Cybersecurity-Skandal: Niederlande-Italien 300-3

(Di Andrea Cucco)
18 / 02 / 19

Haben Sie sich jemals vorgestellt, dass eine der größten Bedrohungen durch Cyber ​​in unserem Land ein 2008-Wurm ist? Wie zu hören, in unseren Tagen in Italien, Pocken!

Die Begriffe "Cyber" und "Cybersecurity" wurden zu lange missbraucht. Sie sind von denen, die das Feld als eine Möglichkeit für Ausgänge betrachten, die ernsthafte persönliche politische Unfähigkeit ausgleichen oder verbergen können, sie sind von denen, die kommentieren, als seien sie "Erfolge" Anzeichen einer unmittelbar bevorstehenden Gefahr.

Mit zunehmender Besorgnis über Cyber-Risiken in unserem Land haben wir gehört, dass Microsoft, vertreten durch den Ingenieur Carlo Mauceli, versucht zu verstehen, was er denkt.

Wie bewertet Microsoft die Cybersituation in Italien?

Ich werde aber mit Microsoft reden ohne zu vergessen, italienisch zu sein Daher sage ich sofort, dass der Vergleich zwischen Italien und vielen Ländern, die wir im Allgemeinen als Vergleichsform verwenden, gegen uns ist und sich nicht zu verbessern scheint.

Ich werde dir ein Beispiel geben, um klar zu sein. Vor einigen Tagen haben wir bei ITASEC I und einigen Kollegen analysiert, welche Hauptinfektionen italienische Unternehmen bekämpfen. Unglaublich wurde uns klar, dass es sich um Conficker handelt, einen Wurm der 2008, von dem alles bekannt ist und dass seine Jahre praktisch verschwunden sein sollten. In der Tat ist es in den meisten anderen Ländern der Fall, während in unserem Land keine.

Was heißt das Es bedeutet viele Dinge: Veralterung, mangelnde Sensibilität, Fehlinformationen, geringe Neigung zur Zusammenarbeit (insbesondere bei Partnerschaften zwischen öffentlichem und privatem Unternehmen) und Mangel an Investitionen im IT-Sektor. Sowohl in der Welt der öffentlichen Verwaltungen als auch im privaten Sektor, insbesondere für kleine und mittlere Unternehmen, erleben wir immer noch Computer mit mehr als zehnjähriger Lebensdauer, veralteten Systemen und veralteten Anwendungen. Aber nicht nur. Auffallend ist, dass man Haltung und Haltung ändern muss, wenn man wirklich mit dieser Situation fertig werden will.

Ganz zu schweigen von der Anwendungssoftware, die in der Vergangenheit ohne Beachtung der Sicherheit entwickelt wurde und leider immer noch vorhanden und daher äußerst riskant ist.

Sie müssen nicht zu weit schauen, um zu lernen und sich zu verbessern. Wenn Sie das Risiko und den Feind kennen, können Sie kämpfen, aber wenn Sie so tun, als ob das Problem immer jemand anderes ist und wir die Besten sind und kein Risiko eingehen ... In diesem Fall ist das, was zu uns kommt, nichts anderes das, was wir verdienen.

Ein Problem, das ich in Italien sehe, ist seine Isolation. Wir können nicht weiter isoliert bleiben, wir müssen uns den anderen anschließen und zusammenarbeiten. Schauen Sie sich beispielsweise die Niederlande und Großbritannien und noch immer Frankreich und Deutschland an, dass es durch beträchtliche Investitionen, durch Organisation, öffentlich-private Partnerschaften und Seriosität geschafft wurde, ein nationales System zu schaffen, das sowohl den öffentlichen Verwaltungen als auch den USA helfen kann Unternehmen und Privatpersonen.

Die italienischen Industriestrukturen sind für den 95-Prozentsatz kleiner und mittlerer Unternehmen bestimmt, wenn der Staat nicht mit ihnen umgeht, und zwar durch Investitionen und Steuererleichterungen für diejenigen, die technologische Verbesserungen vornehmen, wer sollte sich darum kümmern?

