Il ceo della startup italiana HN Security, Giannandrea Tateo, spiega costi e scopi degli attacchi informatici simulati per migliorare la sicurezza aziendale
La torre di controllo di un aeroporto italiano si scambia messaggi di routine con i simulatori di volo che stanno addestrando alcuni piloti. All’improvviso i messaggi deragliano dalla routine e appaiono decisamente strani, i piloti sono stupiti e si chiedono che diamine sta succedendo. Ma lo stesso stupore traspare dal volto dei controllori di volo. È un attacco hacker, intuiscono. Quello che non sanno, è che si tratta di “hacker buoni” o ethical hacker (in gergo “white hat”, i cappelli bianchi dei film western) impegnati in un test di Offensive security, ossimoro che racchiude in una sola parola l’attività di un settore in espansione egli Stati Uniti ma anche in Italia, in termini di servizi offerti da imprese specializzate e di formazione professionale. Nell’ambito sempre più strategico della cybersecurity, che vede l’Italia in crescita ma sempre in ritardo (siamo all’11° posto, per esempio, nelCyber Defense Index del Mit). L’attacco ai simulatori di volo è un caso reale, del tipo man in the middle, spiega Giannandrea Tateo, Ceo di HN Security, startup nata nel 2021, basata a Torino con specialisti anche a Firenze e a Roma, e che fa capo al gruppo romano Humanativa, dell’imprenditore Stefano Commini.
I «cappelli bianchi» della cybersicurezza
Gli “hacker buoni”, spiega Tateo, «mettono a disposizione la loro competenza e passione per testare le infrastrutture informatiche delle organizzazioni per verificarne robustezza e resilienza». Una passione che per i più anziani è nata negli scantinati nei primi anni 2000 quando si divertivano e gareggiavano ad hackerare server e infrastrutture informatiche delle più disparate organizzazioni, a volte rischiando anche denunce. «Nel corso dell’ultimo ventennio, qualcuno si è perso per la strada, altri ne hanno fatto una professione mettendosi a servizio di società all’interno dei reparti di ICT, altri ancora, i più visionari, hanno creato delle vere e proprie società che offrono servizi di Offensive Security ai propri clienti». Offensive Security è il nome dato a questa disciplina per differenziarla dalla Defense Security, quell’insieme di infrastrutture hardware e software il cui scopo è proteggere le infrastrutture informatiche e – in caso di attacchi hacker – individuare le minacce e isolarle per proteggere gli asset aziendali.
Smanettoni in felpa e manager in cravatta
Fin dai tempi di Kevin Mitnik, alias “Condor”, che uscito da un carcere americano nel 2000 fondò la sua azienda di sicurezza, intorno agli hacker cattivi, buoni e “convertiti” è fiorita negli ultimi tre decenni una narrativa planetaria, cui di sicuro si sono abbeverati i professionisti che lavorano per HN security. «So per certo che alcuni dei miei colleghi hanno conosciuto personalmente Mitnick, o H.D.Moore ed altri ancora, ma non se ne fanno vanto in pubblico. I nostri due tecnici senior Marco Ivaldi e Maurizio Agazzini – racconta Tateo – sono due dei più blasonati white hat di questo piccolo ma molto specializzato mondo dell’Offensive Security, in cui tutti si conoscono e si parlano. Hanno entrambi iniziato in questo settore negli anni 2000, su infrastrutture e sistemi oggi quasi scomparsi, poi hanno avuto la capacità e la passione di adeguarsi all’evoluzione tecnologica. Ma in HN Security ci sono altri white hat più giovani e altrettanto capaci, soprattutto sulle nuove tecnologie in ambito mobile. Com’è la collaborazione in azienda tra smanettoni in felpa e management in cravatta? C’è rispetto e stima reciproca, siamo complementari, ma la cravatta ormai la indosso solo io in qualche incontro con i vertici della Pubblica Amministrazione. Certo, quando dobbiamo recarci da un cliente e chiediamo un abbigliamento business casual loro tendono a dimenticare la parte business…».
Come nasce e cresce una startup di sicurezza offensiva
HN Security è nata tre anni fa proprio dalla collaborazione tra queste due “anime”, tecnica e imprenditoriale, ovvero dall’incontro tra il presidente di Humanativa Stefano Commini e due di questi pionieri dell’offensive security che hanno sviluppato la loro passione prima negli scantinati che sui banchi di scuola. «Intorno a loro – racconta ancora Tateo – abbiamo costruito un gruppo di amici ed ex colleghi animati dalla stessa passione: individuare le falle informatiche per poi suggerire il rimedio. Siamo passati da un fatturato di 700mila euro nel 2021 (con Ebitda positivo) a una previsione di 1.500 nel 2024 e di 2.000 nel 2025 (con un Ebitda del 15%)». Sempre investendo molto sulle persone (oggi una ventina gli specialisti) e sulla formazione, che sono aspetti strategici per puntare all’eccellenza. «I nostri specialisti seguono un intenso programma formativo e dedicano il 20% del loro tempo a fare ricerca e sviluppo: un giorno alla settimana in cui studiano giocando, talvolta competendo tra loro nel tentativo di hackerare quello che gli capita a tiro, sempre ovviamente nei limiti della legalità. Per svolgere la nostra attività devi essere bravo almeno quanto i tuoi avversari».
