Leonardo Casubolo, CISO per Burckhardt Compression AG, ha iniziato la sua carriera come sviluppatore di videogames per poi approfondire il campo della sicurezza informatica e definire la sua carriera di specialista in questo ambito.
Qual è il tuo percorso nella cybersecurity e nella sicurezza digitale, e quali esperienze ti hanno preparato per il ruolo di CISO?
Inizio la carriera IT nel mondo dei videogiochi, quando era un one-man-show business. Sono poi passato a sviluppare software aziendale… da lì, sono passato alla gestione di sistemi aziendali con sempre crescenti responsabilità. Dal mio punto di vista la sicurezza è subito apparsa non come un "add-on" ma come una componente core dei sistemi. Infatti, senza sicurezza non possiamo garantire che essi operino e producano i risultati attesi. E ho subito scoperto che i "virus" potevano sfruttare meccanismi leciti per azioni illecite. Il primo che ho conosciuto era un'infezione del boot sector sui bei flopponi da 5"1/4. Oppure il mio interesse per la sicurezza è stato generato da film come "War Games" o "Tron".
Come gestisci la complessità delle normative e degli standard di sicurezza sempre in evoluzione, come GDPR, NIST, ISO 27001, e come ti assicuri che l'organizzazione sia conforme?
Per quanto riguarda le compliance con le normative relative al trattamento dei dati personali, oltre ai soliti canali su Internet, ho una stretta collaborazione con il nostro studio legale.
Ho incontri periodici con il nostro DPO per verificare che i nostri processi siano allineati con le diverse normative. Come minimo, per quei paesi dove abbiamo presenti siti produttivi.
Per le normative strettamente inerenti alla cybersicurezza, anche qui le news che circolano su Internet sono utili per decidere di focalizzarsi su un argomento. Avendo una collaborazione molto stretta con Microsoft, abbiamo informazioni ufficiali dal canale di Intelligence e non ufficiali derivanti dalle interazioni in vari progetti.
In casi specifici, una volta avuto la notizia che "qualcosa di nuovo è apparso sotto il sole" verifichiamo sul sito dell'ente responsabile.
Ovviamente, anche il networking ha il suo peso.
Quali strategie ritieni cruciali per comunicare efficacemente con il board e convincerlo dell'importanza degli investimenti in sicurezza delle informazioni?
Fortunatamente tutti gli organi direttivi aziendali sono estremamente consci della situazione e la sicurezza informatica ha una priorità molto alta. Questo è assai utile, perché ci ha permesso di instaurare una serie di policy e controlli che, per un'azienda di produzione, non sono affatto comuni. Il mio approccio è sempre stato quello di presentate la situazione e i rischi, magari facendo riferimento a quanto accade nel mondo e citando articoli di cronaca. Evidenziando le possibili ricadute economiche dirette ed indirette. In aggiunta, trovo estremante utile sottoporsi ad un audit terzo da parte di uno dei Big Four. La loro autorevolezza incrementa il livello di attenzione alle tesi presentate.
Come ti prepari ad affrontare le minacce emergenti, come l'uso crescente dell'intelligenza artificiale e dell'Internet delle cose, nel contesto della sicurezza delle informazioni?
Ad oggi non vedo novità che comportino una modifica significativa nel nostro modo di agire e reagire. Provo a fare qualche esempio:
- I servizi resi disponibili come SaaS offrono soluzioni interessanti?
Dobbiamo solo garantire che tali servizi siano conformi con le normative a cui dobbiamo aderire e che offrano garanzie di sicurezza allineate alle nostre esigenze. Caso per caso si tradurrà in: obblighi di geolocalizzazione, specifiche certificazioni e/o audit periodici…
- Dobbiamo dotarci di una soluzione IoT per uno specifico processo?
Anche in questo caso, dobbiamo verificare che la soluzione offra sufficienti condizioni di sicurezza ed implementare soluzioni di contenimento per individuare/controllare eventuali anomalie di comportamento di tale soluzione
- Sicuramente l'Intelligenza Artificiale renderà gli attacchi "generici" più specifici per i singoli bersagli. Aumentando le probabilità di successo, particolarmente nell'area del Social Engineering. Ma, dall'altra parte, anche le nostre difese potranno dotarsi di tecnologie equivalenti. L'importante è scegliere soluzioni/servizi che "tengano il passo"
- Post Quantum Computing. Non l'hai citato, ma reputo sia un'altra delle grandi minacce. In quanto, molto della nostra sicurezza è basata su chiavi pubbliche/provate e può essere rappresentata dall'HTTPS che precede i siti nei nostri browser. Con gli attuali algoritmi, il calcolo quantistico renderà facilmente penetrabili queste difese. Ma, anche qui, parallelamente evolveranno opportune soluzioni che dovremo adottare. Come è già successo con il passaggio da HTTP and HTTPS e con tutta l'evoluzione della crittografia.
