¿Alguna vez imaginó que una de las principales ciberamenazas que afecta a nuestro país es un gusano de 2008? ¡Cómo saber hoy sobre la viruela en Italia!
Los términos "ciberseguridad" y "ciberseguridad" se han utilizado en exceso durante demasiado tiempo. Son por quienes consideran el campo una oportunidad de salidas que pueden compensar u ocultar incapacidades políticas personales muy graves, son por quienes comentan cómo fueron "éxitos" señales de peligro inminente.
Cada vez más preocupados por los riesgos cibernéticos en nuestro país, hemos oído hablar de Microsoft, representado por el ingeniero Carlo Mauceli, para tratar de comprender lo que piensa.
¿Cómo evalúa Microsoft la situación cibernética en Italia?
Hablaré con Microsoft pero sin olvidar ser italiano y, por lo tanto, inmediatamente digo que la comparación entre Italia y muchos de los países que usamos generalmente como términos de comparación está en contra nuestra y no parece estar mejorando.
Te daré un ejemplo para que quede claro. Hace unos días, en ITASEC I y algunos colegas, analizamos cuáles son las principales infecciones contra las que luchan las empresas italianas. Increíblemente nos dimos cuenta de que se trata de Conficker, un gusano del 2008, del cual todo se sabe y que habiendo transcurrido años prácticamente debería haber desaparecido. Así que, de hecho, está en la mayoría de los otros países, mientras que en nuestro no.
¿Qué significa esto? Significa muchas cosas: obsolescencia, falta de sensibilidad, desinformación, poca inclinación a la colaboración (especialmente en lo que respecta a las asociaciones entre lo público y lo privado) y Falta de inversiones en el sector informático.. Tanto en el mundo de las administraciones públicas como en el sector privado, especialmente para las pequeñas y medianas empresas, seguimos presenciando la presencia de computadoras con más de diez años de vida, sistemas obsoletos y aplicaciones obsoletas. Pero no sólo. Lo que llama la atención es que es necesario cambiar de actitud y postura si realmente quieres enfrentarte a esta situación.
Por no mencionar el software de aplicación ... desarrollado en el pasado sin ninguna atención a la seguridad y, desafortunadamente, todavía presente y, por lo tanto, extremadamente riesgoso.
No tienes que mirar demasiado lejos para aprender y mejorar. Si conoces el riesgo y el enemigo, puedes luchar, pero si pretendes que el problema siempre es otra persona y que somos los mejores y no corremos ningún riesgo ... bueno, en este caso, lo que se nos presenta no es otra cosa. Eso es lo que nos merecemos.
Uno de los problemas que veo en Italia es su aislamiento. No podemos seguir aislados, necesitamos unirnos a los demás y trabajar juntos. Mire, por ejemplo, los Países Bajos y Gran Bretaña y aún Francia y Alemania que a través de inversiones sustanciales, organización, asociaciones público-privadas y seriedad han logrado crear un sistema nacional capaz de ayudar tanto a las administraciones públicas como a Empresas y particulares.
El tejido industrial italiano está hecho para el 95% de las pequeñas y medianas empresas, si el Estado no las trata, a través de inversiones y exenciones fiscales para quienes realicen mejoras tecnológicas, ¿quién debería cuidarlas?
¿Qué se necesita para que Italia sea competitiva?
Comencemos con algunos ejemplos de otros países para comprender cómo enfrentaron uno de los problemas más importantes del momento. Los Países Bajos estiman que 2020% de su producto nacional bruto (PIB) estará compuesto por la economía digital por 25 y que el bienestar económico dependerá cada vez más de una economía digital que funcione, sea segura y confiable. Por lo tanto, el gobierno holandés se ha fijado como un objetivo fundamental para proteger y fortalecer el sector de las TIC y está invirtiendo en la seguridad cibernética del país mediante la asignación de 300 € en cuatro años para la ciberseguridad y la implementación de reformas estructurales para facilitar el logro de sus objetivos.
En 2015, el Reino Unido se ha fijado el ambicioso objetivo de convertirse en "el lugar más seguro del mundo para realizar" negocios en línea "y ser un líder mundial en el campo de la ciberseguridad. Para lograr estos objetivos, el Reino Unido lanzó una nueva Estrategia Nacional de Seguridad Cibernética en 2016, asignó casi 2 mil millones de libras en cinco años para la ciberseguridad e inauguró el nuevo Centro Nacional de Seguridad Cibernética como una autoridad nacional de ciberseguridad, responsable de Respuesta a los ciberataques con impacto nacional, el intercambio de información entre los actores involucrados, la reducción de los riesgos generales para la seguridad informática del sistema nacional, la asistencia a los organismos y organizaciones que la necesitan, la difusión de información pertinente y la gestión. La Asociación de Intercambio de Información de Seguridad Cibernética (CiSP), una herramienta que permite el intercambio de información entre organizaciones y proporciona asistencia específica cuando sea necesario. Además, se lanzó el programa Cyber Essentials, un conjunto de criterios y estándares que garantizan la seguridad informática básica y una relación costo-beneficio para organizaciones de todos los tamaños y en todos los sectores para ayudarlos a protegerse de los riesgos cibernéticos más comunes. y aumentar su resistencia a los ataques cibernéticos.
