conosce bene le tecniche nuove di attacco, che spesso sono difficili da interpretare e da capire. Da questo punto di vista, sicuramente la conoscenza è fondamentale. Leggiamo 20-30 articoli al giorno per vedere cosa sta succedendo nel mondo, perché ormai queste cose non hanno confini. Non puoi dire "Sono qui e l'attacco è arrivato dall'altra parte", perché internet è veloce, e oggi le distanze si sono accorciate.

Mirko: Allora, noi partiamo dal fatto che, ad esempio, abbiamo un EDR, che oggi viene chiamato "antivirus", ma in realtà non è un semplice antivirus. Siamo partner di CrowdStrike, che ultimamente ha fatto parlare di sé per un aggiornamento in conflitto con Microsoft, che ha causato qualche disservizio. Però, ad oggi, loro sono i migliori player sulla parte EDR e proteggono il 98,7% dei dispositivi. Poi, chiaro, è importante anche la configurazione, perché se non configuri il sistema, diventa uno strumento fine a sé stesso. Abbiamo anche sonde di vulnerabilità che vanno a verificare l'attacco più frequente, lo Zero-Day, che colpisce le app non aggiornate. Ormai siamo abituati a vedere aggiornamenti continui delle app sui nostri dispositivi, proprio perché gran parte di questi sono bug e fix di sicurezza. Poi offriamo un servizio di email encryption, per inviare mail sicure con messaggi criptati, molto utile per i dati sensibili. Ovviamente facciamo anche assessment di sicurezza: entriamo nelle aziende, analizziamo la struttura, vediamo i punti deboli e suggeriamo cosa sistemare. Abbiamo anche il servizio CISO, il responsabile della Cyber Security, una figura che le aziende dovrebbero avere, anche se non ce ne sono tantissime in giro. Questo responsabile monitora la situazione aziendale giorno per giorno per evitare attacchi informatici. Infine, facciamo anche campagne di phishing, dove inviamo mail simulate per testare gli utenti e formare chi cade nella trappola.

Mirko: Lo smart working ha aumentato del 56,88% gli attacchi alle aziende nel mondo, soprattutto attraverso le VPN, che molti pensano siano sicure. In realtà, anche le VPN sono soggette ad attacchi. Per questo siamo diventati partner di un software che sta rivoluzionando il concetto di VPN. Oggi ogni persona ha in media tra due e tre dispositivi connessi alla rete, quindi l'aumento degli attacchi è inevitabile.

Mirko: La nostra formazione è continua. Siamo costantemente collegati ai maggiori siti mondiali che parlano di Cyber Security e monitoriamo giornalmente gli attacchi e le nuove minacce. Per quanto riguarda le minacce, è complicato fare un elenco esaustivo perché sono tantissime. Nel nostro corso base, ad esempio, non ci limitiamo a mostrare esempi di attacchi, ma insegniamo come ragionano gli hacker e come evitare gli attacchi.

Mirko: Dipende se eri protetto o meno. Noi possiamo garantire una protezione del 99% grazie ai nostri sistemi e al monitoraggio attivo, ma il 100% di protezione non esiste. Se si subisce un attacco senza un piano di backup o un sistema di disaster recovery, la situazione può diventare molto complicata. Studi dimostrano che il 60% delle piccole e medie imprese chiude entro sei mesi da un attacco informatico. Per le grandi aziende è diverso, ma le piccole sono le più vulnerabili e molte volte non si rendono conto di essere solo il tramite per attaccare qualcun altro.

Mirko: L'impatto a livello legislativo è stato molto forte, ma a livello di percezione da parte delle aziende ancora basso. Le leggi come il GDPR e la LPD impongono obblighi chiari in termini di protezione dei dati sensibili e continuità del business. Non sono state introdotte a caso, ma perché dietro c'è uno studio serio sugli effetti devastanti che un attacco può avere su un'azienda.

