«Un cyberattacco è più costoso di una catastrofe naturale»

Nick: Investiamo circa il 40% del nostro budget nella formazione continua. I nostri dipendenti possono presentare una richiesta interna se vogliono testare un dispositivo, un'applicazione o un'installazione nel nostro laboratorio. Una volta, ad esempio, un collega ha esaminato un robot aspirapolvere e ha scoperto che la password Wi-Fi della casa in cui viene utilizzato, così come quella delle case vicine, è condivisa con il produttore. Questo è il caso di tutti gli aspirapolvere robot. Vogliamo sensibilizzare l'opinione pubblica sul fatto che la sicurezza non deve essere barattata con la comodità.

Nick: Il Banco de Chile, responsabile di circa il 54% di tutte le transazioni bancarie in Cile, si è spento da un giorno all'altro. Niente rete, niente bancomat, niente terminali di pagamento: tutti i sistemi sono stati cancellati durante la notte. Un disastro nazionale in cui ci è stato permesso di prendere in mano la gestione della crisi. Si presume che si verifichino condizioni anarchiche quando il sistema bancario di un Paese è fuori uso per più di otto ore. Le aziende vogliono effettuare e ricevere pagamenti. La gente vuole comprare cibo. Se non è possibile, vanno a prenderlo. Avevamo due missioni: 1. gestire la crisi, 2. scoprire come questo potesse accadere. Abbiamo parlato con la comunità bancaria, le autorità di sicurezza, il presidente e siamo riusciti a creare una banca di emergenza in due settimane.

Come è potuto accadere? Gli autori hanno nascosto un trojan in un'applicazione della banca. Hanno violato prima il dipartimento delle risorse umane e poi l'intera rete della banca. Per mesi i dispositivi hanno presentato errori minori. Mentre tutte le risorse della banca venivano utilizzate per correggerli, gli aggressori hanno estratto denaro dal sistema. Per correggere le tracce, hanno cancellato tutto, il che ci riporta all'inizio della storia. Per inciso, si trattava del noto gruppo di hacker «Lazarus». Siamo riusciti a scoprirlo grazie ai buoni rapporti con altri Paesi e con le autorità di sicurezza. Sorprendentemente, anche al giorno d'oggi, il numero di aziende in grado di risolvere casi del genere si conta sulle dita di due mani. Ecco perché riusciamo a ottenere tali contratti.

Nick: Nel 2022, i disastri naturali hanno causato costi per 125 miliardi di dollari. 5.000 miliardi di dollari sono stati causati dalla criminalità informatica. Un attacco informatico è quindi 40 volte più costoso di un disastro naturale. La criminalità informatica è già la terza economia dopo gli Stati Uniti e la Cina. Ecco quanto è grande l'elefante. Un terremoto provoca danni visibili, ma quando si tratta di criminalità informatica, noi umani letteralmente non «vediamo» il problema. La criminalità informatica è invisibile, ma i danni sono reali e, soprattutto, enormi. Con gli Swiss Cyber Security Days vogliamo trasformare il rischio in opportunità.

Nick: Ci sono già abbastanza conferenze e fiere dedicate agli hacker. Con gli Swiss Cyber Security Days vogliamo rendere il tema accessibile anche ai non addetti ai lavori. Sebbene i tecnici siano consapevoli delle opportunità e dei rischi, da anni la società non fa passi avanti. Perché? Le persone chiave, come i politici e le autorità di regolamentazione, hanno bisogno di maggiori conoscenze per poter prendere decisioni. Vogliamo creare una piattaforma in cui tutti parlino con tutti gli altri: relatori ed espositori, politici ed esperti, tecnici e profani. L'obiettivo è creare una comunità. Un mix di tecnologia, fiera e parte sociale. Ecco perché il tema centrale di quest'anno è stato «Shaping Cyber Resilience». La criminalità informatica è una sfida che non può essere risolta individualmente: né dalla polizia, né dai militari, né da Dreamlab. Agli Swiss Cyber Security Days vogliamo dare forma alla resilienza informatica oggi, per un futuro sicuro.

Nick: Per esempio, che le interfacce cervello-cibero non sono fantascienza. Nel 2017 (!), un soggetto gravemente disabile sottoposto a un test militare statunitense è stato in grado di controllare un aereo da combattimento con l'aiuto di una spina cerebrale. Un anno dopo, con una tecnologia modificata, è stato in grado di controllare tre jet da combattimento e 100 droni contemporaneamente.

Già oggi sarebbe possibile impiantare i ricordi del soggiorno di una persona a Berna o dei suoi desideri con un cerotto sotto il cuscino di un hotel. La persona non sarebbe più in grado di distinguere tra ciò che è reale e ciò che non lo è. Una tecnologia simile viene utilizzata da tempo per semplificare la vita delle persone affette da diabete: un cerotto, di solito sulla parte superiore del braccio, raccoglie i dati vitali attuali della persona colpita. Questo viene utilizzato per avviare il mix di farmaci necessario. Non dobbiamo dimenticare che questa tecnologia potrebbe anche essere invertita. Oggi stiamo plasmando il futuro, ed è proprio per questo che è importante parlarne oggi. Jean-Marc Rickli, capo del Dipartimento Rischi Globali ed Emergenti del Centro per la Politica di Sicurezza di Ginevra GCSP, ha fatto proprio questo parlando di «Minacce Emergenti» - le opportunità e i rischi delle nuove tecnologie come l'intelligenza artificiale, i droni e la connessione tra uomo e macchina in generale.

