Nicola Vanin di Cedacri sull’evoluzione della Cybersecurity con il Recovery Fund

Nicola Vanin di Cedacri parla di come la cybersecurity sia evoluta, ma il Recovery Plan sta creando una cultura digitale che potrebbe comportare un salto di qualità per il paese. 

L’ospite del podcast è Nicola Vanin, Chief Information Security Officer di Cedacri, azienda leader nella fornitura di servizi di information technology per banche e istituzioni finanziarie che è uno degli esperti più conosciuti in Italia di cybersecurity. Con Giulio Coraggio, Partner e Head of Italian Technology Sector di DLA Piper, ha discusso dell’evoluzione dei rischi relativi alla cybersecurity e di come le aziende debbano prestare una crescente attenzione alla gestione e alla protezione dei dati nel contesto che emerge dal Recovery Fund.

Il podcast è disponibile di seguito e su Apple PodcastsGoogle PodcastsSpotify e Audible

Ripubblichiamo questo podcast che è parte dell’iniziativa Momentum realizzata da DLA Piper sul recovery plan e sulle opportunità che possono sorgere per le imprese con la spinta verso la digitalizzazione prevista nel PNRR approvato dal Governo.

Su di un simile argomento, può essere interessante il podcast “Il presente e il futuro della cybersecurity con Pierluigi Paganini” e per ricevere la nostra newsletter settimanale sul mondo dell’innovazione, Innovation Law Insights, potete scrivere a eventi@dlapiper.com

Trovate di seguito la trascrizione del podcast:

Giulio Coraggio: Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology di DLA Piper e questo è il podcast “Momentum” e sono felice di essere qui con Nicola Vanin, CISO di Cedacri. Buongiorno Nicola, grazie di aver accettato il nostro invito.

Nicola Vanin: Ciao Giulio, grazie a voi per l’invito. Sono davvero molto felice di essere qui con voi oggi.

Giulio Coraggio: Chiariamo prima di tutto per cosa sta CISO, Chief Information Security Officer, e quindi tu controlli la sicurezza di un gigante come Cedacri che fa dei dati un valore, ma hai esperienza di oltre vent’anni nella sicurezza e cybersecurity che nel pilastro relativo alla digitalizzazione del PNRR è uno degli elementi più rilevanti. Ci racconti però i vari step della tua carriera e come il rischio cyber è cambiato negli anni perché si dice sempre che nella cybersecurity un anno equivale a 10 anni.

Nicola Vanin: E’ vero Giulio, hai detto benissimo sono cambiate molte dinamiche, molti tipi di rischi informatici sono rimasti sempre ma anche alcune modalità di approcciare i rischi legati alla sicurezza informatica fanno fatica a cambiare, quando invece noi tutti dovremmo in qualche modo cercare di maturare.

Questa tematica ho iniziato immediatamente ad approfondire, attraverso corsi di informatica, libri, più di tanto studio su tutta una serie di concetti di rete che speravo in qualche modo mi dessero la possibilità un giorno di trovare un lavoro a tempo pieno che mi desse finalmente la possibilità di essere una specie di cyber detective.

Proprio nell’ambito della tecnologia della sicurezza sono riuscito quindi a realizzare quelle che erano appunto le mie passioni. Prima in una grande multinazionale come IBM dove ho iniziato a capire come integrare alcuni concetti che avevo appunto appreso all’interno di dinamiche aziendali che sono molto più complesse e questo mi ha portato ad un nuovo step di complessità quando sono entrato nel gruppo Telecom Italia che è uno dei leader assoluti nel mercato italiano per quanto riguarda l’innovazione la tecnologia è anche la sicurezza informatica. Ebbene qui Giulio ho avuto l’opportunità di diventare a mio avviso un esperto di sicurezza informatica, non un hacker, ma un esperto di sicurezza informatica. Ho analizzato i sistemi informatici per testarne la solidità.  C’è bisogno sicuramente di esperti molto bravi per riuscire a trovare delle eventuali vulnerabilità all’interno di sistemi informatici, quello che invece io ho imparato a fare all’interno di queste due grandi multinazionali è di capire come fare sicurezza informatica, confrontandomi con altri attori aziendali, con altri dibattimenti che devono in qualche modo gestire per il loro tipo di attività lavorativa anche dei concetti fondamentali di sicurezza informatica come ad esempio dipartimento Legal che tocca i rappresenti.

