Lorenzo Asuni è Chief Marketing Officer presso Ermes Browser Security, la realtà italiana d'eccellenza nel campo della sicurezza informatica, che garantisce agli utenti una navigazione sicura e protetta nel paesaggio digitale.
La redazione
Che cosa fa Ermes e in che modo sta ridefinendo la sicurezza digitale?
Per iniziare Ermes è una società di Cyber sicurezza che produce software, e quindi che crea dal punto di vista tecnologico delle soluzioni innovative. Noi lavoriamo nell’ambito della Cybersecurity, o sicurezza informatica, che ad oggi è una delle branche della tecnologia che è in più forte crescita per diversi motivi. Ci sono motivi geopolitici, data la situazione che abbiamo oggi di conflitti che riguardano non più solo la parte fisica, ma anche la parte digitale, e tutta una serie di servizi, o comunque attività, che ad oggi si svolgono principalmente con una connessione Internet, con un browser, con tutta una serie di strumenti che sono PC, smartphone, eccetera. Con questi strumenti solitamente ci connettiamo a diverse fonti dati che possono essere anche i sistemi aziendali o eventualmente dei Cloud, e il vettore principale con cui gli attaccanti, che sono i cyber criminali, oggi agiscono è interagire creando delle interruzioni di servizio in queste connessioni. Quindi su cosa agisce Ermes? Ermes agisce proteggendo il browser. Oggi noi lavoriamo sul browser, accediamo alle nostre asset aziendali direttamente dal browser, ed è diventato uno dei vettori principali con cui i cyber criminali tendono ad aver più successo. Come Ermes ci consideriamo come se fossimo un “antivirus del browser”, quindi creiamo una sorta di bolla di protezione verso tutte le persone mentre navigano, facendole sentire protette, facendo evitare di fare degli errori, dei click, di condividere le loro password o dati personali o dati di quelle che potrebbero essere le loro carte, in maniera diretta su quella che loro fanno sul browser, e questo è un approccio assolutamente innovativo, per questo siamo tra le 10 società al mondo ad avere questo genere di approccio, l’unica europea, e da più o meno tre/quattro anni abbiamo sviluppato questa tecnologia e la vendiamo direttamente a piccole medie, ma soprattutto grandi, aziende che tendono ad avere così un ambiente di lavoro protetto per i loro dipendenti.
Quali sono le principali minacce e problematiche legate alla sicurezza a cui un utente è soggetto quando appunto naviga sul web?
Ad oggi purtroppo la persona, l’utente, è l’anello debole della catena. Cosa voglio dire: che le aziende, mentre prima venivano attaccate, o comunque le persone venivano attaccate da grossi sistemi che poi andavano sui grossi sistemi delle aziende stesse, ad oggi viene utilizzato l’umano come “cavallo di Troia” per andare a quello che dovrebbe essere “tana” per i cyber criminali, ovvero entrare nei sistemi aziendali. Quindi tutti gli attacchi che oggi avvengono principalmente utilizzano sempre un’interazione umana, quindi: mi mandano una mail, devo fare un click, mi viene chiesta qualche cosa via telefono, via SMS, o via altri canali di comunicazione. Tutti questi attacchi o comunque questi vettori di attacco, sono i principali merci che abbiamo, le email che ci invitano a ritirare un pacco, o eventualmente a compiere una task dal nostro capo con un indirizzo email difficilmente riconoscibile è ad esempio una tipologia, ma ci sono anche tutta una serie di pagine web che sembrano assolutamente legittime. quindi uguali a delle pagine esistenti di ecommerce, di aziende, eccetera, ma che in realtà sono delle pagine fake, quindi hanno degli aspetti uguali, ma che hanno un unico obiettivo, quello di carpire le informazioni, password, credenziali, o dati personali che poi vengono utilizzate dagli hacker per entrare direttamente nei sistemi aziendali. Oggi il più grande scoglio è quello di rendere le persone consapevoli che esistono degli attacchi del genere, e dare degli strumenti per tutelarsi. E’ quello che abbiamo un po’ fatto, e che continuano a fare anche lato education, perché è molto importante anche informare che ci sono questo genere di fenomeni e che sono molti a estorcerci delle informazioni utili all’attaccante o ai cyber criminali.
