La collaborazione tra Italia e Israele nella Cyber Security. Intervista a Zori Kor

Proponiamo di seguito l’intervista rilasciata a Michele Pierri da Zori Kor (Asero) apparsa su Formiche.net

Cyber security, perché Israele e Italia devono cooperare. Parla Zori Kor (Asero)

Conversazione di Formiche.net con Zori Kor, esperto di cyber security con una carriera ultraventennale nell’intelligence israliana, oggi vicepresidente della società di consulenza Asero.

Ambiente fisico ed informatico sono destinati a sovrapporsi sempre più, spingendo in ogni campo l’acceleratore della digitalizzazione e aprendo così un’epoca di grandi opportunità. Allo stesso tempo, però, questo cambiamento sta contribuendo alla creazione di nuove vulnerabilità rispetto alle quali ci sono ancora scarse consapevolezza e preparazione.
54 anni, nato e cresciuto a Tel Aviv, Zori Kor è vicepresidente di Asero, una delle società globali di consulenza più note nel cyber e nella protezione delle infrastrutture critiche, protagonista a novembre di una dei più importanti eventi del settore, la biennale HLS & Cyber Conference. Con importanti esperienze negli Stati Uniti e una carriera ultraventennale nella Shabak (nota anche come Shin Bet), l’agenzia di intelligence per gli affari interni dello Stato di Israele, l’esperto – intervistato da Formiche.net – è convinto che una più stretta cooperazione tra l’esperienza israeliana nell’ambito della sicurezza e il vivace tessuto produttivo italiano, composto in prevalenza da Pmi manifatturiere con produzioni di qualità, possa costituire un efficace rimedio per mitigare i pericoli della Rete e portare a risultati win-win.

Kor, quali sono i principali trend per ciò che riguarda le cyber minacce?

Sono prevalentemente cinque e sono destinati a mutare ed intensificarsi nei prossimi anni. Abbiamo innanzitutto le nazioni che usano l’attività informatica per estrarre informazioni riservate. Di solito puntano a segreti militari o diplomatici attraverso modalità Apt (Advanced Persistent Threat) che spesso nasce attraverso banali ma sofisticate tecniche di phishing. Si contrastano solo aumentando la cultura e la conoscenza generale delle minacce unitamente a un buon Introduction Detection System, ovvero un software che faccia monitoraggio nei network interni e trovi le attività anomale. Ci sono le organizzazioni terroristiche, il cui obiettivo è compiere azioni eclatanti o fare proselitismo e finanziarsi. Gli hacktivisti, che per ragioni dimostrative mirano a bloccare determinati servizi. Lo fanno spesso con attacchi di Denial of Service (Dos), fastidiosi ma non troppo pericolosi, perché non vanno al cuore dell’infrastruttura colpita. I cyber criminali invece attaccano banche e conti correnti per rubare denaro, anche attraverso l’uso di virus come i ransomware che bloccano computer e sistemi e li rendono disponibili solo dietro pagamento di un riscatto. E, infine, gli insider, ovvero chi lavora all’interno di un’azienda o di un’istituzione e non ne è soddisfatto. La considero la minaccia più insidiosa e pericolosa, perché la persona in questione conosce password e sistemi, sa quali sono le parti più sensibili e com’è organizzata la realtà che vuole colpire.

Dal suo osservatorio, a quale di questi pericoli è più esposta l’Italia?

Probabilmente il cyber spionaggio, perché l’Italia è un Paese manifatturiero che investe molto in ricerca e sviluppo, e che possiede know-how di primo livello. L’attore/stato ostile risparmia un’incredibile quantità di fondi se taglia la ricerca, rubando semplicemente i piani dei principali Paesi produttori, riproducendo quanto rubato e rivendendolo ad un prezzo dimezzato.

Lei ha servito per molti anni il suo Paese, lavorando per la sicurezza nazionale anche nello spazio cibernetico. Quali peculiarità riscontra paragonando il modello israeliano e quelli italiano ed europeo?

Israele fronteggia, come tante altre nazioni al mondo, numerosi attacchi informatici. L’Europa ha iniziato a muoversi con decisione nella giusta direzione, ad esempio con la Direttiva Nis, che trovo un passo importante. Ma ciò che davvero distingue la nostra esperienza da quella altrui è la costanza e la continuità dei nostri nemici, che hanno adattato la minaccia cyber al loro scopo e che la utilizzano in ogni forma e modo possibile. L’esperienza israeliana da questo punto di vista è unica al mondo e ha costretto il nostro Paese ad adoperarsi quando per molti la sicurezza del cyberspace non era ancora una priorità.

Che cosa ha fatto Israele per essere all’avanguardia in campo cyber?

Il Paese ha innanzitutto puntato sulla governance. Israele ha iniziato a occuparsi di cyber security nel 1996, dopo l’assassinio del primo ministro Yitzhak Rabin. L’evento, in teoria, non avrebbe nulla a che vedere con la cyber security, ma quanto è accaduto ci ha talmente scioccati che non abbiamo potuto fare a meno di chiederci che cosa fosse andato storto nella sicurezza quel giorno. Con il tempo abbiamo capito che l’avanzamento tecnologico ci rendeva, paradossalmente, attori più sensibili a tutta una serie di minacce. Standard di vita alti progettati anche sulle nuove tecnologie, dall’uso libero di smartphone e device collegati a internet, tecnologie che regolano corrente e acqua, tutto questo può sempre essere oggetto di attacco. Dopo l’omicidio di Rabin, il governo ha deciso di investire nella protezione delle infrastrutture critiche, e nel 2002 sono state promulgate le prime leggi di regolazione in materia, la prima volta – nella storia – che le infrastrutture critiche sono state incluse in un regolamento di sicurezza. Questo non significa strozzare la libertà delle aziende private, bensì garantire che ci sia un’educazione di sicurezza garantita per gli impiegati e misure di sicurezza adeguate, promuovendo parallelamente una cultura della sicurezza informatica. Nel 2010 Benjamin Netanyahu, attuale Primo Ministro, ha spinto per una regolazione anche a livello cyber, oltre che semplicemente per le infrastrutture critiche: tutti i sistemi sono stati messi in sicurezza, non solo quelli più vulnerabili.