Quindi anche con gli aspetti legati diciamo la parte più di gestione dei dati di protezione dati dal punto di vista privacy, ecco c’è stato l’occasione da parte mia di riuscire a integrare tutte quelle che erano le conoscenze particolari di tipo tecniche anche con delle esperti legali proprie invece alla compliance, la gestione e la protezione dei dati per soddisfare i requisiti normativi particolarmente stringenti e tu lo conosci molto bene perché ogni giorno ne parli nei podcast, nel tuo blog, con i tuoi interventi sul GDPR, quindi questa è difatti una veloce carrellata di passaggi che mi hanno fatto diventare un professionista della sicurezza informatica però con una particolare attenzione nel riuscire ad incastrare la sicurezza informatica anche all’ambito della data protection.

Ora visto che tu sai che ho una grande passione per la data protection e quindi anche per la privacy per la normativa del GDPR, se non ti dispiace vorrei fare la stessa domanda che mi ha fatto a te su quella che è stata la tua carriera e cosa ti ha fatto diventare un esperto avvocato di tecnologia, di sicurezza informatica e anche di data protection.

Giulio Coraggio: Ti devo dire in totale trasparenza che quando io ho iniziato a occuparmi di data protection molti pensavano all’informativa privacy come la pila di documenti che mettevi sotto al tavolo per tenerlo dritto e così è stato onestamente dire fino a 7/8 anni fa. C’era una normativa, ma non c’erano grandi investimenti nel settore. Poi si è iniziato a parlare di trattamento dei dati personali in parallelo con la crescita del mercato del cyber che è aumentato vertiginosamente e quindi il rischio cyber si è concretizzato come un rischio che poteva mettere in ginocchio un’azienda.

Nelle ultime settimane abbiamo visto degli attacchi ransomware, ma non so se lo sai noi qualche anno fa siamo stati oggetto di un attacco ransomware. Era l’epoca pre-GDPR però in quel caso mi ricordo che i professionisti dello Studio hanno dovuto portare i propri computer privati, abbiamo dovuto svicciare su di una posta elettronica parallela, non potevamo usare il computer, non potevamo comunicare con il mondo esterno.

Ecco questi erano i primi attacchi ransomware che ora sono diventati sempre più sofisticati perché al tempo in cui noi l’abbiamo subito semplicemente ti criptavano tutti i dati dell’azienda e quindi dovevi ripulire tutti i sistemi informatici per continuare a lavorare. Ora invece la mia esperienza è che gli hacker di solito entrano nel sistema informatico, rubano i dati che poi andranno a commercializzare e poi ti criptano tutta la base dati in modo tale di avere la prova dell’avvenuta esfiltrazione e quindi si è portati a pagare il famoso ransom. A ciò si aggiunga che gli attacchi informatici hanno raggiunto un livello di sofisticatezza a cui la tecnologia o anche le procedure non possono stare dietro, è una battaglia persa.

Nicola Vanin: Prima di risponderti, permettimi di fatti ancora i complimenti perché la trasparenza parlare di attacchi informatici che la propria organizzazione ha subito. E’ qualcosa che merita sempre un grande rispetto che su questo devo dire che lo studio legale che rappresenti qui ha fatto sempre di questa esperienza, a mio avviso, una fonte di insegnamento non solo per migliorare la propria sicurezza informatica, ma anche per cercare di divulgare quelle che erano le best pratices verso un po’ tutto il mondo the legal non sono nel mercato italiano ma che in quello mondiale. Quindi da questo punto di vista tanto di cappello.

Quanto invece riguarda la seconda domanda non ti nascondo che gli attacchi informatici che in questo momento riempiono un po’ tutti i quotidiani per la loro importanza, molto spesso infatti colpiscono le culture e strategie che fanno in qualche modo andare avanti un paese. Vediamo ad esempio il caso di quel gasdotto negli Stati Uniti che ha causato forti problematiche di carburante per tutta una zona particolarmente e industrializzata degli Stati Uniti d’America e bene quello che si è dimostrato con quel tipo di attacco e con altri tipi di attacchi molto simili è che il veicolo per inserirsi all’interno dei sistemi informatici della vittima molto spesso sfrutta delle vulnerabilità che sono legate o alla poca cultura informatica delle persone che devono in qualche modo proteggere il perimetro aziendale oppure ai sistemi informatici che non sono mantenuti aggiornati rispetto ai requisiti minimi di sicurezza che sono necessari in questo momento.

Quindi io non ho visto attacchi informatici particolarmente sofisticati piuttosto ho visto una velocità enorme da parte delle aziende di abbracciare la tecnologia, trascurando aspetti di information security e di data protection.

Giulio Coraggio: Assolutamente, in questo contesto il piano del governo prevede l’identificazione degli asset che sono parte del periodo di sicurezza nazionale cibermetica con la attuazione della Direttiva NIS, e la Direttiva NIS 2 che dovrebbe arrivare nei prossimi mesi.