Quali misure implementi per garantire la sicurezza dei dati e delle informazioni sensibili durante il lavoro da remoto diffuso, considerando il cambiamento nei modelli di lavoro?
La misura fondamentale è consistita, dove possibile, nel migrare a soluzione "cloud native". Le società che erogano soluzioni SaaS e PaaS, come conseguenza del modello di business, hanno la necessità di garantire che le loro soluzioni non siano facilmente attaccabili e siano di facile utilizzo. Inoltre, continuano ad evolvere, opponendosi alla crescente aggressività degli attacchi informatici. Basta vedere l'evoluzione del Multi Factor Authentication per garantire l'identificazione dell'utente. Prima gli SMS, poi un popup da approvare ed ora un popup in cui inserire un dato presentato nella schermata del prodotto.
Per gli altri casi, ad oggi, ancora ci appoggiamo alle VPN. Stiamo considerando le soluzioni di ZTNA, ma il mercato è ancora fluido. Microsoft ha in preview una sua soluzione.
In un mondo in cui la privacy dei dati è sempre più importante, quali politiche e procedure metti in atto per garantire la protezione delle informazioni personali dei clienti e dei dipendenti?
In collaborazione con l'ufficio legale ed HR, oltre alle misure tecniche e verificare che i servizi in cui sono trattati dati personali sono erogati da paesi ritenuti conformi dalle varie autorità, provvediamo ad aggiornare i corsi di onboarding e formazione per i dipendenti. Aiutando i nostri colleghi a rispettare le normative dei vari paesi in cui operiamo.
Nel contesto delle tecnologie operative (OT) e del settore industriale, quali sono le principali preoccupazioni in termini di sicurezza delle informazioni e quali strategie metti in atto per proteggere i sistemi critici e garantire la continuità operativa?
Il problema esiste da anni. Molte aziende che operano nei servizi ausiliari alla produzione non hanno un'appropriata sensibilità riguardo i rischi informatici.
Pertanto, in un'ottica di contenimento del danno ed individuazione delle infezioni, da anni abbiamo in piedi una soluzione di micro-segmentazione della rete che ispezione e controlla le comunicazioni tra i singoli host. Ovviamente, le comunicazioni sono ristrette a quanto strettamente necessario. Inizialmente c'è stata una certa resistenza da parte dei colleghi in produzione. Ma è bastato riunirsi e chiarire le differenti necessità per trovare soluzioni soddisfacenti per tutti.
Come pianifichi e implementi la sicurezza delle informazioni per far fronte alle sfide uniche del settore industriale, comprese minacce come il cyber-attacco a infrastrutture critiche e l'interconnessione sempre maggiore tra sistemi IT e OT?
Focalizzandosi sulla parte produttiva, possiamo notare che esistono due macroaree:
- Sistemi/parte dei che usano tecnologie IT (come i PC usati come console dei sistemi di produzione).
- Sistemi/parte dei che usano tecnologie OT specifiche (come i PLC)
Nel primo caso, estendiamo le stesse tecnologie che usiamo per proteggere i nostri PC nella parte uffici. Nel secondo caso, ricorriamo alla micro-segmentazione precedentemente citata e alla verifica del traffico tra i dispositivi. Fondamentale è che il management accetti che dei "falsi positivi" possano creare dei problemi. Senza questa accettazione, reputo difficile applicare una qualsiasi protezione.
Quali ritieni saranno le principali sfide per un CISO nel 2023, sia a livello tecnologico che strategico, e come intendi affrontarle?
Fondamentalmente un continuo aumento del numero degli attacchi, l’aumento dei vettori di attacco (adesso anche l’instant messaging, come Teams, sta diventando “popolare”) e, naturalmente, il fatto che l’uso dell’intelligenza Artificiale permetterà di realizzare degli attacchi tecnicamente specializzati e, nel caso il bersaglio siano vulnerabilità umane, ancora più credibili. In quest’ultimo caso, la revisione dei processi e una propria formazione del personale sarà cruciale.