In che cosa consisteva questa nuova regolamentazione?

Oltre a infrastrutture energetiche o di distribuzione idrica, anche ospedali e altre strutture hanno iniziato ad affacciarsi alla sicurezza informatica. Secondo quanto stabilisce la regolamentazione israeliana, ci sono diversi livelli di criticità che vanno di pari passo con quanto il servizio fornito dall’infrastruttura sia essenziale per la popolazione. Una volta stabilito questo ci sono parametri di sicurezza informatica da seguire che richiedono background più o meno specialistici per dipendenti ed addetti alla sicurezza. Il passo successivo che è stato preso su scala nazionale è nel 2015, quando abbiamo capito che ci sono delle “isole” dove si sviluppa la sicurezza informatica (ministero della Difesa, industrie) e abbiamo deciso di costruire un ombrello di protezione per quest’ultime. A quel punto sono nati il National Cyber Bureau (2010) e la Cyber Security Agency (2015), il suo braccio operativo. Queste due all’inizio del 2018 si sono unite, dando vita al Cyber Security Directorate. Queste evoluzioni normative si sono accompagnate, di pari passo, con un fermento tecnologico che ha portato alla nascita di centinaia di start-up – poi diventate importanti imprese – e all’insediamento di centri di ricerca e sviluppo di alcune tra le più grandi aziende al mondo.

Quali sono gli avanzamenti israeliani più importanti in termini di tecnologia cyber?

Ce ne sono diversi. Se si guarda alle infrastrutture critiche, sono importanti quelle tecnologie che tengono ben separato il lato amministrativo dell’erogazione del servizio dal cuore del sistema. Le adottiamo da tempo e consentono di avere una comunicazione omnidirezionale che limita al minimo i pericoli di intrusione e che, in caso di attacco, riescono a far ripartire in breve tempo il servizio interrotto.

Quali, invece, le best practice che sente di consigliare?

Quando un’azienda si affaccia al cyber spazio deve in primo luogo decidere cosa è critico e cosa no, e stabilire una strategia in base agli elementi critici che è necessario proteggere con più attenzione. Questo non significa che tutte le componenti aziendali non richiedano lo stesso grado di attenzione, bensì che alcune componenti sono più critiche di altre la loro sicurezza pesa di più sul piatto della bilancia.
Le soluzioni tecnologiche sono importanti e richiedono attenzione ed investimenti, tuttavia credo che l’elemento umano sia il più rilevante anche nella sicurezza informatica. Educare il personale, ad esempio, a non scaricare allegati provenienti da indirizzi email sconosciuti, o a non inviare email contenenti codici o password, è poco costoso e ha un grande impatto sul miglioramento della sicurezza.
Ogni cyber attacco possiede una componente fisica e una informatica, una conoscenza tecnica ma anche un complice che, per errore o meno, permette che la minaccia si inserisca nel sistema: per questo l’elemento umano deve sempre essere prioritario. Anche attraverso azioni di Audit gli impiegati sono invitati a ricevere un buon feedback, allo stesso tempo controllare il livello di cyber security costantemente alzerà certamente il livello di cautela e di attenzione in merito. Un ulteriore elemento di rilevanza è la sicurezza fisica: minacce moderne non devono distogliere l’attenzione dalle minacce più obsolete, il controllo fisico deve sempre occupare un posto di primo piano anche nella cyber, dove ancora oggi il miglior modo per rubare informazione è connettere fisicamente i dispositivi gli uni agli altri.
Aggiungo anche l’imprescindibilità dell’elemento della resilienza, la capacità di fronteggiare quanto seguo ad un attacco cyber e riparare al danno con rapidità.

Quanto è importante l’information sharing?

I cyber attacchi presentano numerosi aspetti che colpiscono, genericamente, obiettivi molto simili tra di loro: ecco perché ogni azienda, a prescindere dal campo di appartenenza, dovrebbe condividere le soluzioni di cyber security con le altre. Queste soluzioni, a mio avviso, non dovrebbero provenire da quanto già sappiamo di sicurezza informatica, ma avere un carattere innovativo per non rischiare di ottimizzare soluzioni che chi ci sta attaccando conosce già dai tempi dell’università. Dobbiamo essere creativi ed innovativi, adottare una metodologia che spinga i criminali informatici a fare degli errori e a cadere in trappole da noi ideate. In questo senso, è importante ciò che avviene in forum di discussione come l’HLS & Cyber Conference.

Di che evento si tratta?

La conferenza è divisa in due parti, una dedicata all’Homeland Security, l’altra alla sicurezza informatica. Si terrà dal 12 al 15 novembre a Tel Aviv. Ha cadenza biennale e mette assieme i più recenti progressi tecnologici e gli ultimi sviluppi con la presenza di alcuni dei maggiori esperti internazionali nel settore e esponenti governativi e dell’ambito della sicurezza. Durante ogni edizione la delegazione italiana è una delle più numerose e speriamo possa essere così anche nel 2018, perché speriamo che il nostro background possa contribuire ad aumentare la consapevolezza dei colleghi italiani nei settori che presentano più criticità.​