¿Qué hicimos en Italia?
Se ha definido el marco de seguridad nacional, se ha designado al Departamento de Información de Seguridad (DIS) como único punto de contacto y estamos a la espera de la formación del Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) para la notificación de incidentes con impacto significativo más allá haber destinado, durante el gobierno de Renzi, 150 millones de euros de los que no se ha perdido rastro.
Il "¿Gobierno del cambio a cargo?
Con la nueva ley de presupuesto: Un millón de euros al año durante tres años.!
La falta de inversión y la imposibilidad de acceder a un mercado abierto es un problema, no solo para Microsoft, sino para todos y, en última instancia, para el país. En cuanto a la posición de Microsoft, está claro que es una compañía que tiene que lidiar con hacer negocios; sin embargo, frente a elecciones incomprensibles para el desarrollo del país, también nosotros, como empresa, nos resulta difícil crear las condiciones para poder colaborar de manera proactiva.
Como ejemplo, puede decirnos que Microsoft tiene un programa gubernamental gratuito, conocido como el Programa de Seguridad del Gobierno, firmado por los países de 70 en el mundo y que podría ayudar mucho a prevenir posibles incidentes, compartir información técnica y desarrollar productos de acuerdo con las solicitudes de los países. . Con nosotros, aún no hemos logrado firmar este acuerdo a pesar de nuestros esfuerzos y el interés de los interesados.
¿Por qué?
Sinceramente, no tengo una respuesta. Y es una pena, porque si se examina más de cerca, no solo es un interés de Microsoft, sino también de todos aquellos que lo aprovecharán en Italia ... debe ser el interés de todos.
El tema de las inversiones es importante: ayudar al desarrollo de las pequeñas y medianas empresas sirve para difundir la cultura cibernética, capacitar a expertos de la industria y sentar las bases para una competitividad cada vez mayor del mercado.
¿Cuáles son los principales obstáculos que hasta ahora han impedido el desarrollo del sector?
Uno de los principales problemas lo concierne. intercambio de información.
El intercambio de información debe fomentarse en todos los niveles, tanto entre técnicos como entre gerentes y gerentes. Si conozco al enemigo, puedo usar la prevención ... pero si no tengo idea de lo que me sucede a mi alrededor ... ¿qué estoy haciendo?
Cuando nos llaman para responder a un incidente, proporcionamos nuestros conocimientos y experiencia en el campo, tanto con recursos humanos, un Equipo de Respuesta a Incidentes, como con soluciones que nos permiten brindar a los clientes lo último en tecnología. y así poder intervenir. Microsoft de estos equipos tiene varios en acción al mismo tiempo en el mundo y esto nos permite recopilar información útil, información que con la debida atención se puede compartir. Lo mismo se espera de una organización que se haga cargo de este tipo de problemas. Estas actividades de conexión y coordinación deben ser asumidas por el estado, con la participación correcta de la industria, nacional o de otro tipo.
Francia y Alemania están por delante de nosotros, como Holanda y Gran Bretaña, por lo que observamos lo que hacen y cómo lo hacen y aprendemos ... con modestia.
También debemos respetar las reglas, tanto la directiva GDPR como la directiva NIS, pero no podemos pensar que la ley haya resuelto el problema. La regla es necesaria, pero luego se necesita a alguien que se ensucie las manos y haga el trabajo en el campo y esto, por ahora, no se ve.
¿Qué piensa acerca de la reorganización anunciada del sector que vería al Ministerio de Defensa a la vanguardia del desarrollo cibernético del país?
Escuché esta noticia durante la convención de Pisa. En general, hay organizaciones separadas en los otros países, un estado que apoya a todos y regula el tema y una organización separada para la FA, también porque las tareas de las fuerzas armadas son diferentes. En mi opinión, no creo que pueda ser una solución correcta si interpretara bien las palabras del Ministro Trenta. Ciertamente, el marco nacional es cada vez más complejo, caracterizado por demasiados niveles de responsabilidad que dificultan un enfoque coherente.
Como creo que ya he dicho, es mejor detenerse por un momento y reflexionar, mirar lo que hacen los demás. De los demás, de nuestros vecinos, siempre podemos aprender sin copiar, quizás pidiendo con humildad. Usando herramientas y análisis ya realizados por otros, puedes encontrar algo que nos ayude, ¡tal vez sin esperar demasiado!
¿Entiendo que cree que las fuerzas armadas no tienen la fuerza para hacer un trabajo como este para todos?
Bueno, confío en lo que veo. Por el momento solo veo el CIOC (Comando de Interforces para Operaciones Cibernéticas, ed).