Però stiamo parlando a volte di investimenti tecnologici ma la tecnologia corse non può andare da sola, senza che c’è un cambiamento comportamentale degli individui, ma se non sbaglio ancora oltre 80% degli attacchi cyber sono dovuti allo human error. Quindi la tecnologia va avanti, la tecnologia non può concretizzarsi in un monitoraggio a 360 gradi dell’individuo, altrimenti avremo altre problematiche. Forse la chiave di lettura dell’iniziativa nella cybersecurity del Recovery Plan è di creare una cultura digitale, forse questo è l’elemento che distingue questa iniziativa della digitalizzazione rispetto agli investimenti che abbiamo visto con le varie leggi comunitarie, finanziarie e la legge di stabilità degli ultimi anni.

Nicola Vanin: Sì hai detto davvero bene Giulio, quello che è successo nell’Italia negli ultimi due anni ha spinto molto sull’acceleratore in fatto di innovazione e digitalizzazione, ma questi due termini sono anche sinonimo di maggiore vulnerabilità al cybercrimine e quindi c’è necessità di una maggiore sicurezza informatica dei cittadini. In questo, la pandemia ha in qualche modo ulteriormente incentivato il cybercrimine con la crescita della digitalizzazione e nel cercare eventuali crepe prima di abbracciare tutta una serie di nuove tecnologie video ad esempio. Il cloud è diventato una fetta particolarmente importante di molte organizzazioni, trascurando quelli che erano i requisiti fondamentali di una struttura aziendale, appunto proteggere i propri sistemi, i propri dipendenti, la propria reputazione. In tal senso, Giulio io ci tengo particolarmente a sottolineare che dobbiamo ringraziare il GDPR per aver introdotto in qualche modo la capacità di patteggiare il proteggere strutture strategiche dove tutti noi cittadini sempre più dipendiamo e che in qualche modo indirettamente ci sensibilizza anche nell’approcciare la nostra vita quotidiana e quella nei nostri uffici con tutta una serie di buoni comportamenti per evitare gravi incidenti informatici. Penso ad esempio ecco all’interno delle nostre aziende evitare il blocco della produzione o dei servizi a seguito appunto di un evento cyber, evitare che tutti i nostri dati sensibili vengano cifrati e questo vale ovviamente sia all’interno delle nostre mura aziendali, ma anche in quelle delle nostre case che guarda caso sono diventate anche i nostri uffici e poi ancora Giulio che cosa mi racconti sull’aspetto delle sanzioni. Le sanzioni dovute proprio ai data breach, quanti eventi che tu hai seguito nella tua attività lavorativa di aziende che hanno dovuto in qualche modo rispondere a causa di infiltrazioni di dati di pochi utenti o di propri incidenti ad una sanzione dell’autorità garante.

Giulio Coraggio: E’ assolutamente rilevante quello che dici. Ti devo dire che nella nostra esperienza abbiamo visto anche situazioni, che io definisco molto tristi, in cui ci sono state aziende che per almeno due settimane hanno bloccato la produzione, ma non stiamo parlando di strutture che vivono i dati personali stiamo andando di dati industriali. Se il sistema informatico dell’azienda non funziona, la catena produttiva non funziona e quindi hai da un lato i tuoi fornitori che consegnano i prodotti e tu non riesci a fornirli ai tuoi clienti.

Poi una cosa che viene sottovalutata è il danno enorme reputazionale, abbiamo avuto casi in cui il cliente del nostro cliente ha subito un attacco cyber, ma al di là degli adempimenti, notifiche e quant’altro, c’era la posizione del nostro cliente che per policy aveva deciso di non più lavorare con quel determinato soggetto perché aveva riscontrato delle mancanze informatiche. Ecco quindi da un lato hai la sanzione che può far paura, ma da un altro lato c’è anche il danno di business che a volte ti può mettere certamente più in difficoltà rispetto ad una sanzione GDPR.

Tu hai accennato il fatto anche del cloud e il PNRR prevede una strategia cloud, prevedendo la creazione di un cloud nazionale ma prevede anche l’utilizzo delle piattaforme cloud esistenti e tutto questo succede nel contesto in cui c’è stata da quasi un anno la sentenza Schrems 2 che ha prodotto delle criticità rispetto al trasferimento dei dati al di fuori dello Spazio Economico Europeo e in particolare negli Stati Uniti. Ecco secondo te come si concilia utilizzare il cloud che sembra quasi una moda piuttosto dell’esigenza e i rischi regolatori, cioè come della tua esperienza e riusciamo a far mettere insieme queste due componenti.