Ci sono delle piccole accortezze che bisogna seguire per prevenire questi attacchi?
Assolutamente sì, ci sono piccole attività che possiamo fare che sono molto legate alla nostra attenzione ed educazione. Come dicevo prima molti di questi attacchi sono nuovi, quindi ci potrebbero sembrare all’occhio nudo o comunque disattento, di fretta, delle cose che legittime, come possono essere delle email che riceviamo, degli SMS, delle pagine web, che ci invitano a pagare qualche cosa. L’unica cosa che dobbiamo fare è porre molta attenzione e fare dei piccoli accorgimenti che possono essere quelli di usare credenziali mai aziendali per accedere sulle pagine personali – vedi ecommerce, siti di viaggi, eccetera -; usare degli strumenti come possono essere i password manager, che sono degli strumenti che funzionano come una sorta di cassaforte di tutte le nostre chiavi di accesso ai sistemi aziendali, ma anche ai sistemi personali, quindi avere una password diversa, protetta, lunga e che ci permette di non essere facilmente indovinabile o facilmente reindovinabile, perché una volta che perdo una password, se è la stessa che uso in tanti account poi ovviamente avrò dato l’accesso a quasi tutti i miei account. L’altra cosa importante, dove la si trovi, usare sempre la Two Factor Authentication. Di cosa si tratta? Si tratta di quella autenticazione a due fattori che permette di avere un primo accesso tramite credenziali, quindi username e password, e poi magari una seconda richiesta di un codice attraverso un SMS o una mail. L’ultimissima cosa è cominciare a educarsi a usare strumenti di protezione personale, le aziende già lo fanno per i loro dipendenti, anche le persone fisiche dovrebbero farlo. Sono andati di moda da tanto gli antivirus all’inizio di anni Novanta, oggi ci sono tutta una serie di strumenti che permettono di fare la stessa cosa anche a livello di persona, browser e tutta un’altra serie di cose che sono gli strumenti evoluti d’attacco che hanno i cyber criminali.
Secondo te in Italia a che punto siamo con la sensibilizzazione sulle minacce e problematiche legate alla sicurezza in rete?
Guarda, senza ombra di dubbio non abbiamo mai brillato dal punto di vista di lungimiranza culturale lato prevenzione e questo lo sia in ogni contesto, quello cyber è solo l’ultima anello della catena: lo si può trovare nel contesto idrogeologico, nella parte di sicurezza anche non informatica, nella parte di costruzioni quindi dal punto di vista di attitudine italiana, purtroppo, non vi è questa predisposizione. C’è da dire che c’è tanta eccellenza in Italia. Noi siamo un software vendor solo italiano, che nasce da un’eccellenza che è il Politecnico di Torino: c’è tanta competenza, c’è tanta capacità, a volte spesso inespressa perché il contesto geopolitico, ma anche la parte aziendale, non recepisce la prevenzione come un investimento con un roi positivo, quindi con un immediato ritorno economico, e quindi bisogna avere tanta educazione del mercato tanta lungimiranza nello spiegare, e tanto anche effort. Dal punto di vista politico ci sono stati dei passi avanti: pensiamo all’Agenzia Nazionale della Cybersecurity, i fondi del PNRR, però serve stimolare questo percorso, perché appunto è un percorso, che non è dall’oggi al domani, e permetterà anche ad altre società oltre noi di sviluppare delle loro soluzioni e di poterle vendere un mercato educato con un beneficio alla fine comune che sarà che tutti potranno lavorare, vivere in un contesto molto più safe, molto più sicuro e poter anche sviluppare delle soluzioni che poi non ci fanno dipendere da altri Stati, perché ad oggi la Cyber sicurezza la si compra da Stati Uniti, Israele, UK. Ad oggi si può comprare in Italia, si può comprare in Europa, e può essere fatta anche da società eccellenti, come può essere Ermes nel nostro caso.