In occasione delle Giornate svizzere della sicurezza informatica, comunichiamo anche tradizionalmente lo stato della superficie di attacco pubblica per i criminali informatici in Svizzera. Abbiamo violato 2,5 milioni di server svizzeri senza che nessuno ce lo chiedesse, arrivando così al limite legale. I migliori risultati sono quelli delle banche, mentre i peggiori sono quelli della pubblica amministrazione, della ricerca e della sanità. Stiamo mostrando uno specchio alla società per provocare un'azione. Tutti pensano: «A me non succede niente, non sono abbastanza eccitante». Si tratta di un'assoluta falsità. I criminali informatici sono opportunisti. Non scelgono consapevolmente un obiettivo, ma sperimentano finché non arrivano da qualche parte. Chiunque sia vulnerabile diventa una vittima. Che si tratti di PMI o di grandi aziende. Questi sono solo alcuni degli innumerevoli argomenti interessanti provenienti dalla Svizzera e da tutto il mondo che abbiamo potuto presentare nel corso delle due giornate.

Tom: Per noi, in quanto PMI con un profilo pubblico, la domanda è: «Come può un'azienda normale proteggersi dalla criminalità informatica?». Nel ticketing, nel CRM... Con le Giornate svizzere della sicurezza informatica vogliamo trasmettere il messaggio «Ehi PMI (piccole imprese), che ne dite dell'igiene informatica?»

Nick: Esattamente, la sicurezza informatica è disponibile a prezzi accessibili anche per le piccole imprese. Ecco alcuni consigli:

1. tenere aggiornato il software.

2. sistema di gestione delle password.

3. Autenticazione multipla via SMS o app.

4. creare regolarmente backup inalterabili.

5. avere sempre a portata di mano una procedura di ripristino per i backup.

Se si eseguono questi cinque compiti a casa, si è raggiunto l'80% della sicurezza. Alla fiera sono stati presentati servizi e prodotti gratuiti che facilitano il rispetto di questi principi da parte delle aziende. I dipendenti sensibilizzati e formati sono il miglior baluardo contro la criminalità informatica comune.

Tom: Quando la fiera stava cercando una nuova sede dopo essere stata ospitata a Friburgo, ci siamo riuniti. È stato subito chiaro che la capitale federale era la sede giusta per l'evento. Berna non solo è facilmente accessibile e dispone di un'infrastruttura di prim'ordine, ma è anche il centro politico della Svizzera e sede di numerose ambasciate e organizzazioni nazionali e internazionali.

Nick: L'idea di Berna è stata divertente fin dal primo momento. Per la prima volta quest'anno abbiamo avuto rappresentanze di ambasciate in loco, dato che il quartiere delle ambasciate è praticamente nelle vicinanze della BERNEXPO. È stato un grande arricchimento. Il Portogallo ha mostrato come risolvono i problemi dei documenti d'identità e il Kenya ha mostrato come funziona la digitalizzazione per loro. Dopo anni in cui non è stato toccato dalla digitalizzazione, il Kenya sta ora facendo rapidi progressi. Questo perché sta entrando solo ora nel processo e può beneficiare delle conoscenze già acquisite. In Kenya, i lavoratori agricoli, alcuni dei quali non hanno un'istruzione formale, possono ora gestire e automatizzare le proprie aziende agricole grazie alle tecnologie digitali. Quando è necessario irrigare? Quando è il momento di raccogliere? Tutto questo può essere controllato con la semplice pressione di un pulsante. Le cose sono cambiate di nuovo: oggi possiamo imparare molto da loro. Le presentazioni sono state incredibilmente stimolanti.

Tom: Il nostro obiettivo dichiarato è quello di fare di Berna la capitale della cibernetica. Abbiamo accolto circa 2.300 visitatori nei due giorni e siamo già in attesa degli Swiss Cyber Security Days del 18 e 19 febbraio 2025. Vogliamo anche integrare in modo permanente il tema della sicurezza informatica in relazione ai temi della sostenibilità e della digitalizzazione nella nostra esposizione, proprio come stiamo già facendo con la «E-Bike City» nel padiglione 1 con il tema della mobilità elettrica. L'esempio delle Giornate svizzere della sicurezza informatica dimostra che gli eventi sono spesso costruiti attorno a personalità e partnership forti. Con il Congress Hub Bern, possiamo basarci proprio su questo. Berna non è solo ben posizionata al centro geografico della Svizzera, ma è anche la città federale, sede della politica e di numerose istituzioni internazionali. Aiutiamo gli organizzatori a fare rete a Berna e a ottenere il meglio dal loro evento individuale. Il Bern Convention Bureau fornisce anche un supporto all'organizzazione. Per esempio, per gli Swiss Cyber Security Days è stato messo a disposizione un contingente alberghiero, il che rende le cose molto più semplici per i partecipanti e gli organizzatori.

Nick: Esattamente, non vogliamo concentrarci solo sulla fiera una volta all'anno, ma creare eventi durante tutto l'anno. Vogliamo collaborare con altri Paesi e coinvolgere aziende internazionali per condividere le loro esperienze. Berna dovrebbe diventare la capitale della sicurezza informatica.