Mirko: Il NIS 2, che sarà firmato il 18 ottobre, obbligherà tutte le aziende a essere compliance con le normative sulla Cyber Security. Saranno previste sanzioni molto pesanti per chi non si conformerà. Ad esempio, entro 24 ore dall'attacco, un'azienda dovrà avvisare tutta la supply chain e presentare un piano di compliance entro 72 ore. Se non lo fai, rischi sanzioni fino a 10 milioni di euro o il 2% del fatturato. Cioè, quindi, perché? Perché tu non solo ti sei recato danni a te stesso, ma probabilmente hai creato danni a chi ha dei legami con te. Esatto, infatti hanno messo anche una tabella di quali sono i settori più bersagliati, che saranno anche quelli che dovranno adottare per primi delle misure. Si parte ovviamente dalla sanità, che è il settore più bersagliato, perché ha dati di tutto il mondo. Poi ci sono i trasporti, la logistica, la finanza e, in cascata, tutti gli altri settori. Ma è chiaro che questo è fatto perché devi tutelare. Mi aspetto che adesso, in Svizzera, ovviamente non facendo parte dell'Europa, non si sia obbligati a sottostare al NIS 2. Però quello che dico generalmente anche ai clienti che ho in Svizzera è: se lavori con l'Europa, magari qualcuno ti chiederà "Sì, ma tu sei compliance con NIS 2?". Quello che è successo con il GDPR è uguale: GDPR, LPD, tutto quello che volete... Anche chi lavora con gli Stati Uniti comunque chiede la normativa e se sei compliance con la LPD. In alcuni casi, devi essere compliance anche a quella americana, anche se in teoria non sei tenuto a farlo. L'importante è che tu sia in regola con la LPD del tuo paese, a meno che non hai società in quei paesi. Allora è diverso. Ma se hai solo a che fare a livello lavorativo, l'importante è che tu sia compliance con la legge del tuo paese. Secondo me, con NIS 2 sarà uguale: un'azienda che lavora con altre aziende dell'Unione Europea probabilmente ti chiederà se sei compliance con NIS 2, perché gli scambi avvengono spesso tramite email. Il classico attacco "man in the middle" è quello che si inserisce nelle email. Se non sei protetto, può succedere. Ci sono stati tanti casi di attacchi informatici dove si sono infiltrati e qualcuno ha pagato la fattura a un’altra persona, che non era il fornitore del servizio, perché sono stati bravi a inserirsi nella comunicazione tra cliente e fornitore. Quando te ne accorgi, ormai è troppo tardi, il bonifico è già partito. Purtroppo, oggi anche nella Cyber Security la difficoltà che incontriamo è che spesso ci viene fatta la domanda: "Ma perché dovrebbero attaccare proprio me?". C'è uno studio americano che chiama questa la regola della W. La domanda reale non è "Why" (perché), ma "When" (quando), perché ad oggi gli attacchi informatici sono quotidiani. Considera che nel 2023 stiamo parlando di 239 tipi di attacchi mensili. Non parliamo di 239 persone o aziende colpite, ma di 239 tipi di attacchi.

Mirko: Sì, se consideri che un mese ha 30 giorni, fai una media e pensa a quanti attacchi giornalieri ci possono essere in tutto il mondo. Quindi, la protezione è fondamentale. Quello che dico spesso è che l'informatica è un settore molto ampio. Purtroppo, molti dicono: "No, ma ho sentito il mio informatico, è tutto a posto". Sì, va bene, non metto in dubbio la professionalità, ma tutti abbiamo la patente e sappiamo guidare una macchina, però non tutti possiamo andare su una pista di Formula 1 o di rally, perché non abbiamo le competenze e la conoscenza. Nella Cyber Security bisogna fare attenzione e rivolgersi a persone specializzate. Infatti, molte volte interveniamo insieme al team IT dell’azienda, o alle aziende IT che fanno supporto, perché un terzo occhio non fa mai male. Assolutamente! E sicuramente la formazione aiuta, sia lato tecnico, sia lato cliente o utente. Considera che il NIS 2 prevede che una delle linee guida, uno dei dieci punti che un'azienda deve rispettare, sia la formazione. La formazione diventerà obbligatoria, sia a livello manageriale che a livello di utenti. Le aziende dovranno dimostrare di aver formato i loro utenti, oltre a proteggersi con le soluzioni tecniche necessarie. Anche qui in Svizzera ci sono settori che dal 2025 saranno obbligati a fare la formazione Cyber per gli utenti, perché oggi il 90% degli attacchi avviene tramite l'utente: la porta d'accesso siamo noi.

Mirko: Noi siamo qui a disposizione, senza problemi. Mi piace fare formazione, ne ho già fatta qualcuna e sono stati contenti. Siamo qui per insegnare a utilizzare al meglio i dispositivi, perché non possiamo farne a meno.

Mirko: A volte viene da ridere, perché quando vai nei centri commerciali vedi frigoriferi collegati a internet, che ti mandano un messaggio quando devi fare la spesa. Bello, divertente, ma ricordatevi che sono collegati a internet. Quella è una porta d'accesso. Non possiamo farne a meno e non ne faremo mai a meno, anche perché oggi è tutto in crescita e tutti i servizi stanno aumentando e velocizzando grazie alle connessioni, alle applicazioni, al web. Questo però ci espone, e quindi dobbiamo avere una conoscenza maggiore rispetto a prima.