Attiva Evolution: dobbiamo diventare DataConsapevoli

Cosa significa essere DataConsapevoli? Se ne è discusso durante una tavola rotonda organizzata durante un evento di Attiva Evolution, la divisione di Attiva dedicata alle soluzioni per la sicurezza informatica. Alla discussione, moderata da Riccardo Meggiato, Consulente di Incident Response e Informatica Forense, Giorgia Paola Dragoni, ricercatrice del Politecnico di Milano e membro del CTS di Clusit, Filippo Zizzadoro, psicologo, e Matteo Zambon, CTO & Co-Founder Tag Manager Italia. Può sembrare strano che due dei relatori siano esperti in cybersecurity, ma il concetto di consapevolezza del dato va oltre la protezione dagli attacchi informatici, e comprende anche una corretta gestione delle informazioni personali. Il problema non sono solamente i criminali che cercano di sottrarle, ma anche una gestione spesso disinvolta dei dati in nostro possesso. Perché come sottolinea Zambon, “i dati li regaliamo agli inserzionisti”, soprattutto quelli americani, Meta e Google in primis.

Cookiegeddon e Trackingeddon: come le norme hanno stravolto un settore

Zambon, che abbiamo avuto modo di incontrare nell’ottobre 2022, si è concentrato sul tema del tracciamento pubblicitario. Un classico esempio di come “regaliamo”, più o meno consapevolmente i dati agli inserzionisti. Se la maggior parte dei siti sono fruibili gratuitamente, è perché campano dalla pubblicità. Il fatto è che le pubblicità non sono erogate a caso, bensì sono mirate sugli interessi degli utenti. Interessi che sono dedotti dai siti visitati, dalle ricerche effettuate, dai profili social con cui si interagisce. Sulla base di questi e altri dati, viene poi effettuato il retargeting: cerchiamo su Google una scarpa da ginnastica? Non solo ci verranno propinati banner di scarpe sui siti che visitiamo, ma anche la pubblicità che apparirà nel feed dei social network. E questo anche se utilizziamo dispositivi differenti per la navigazione, per esempio smartphone e desktop. Se da un lato questo ci permette di avere pubblicità più interessanti, legate ai nostri interessi, dall’altro stiamo esponendo una serie di dati impressionanti, dati di cui spesso perdiamo il controllo. E-mail, numero di telefono, ma anche credenze religiose, orientamento sessuale e politico, la nostra posizione geografica. Informazioni apparentemente innocue, ma che nelle mani sbagliate possono venire usate per organizzare delle truffe estremamente efficaci.

Per questo motivo, l’UE è corsa ai ripari prima con le regole sui cookie e successivamente con il GDPR, che ha contribuito a diffondere maggiore consapevolezza al grande pubblico. Un vantaggio per gli utenti, che così hanno un maggiore controllo sui propri dati, potendo decidere se accettare i cookie o meno. E avendo la certezza che se anche accettano i cookie, i dati non usciranno dai confini europei. Proprio sulla base del GDPR, sta anche cambiando radicalmente il modo di analizzare i dati relativi ai visitatori del proprio sito web: Google Analytics, infatti, non è a norma e già da qualche mese tutti i siti dovrebbero aver effettuato il passaggio a Google Analytics 4 che, come spiega Zambon, è molto più potente e granulare ma, allo stesso tempo, più rispettoso della privacy. E un po’ più complicato da usare rispetto alla precedente incarnazione. “Google Analytics 3 è come un vestito comprato dalla grande distribuzione, mentre GA4 è l’equivalente di un abito sartoriale”, spiega Zambon, sottolineando che non solo i webmaster e gli inserzionisti dovranno formarsi per comprendere come usare questo nuovo strumento, ma dovranno anche rivedere le loro strategie. Se meno persone infatti accettano i cookie, fornendo sempre meno dati agli inserzionisti, questi ultimi dovranno escogitare altri metodi per interagire col loro pubblico, tornando per certi versi alle origini, per esempio facendo leva su newsletter o liste di contatti acquisiti legalmente, e non più solo sui dati di navigazione.

Il punto sulla cybersecurity: norme e consapevolezza

Giorgia Dragoni ha colto l’occasione per evidenziare gli ultimi dati dell’analisi di Clusit (ne abbiamo parlato qui), sottolineando l’enorme incremento di attacchi informatici nei confronti dell’Italia. La Dragoni sottolinea l’importanza degli investimenti, che in Italia sono ancora troppo bassi, ma ha toccato un punto chiave: quello della consapevolezza, che fortunatamente è in aumento. E le nuove norme, come DIS2 e DORA, sono un ottimo passo in avanti: dimostrano che le istituzioni hanno realizzato la necessità di intervenire, delineando dei quadri normativi e sottolineando l’importanza di proteggersi adeguatamente. Se esistono norme specifiche, è perché esiste un reale pericolo, e come sottolinea lo psicologo Zizzadoro, “se un’azienda si sente in pericolo, smuoverà fondi per evitare attacchi”. Ma è altrettanto importante non scaricare le colpe di eventuali errori sulle persone. Può capitare a tutti, anche ai più attenti, di cliccare per errore su una mail di phishing, anche perché sono confezionate sempre meglio. Qui la soluzione deve essere tecnologica: sono gli algoritmi e le contromisure, secondo Zizzarodo, a doversi segnalare i pericoli.

Le soluzioni per la sicurezza di Attiva Evolution

Attiva Evolution distribuisce svariate soluzioni della sicurezza, fra cui quelle di SonicWall, Kaspersky e molti altri vendor, anche meno noti. Fra questi Ermes, spinoff dell’Università di Torino che fa leva sull’IA per proteggere i dispositivi. Al contrario delle classiche soluzioni di sicurezza, basate sulla reputazione, la tecnologia di Ermes sfrutta l’IA per analizzare i comportamenti e individuare quelli inattesi, che possono essere indicatori di un attacco informatico. La soluzione fa leva su un agente che va installato sull’endpoint e che è in grado di proteggere la sua navigazione, filtrando il traffico anche in assenza di una VPN.

Il suo punto di forza è la velocità di rilevazione, soprattutto nel caso delle vulnerabilità zero day, che è molto superiore alle soluzioni tradizionali, secondo i suoi sviluppatori. Va detto che la soluzione di Ermes non è in grado di coprire tutte le esigenze delle imprese, ed è complementare ad altre soluzioni.

Tornando al tema dell’essere consapevoli, Diego Fasano, Business Development Manager di Chimpa, ha voluto “giocare” col pubblico, mostrando all’inizio della sua presentazione un QR Code e invitando i presenti a inquadrarlo. Per poi affermare di aver installato un malware sui telefoni di chi ci era cascato.

Naturalmente, non esisteva nessun malware, ma Fasano con questo semplice gesto ha mostrato quanto sia facile cascare in una trappola. Molti dei partecipanti, infatti, non hanno esitato a inquadrare il codice, considerandosi all’interno di un ambiente sicuro: eravamo a una conferenza di cybersecurity del resto. E questo dimostra che non bisogna dare alcuna fiducia, a nessuno, e applicare sempre logiche di tipo zero trust. La soluzione proposta da Chimpa fa proprio questo: si tratta di un software da installare sui dispositivi mobili che unisce le funzionalità di Unified Endpoint Management (UEM) e quelle di Mobile Threat Defense (MTD).