Ahora, la CIOC tiene poco que ver con el mundo privado. Debería tener cuidado de prepararse para las intervenciones en las que la seguridad nacional está en riesgo, de acuerdo con las lógicas militares.
A menos que uno quiera decir que estamos en guerra con todo el mundo y, incluso en este caso, el CIOC no parece suficiente.
¿Microsoft pretende invertir en Italia? Si no, ¿por qué?
En Italia es muy difícil trabajar en el sector de la seguridad, especialmente en el sector público porque la seguridad pasa a través de los proveedores que ganaron la carrera SPC (Sistema de conectividad pública, ed). Esto significa que si una administración pública necesita proveedores como Microsoft, Mandiant, FireEye, etc. Debido a que emplean tecnologías específicas o simplemente porque confían en estas organizaciones, no pueden hacerlo directamente. Creo que esto no ayuda, sobre todo, desde el punto de vista del desarrollo de capacidades y la competitividad.
¿Es razonable pensar que la Defensa se encarga del desarrollo del sector? ¿No corres el riesgo de falta de estímulo a la sociedad? Tomo el ejemplo de los atletas de alto nivel ...
Por supuesto, es exactamente así también. La sociedad civil debe desarrollar sus capacidades que deben servir para operar en casos normales. La Defensa debe ingresar en casos de emergencia, de guerra, no siempre, de lo contrario "drogará" el mercado.
El objetivo de Defense Online es informar a un público grande y no especializado (quizás deseado), con la esperanza de que aquellos con responsabilidades tomen las correcciones necesarias ...
Te sigo, comparto y aprecio tus esfuerzos, lamentablemente la situación italiana es esta: Los municipios y las ciudades metropolitanas, para dar un ejemplo, están completamente abandonados a sí mismos..
La mayoría de los sistemas que vemos diariamente durante nuestras intervenciones son absolutamente inseguros, debido a la falta de fondos y la falta de personal técnico capacitado, pero principalmente debido a la falta de administración para considerar la seguridad como un elemento clave de ambas infraestructuras y aplicaciones.
Que hacer En primer lugar, organizamos la organización, creamos cada vez más sensibilidad, capacitamos a las personas y razonamos de acuerdo con una lógica estatal que apoya tanto al mundo privado como al público.
De lo contrario nunca seguiremos ...
Esta situación lleva a un punto muerto.
Es necesario crear un núcleo cibernético nacional que pueda moverse libremente, incluso llamando a empresas adecuadas según el caso.
Necesitamos simplificar las reglas administrativas, no complicarlas y hacerlas incomprensibles.
¿Qué harías para preparar a los militares en el sector cibernético?
Preparar al personal es una cosa difícil, mantenerlo en la organización es muy difícil.
Necesitamos crear sensibilidad y crear personas ya desde las escuelas, a partir de la escuela secundaria. La seguridad debe ser vista y enseñada de manera integral, desde los estándares hasta la tecnología y el análisis de riesgos.
Los cursos necesarios deben ser incluidos en todas las universidades de Italia; En este campo se han logrado algunos avances, pero aún estamos lejos de lo que se necesita.
Para los militares, entonces necesitas crear "maestros", me pasas el término, de varios tipos que aumentan la conciencia y especialmente la preparación para los grados 360.
El problema en Italia es que durante años, desafortunadamente, se desperdician ríos de palabras pero no es posible poner las iniciativas correctas en el terreno.
El presidente de Microsoft, Brad Smith, en los últimos días fue recibido por el Papa. ¿Puede decirnos algo más?
Sí, el tema de la visita es la Inteligencia Artificial. Incluso en el Vaticano nos interesan las innovaciones tecnológicas y todo lo que implican, especialmente en términos de ética. Durante la entrevista privada, nuestro presidente de la División Legal ilustró las perspectivas relacionadas con la Inteligencia Artificial y los problemas éticos relacionados con ella, pero también los grandes beneficios para la humanidad que puede aportar. Microsoft junto con la Academia Pontificia para la Vida promoverá un premio internacional sobre ética en inteligencia artificial, que será el tema principal de la Asamblea Plenaria de 2020.
Brad Smith también habló sobre la nueva inversión de Microsoft en Italia, "Ambition Italy". Un ambicioso proyecto que apunta a acercar a los jóvenes al mundo digital 200.000, con la esperanza de que algún día se conviertan en profesionales del sector.
De hecho, no olvidemos que Italia es un país muy particular en el que hay un alto desempleo, pero en el sector cibernético y en el digital hay una escasez crónica de personal capacitado.
En Italia, las opciones a menudo se posponen hasta que es demasiado tarde. Frente a una nueva tecnología, puedes elegir si administrarla o combatirla, lamentablemente aún no hemos decidido qué lado tomar.
Quiero tener confianza y creer que la luz se enciende pronto para no dispersar el equipaje de excelencia que ha nuestro pais
Foto: web / NCSC Países Bajos / Ministerio de Defensa