Nicola Vanin: Allora se mi permetti una battuta, questo si tramuterà in qualche modo per te in una grande mole di lavoro perché dal punto di vista di nuovo della compliance e dal punto di vista della sicurezza informatica ecco devono davvero fare molto, spero però che entrambi possiamo trovare dei clienti che siano in qualche modo reattivi nel riuscire ad adattarsi a quelle che sono delle misure, a mio avviso obbligatorie e standard, che dobbiamo subito cercare di integrare all’interno di questo percorso del paese italia. Quindi venendo specificamente alla tua domanda, l’infrastruttura attuale delle informazioni è particolarmente frammentata e quindi in qualche modo mettere in sicurezza i dati di interesse strategico nazionale all’interno di strutture tecnologiche moderne che in qualche modo possono soddisfare ed eliminare tutti quelli che sono degli aspetti negativi legati alla obsolescenza tecnologica che sono una caratteristica molto forte della pubblica amministrazione italiana. Il cloud come tu hai detto benissimo in qualche modo nel suo percorso ha dovuto affrontare anche la Schrems 2 e tutto quello che ha portato proprio nel conciliare il trasferimento di dati personali dei cittadini italiani dei nostri colleghi, i nostri dipendenti al di fuori dell’Unione Europea.

Giulio Coraggio: Questo comprende anche l’ipotesi in cui i server sono accessibili per esempio per esigenze di customer support da fuori dell’Unione Europea perché la maggior parte delle piattaforme cloud garantiscono la possibilità per i server del mio europea ma raramente garantiscono che non ci sia accesso da fuori dell’Unione Europea. Il rischio è ancora abbastanza elevato e quindi è necessaria anche qui particolare attenzione, affidarsi qui a degli esperti che possono mappare esattamente tutte le dinamiche di questi provider, offrire diverse soluzioni ai propri clienti.

Nicola Vanin: Su questo volevo prima conoscere l’attuale tua opinione da esperto sulla sentenza Schrems 2 che è stata particolarmente complessa per tutte le organizzazioni italiane affinché venissero garantite determinate condizioni per quelli che sono i dati dei cittadini dell’Unione Europea e all’inizio di questo mese sono uscite le nuove Clausole Contrattuali Standard che facilitano il lavoro per quelle che sono delle complessità. Però bisogna iniziare un percorso particolarmente complesso affinché tutta una serie di misure aggiuntive proprio di sicurezza vengano garantite nel momento in cui ci affidiamo ad una società che può anche offrire servizi di altro tipo come quelli di sicurezza informatica ma che utilizzano dati personali dei nostri clienti gli utenti insomma dell’Unione Europea e quindi sono trasmessi al di fuori del appunto Unione Europea ecco. Su questo avevo davvero molto piacere scambiare con te qualche qualche opinione cosa ne pensi di queste nuove Clausole Contrattuali Standard e ho un po’ avuto percezione che c’è stata particolare difficoltà da parte di tutte le organizzazioni a integrarle con quello con gli schemi già adottati o percorsi tecnologici che avevano già in qualche modo iniziato ad affrontare.

Giulio Coraggio: Hai assolutamente ragione nel dire che la maggior parte delle aziende di medio/grandi dimensioni erano già in cloud, ma hanno dovuto iniziare a negoziare con i colossi del Tech, nuovi obblighi nel trasferimento negli Stati Uniti, al di fuori dello Spazio Economico Europeo, in un contesto normativo che era ancora incerto.

Secondo me le Clausole Contrattuali Standard forniscono un aiuto perché includono il data processing agreement, la nomina a responsabile del trattamento, ponendo degli oneri alquanto gravosi a carico del data importer e quindi del soggetto che li riceve al di fuori dello Spazio Economico Europeo, adesso il fatto che hanno posto a chiare lettere che bisogna fare una valutazione del trasferimento al di fuori dello Spazio Economico Europeo e su questo il nostro studio ha sviluppato un tool di legal tech per automatizzare questa valutazione supportata anche con la valutazione di paesi terzi da parte dei nostri colleghi europei. Abbiamo quindi cercato di rendere meno gravoso un’attività che comunque è molto gravosa.

Questo dibattito è stato certamente molto interessante, cybersecurity e privacy a volte sono viste come il diavolo e l’acquasanta nel senso che da un lato devo combattere contro i criminali da un altro lato devo proteggere gli individui dove invece secondo me bisogna usare la sicurezza tecnica e la sicurezza dei dati devono intrecciarsi tra di loro e soltanto in questo modo possiamo garantire che questa realizzazione non si traduca in un rischio maggiore per le aziende perché le aziende da un lato hanno la necessità di accelerare questa digitalizzazione sempre più, altrimenti non sono più competitive da un’altra parte devono tutelare la sicurezza dell’azienda quando faranno sempre più affidamento sulle macchine il rischio cyber diventerà sempre maggiore quindi è una coperta corta.