Che tipi di interventi e quanto costano
Oltre al man in the middle già visto, tra i tipi di intervento c’è il classico penetration test, attacco informatico simulato autorizzato su un sistema informatico o una rete, eseguito per valutare la protezione del sistema. Più completi sono gli attacchi di tipo Red team, simulazioni a più livelli che mirano a valutare come le persone, le reti, le applicazioni e i controlli di sicurezza fisica di un’azienda riescono a rispondere. «Noi stiamo spingendo molto anche sulle attività che permettono di identificare i problemi durante la progettazione e lo sviluppo del software, perché individuare una falla quando questo è già in produzione ha un costo estremamente più elevato, fino a 30 volte. Il nostro lavoro si ferma con la produzione di un report di dettaglio che riporta le vulnerabilità alle quali associamo le “Recommendations”, ossia azioni da intraprendere per rimuovere o mitigare le minaccia che non devono essere svolte dal medesimo soggetto (anche se qualcuno lo fa). È una questione quasi etica, non devo cercare vulnerabilità per procacciarmi poi altro lavoro». Un progetto di Offensive security costa mediamente da 20 a 100mila euro, ma il costo per porre dei rimedi può essere di svariati ordini di grandezza superiore, quindi molto appetibile per le aziende.
Il mercato: Davide e Golia
Il mercato è in forte crescita e presidiato principalmente da aziende grandi e poco specializzate. Come trovare spazio per una startup/pmi? «Con il supporto di advisor tecnologici abbiamo avuto la conferma che in questo settore i clienti sono alla ricerca di piccole e medie aziende altamente specializzate con le quali sviluppare un forte rapporto di fiducia, anche a livello individuale. Per testare le infrastrutture informatiche occorre entrare nel cuore delle aziende clienti. E con grandi aziende molto strutturate con alto turnover questo non è sempre possibile. Il mercato è in forte crescita e molte aziende si stanno specializzando in questa disciplina, ma quelle che possono vantare uno skill tale da affrontare tematiche complesse sono ancora poche».
La domanda trainata da banche e fintech
Nell’ultimo decennio il mercato si è fatto più maturo e molte aziende hanno capito quanto sia importante anticipare gli attacchi informatici, piuttosto che reagire ad essi. «Per ovvi motivi – spiega il ceo di HN Security – il mercato che ha una maggiore sensibilità alla tematica è sicuramente quello bancario e fintech, ma cominciano ad affacciarsi anche altri settori, soprattutto quelli che hanno abbracciato maggiormente la digitalizzazione. È indubbio il valore che la digitalizzazione sta portando alle aziende, ma è altrettanto vero che le aziende devono avere una postura di sicurezza adeguata per non rischiare di diventare bersaglio. Negli ultimi anni il principale driver che ha favorito la sicurezza sono stati gli innumerevoli incidenti provocati dalle gang “ransomware”, che con un programma dannoso infettano un dispositivo digitale (Pc ma anche smartphone), bloccando l’accesso ai file per poi chiedere un riscatto. Molte società sia italiane che estere si sono scottate proprio perché hanno sempre pensato “a noi non succederà”.
La Pa arranca
Soprattutto nel Lazio, il mercato dell’It è indubbiamente trainato dalla Pubblica Amministrazione che, sebbene con un po’ di ritardo, finalmente ha capito il valore della sicurezza, forse anche grazie ai recenti incidenti riportati dai media. «Rispetto al mercato privato, molto più maturo e reattivo con il quale è più facile instaurare un rapporto diretto, la Pa è ancora piuttosto lenta e burocratizzata, legata ad accordi quadro con grandi gruppi che poi si avvalgono di aziende specializzate come la nostra per svolgere attività specifiche dove è richiesta altissima competenza», rileva Tateo. «Inoltre il ricorso ormai costante a bandi di gara pluriennali ed omnicomprensivi assegnati con aste al ribasso certo non valorizza la qualità offerta dalle Pmi. In Inghilterra negli anni ’40 hanno coniato il detto “you pay peanuts, you get monkeys”, noi siamo un po’ in ritardo nel recepire questo concetto. Ma ci sono segnali di cambiamento. Il settore della Sanità è quello più sensibile nel recepire raccomandazioni e normative di sicurezza».
Offensive security e intelligenza artificiale
La vera scommessa che ci troveremo ad affrontare a breve quando la diffusione dell’intelligenza artificiale sarà maggiore è proprio la sicurezza. «Manipolare intenzionalmente i dati di input per ingannare un modello di machine learning – spiega Tateo – lo può portare a fare predizioni errate o a prendere decisioni ingiuste o discriminatorie. Un tipo di attacco potenzialmente devastante è il cosiddetto Adversarial Machine Learning (AML) che agisce direttamente sui sistemi di apprendimento automatico. È un ambito nuovo, dove le evoluzioni sono molteplici e molto veloci, alcune di queste come ChatGPT sono già utilizzate dagli hacker per rendere più sofisticati i loro attacchi».
Password private ma non troppo
Dalla sicurezza offensiva arriva infine un ammonimento alla prudenza sulle password, croce e delizia della sicurezza informatica quotidiana di ognuno di noi. «Una volta – conclude Tateo – si è creato un certo imbarazzo quando una nostra specialista, sfruttando una vulnerabilità del sistema di un cliente ha avuto accesso alle password di un utente che aveva sì recepito la raccomandazione di utilizzare le cosiddette passphrase (stringa di parole utilizzata come password, quale ad esempio “Andare in farmacia a ritirare i 2 farmaci”), ma utilizzando espressioni dialettali anche a sfondo sessuale. Fortunatamente tutto è finito in una fragorosa risata collettiva…».