Was ist nötig, damit Italien wettbewerbsfähig wird?

Beginnen wir mit einigen Beispielen aus anderen Ländern, um zu verstehen, wie sie mit einem der wichtigsten Probleme konfrontiert waren. Die Niederlande schätzen, dass 2020% des Bruttosozialprodukts (BIP) aus der digitalen Wirtschaft von 25 bestehen wird und dass das wirtschaftliche Wohlergehen zunehmend von einer funktionierenden, sicheren und zuverlässigen digitalen Wirtschaft abhängen wird. Daher hat sich die niederländische Regierung als grundlegendes Ziel zum Schutz und zur Stärkung des IKT-Sektors gesetzt und investiert in die Cybersicherheit des Landes, indem sie in vier Jahren 300 Millionen für Cybersicherheit bereitstellt und Strukturreformen zur Erreichung ihrer Ziele durchführt.

Mit dem 2015 hat sich Großbritannien das ehrgeizige Ziel gesetzt, "der sicherste Ort der Welt zu sein, um" Online-Geschäfte "zu betreiben und ein weltweit führendes Unternehmen im Bereich der Cybersicherheit zu werden. Um diese Ziele zu erreichen, hat das Vereinigte Königreich eine neue Nationale Strategie für Cybersicherheit in 2016 eingeführt, die über einen Zeitraum von fünf Jahren fast 2 Milliarden Pfund für die Cybersicherheit vorgesehen hat, und das neue Nationale Cyber ​​Security Center als nationale Cybersicherheitsbehörde eingeweiht Reaktion auf Cyberangriffe mit nationaler Auswirkung, Informationsaustausch zwischen den beteiligten Akteuren, Verringerung der allgemeinen Risiken für die IT-Sicherheit des Ländersystems, Unterstützung von Stellen und Organisationen, die diese benötigen, Verbreitung von einschlägigen Informationen und Verwaltung die Cyber ​​Security Information Sharing Partnership (CiSP), ein Tool, das den Informationsaustausch zwischen Organisationen ermöglicht und bei Bedarf spezifische Unterstützung bietet. Darüber hinaus wurde das Cyber ​​Essentials-Programm auf den Weg gebracht, ein Satz von Kriterien und Standards, die grundlegende IT-Sicherheit und ein Kosten-Nutzen-Verhältnis für Organisationen aller Größen und Sektoren gewährleisten, um sich vor den häufigsten Cyberrisiken zu schützen. und erhöhen ihre Widerstandsfähigkeit gegen Cyberangriffe.

Was haben wir in Italien gemacht?

Der nationale Sicherheitsrahmen wurde definiert, die Sicherheitsinformationsabteilung (DIS) wurde als einzige Kontaktstelle benannt, und wir warten auf die Bildung des CSIRT (Computer Security Incident Response Team) für die Benachrichtigung von Vorfällen mit erheblichen Auswirkungen Während der Renzi-Regierung hatte 150 Millionen Euro zugeteilt, von denen der Kurs verloren gegangen ist.

Il "Regierung der Veränderung "verantwortlich?

Mit dem neuen Haushaltsgesetz: eine Million Euro pro Jahr für drei Jahre!

Der Mangel an Investitionen und die Unmöglichkeit, Zugang zu einem offenen Markt zu erhalten, ist nicht nur für Microsoft ein Problem, sondern für alle und letztlich für das Land. In Bezug auf die Position von Microsoft ist es klar, dass es sich um ein Unternehmen handelt, das sich mit der Geschäftsabwicklung befassen muss. Angesichts unbegreiflicher Entscheidungen für die Entwicklung des Landes ist es jedoch auch für uns als Unternehmen schwierig, die Voraussetzungen für eine proaktive Zusammenarbeit zu schaffen.

Zum Beispiel können Sie uns sagen, dass Microsoft über ein kostenloses, von 70-Ländern in der Welt unterzeichnetes Regierungsprogramm namens Government Security Program verfügt, das möglicherweise dazu beiträgt, mögliche Zwischenfälle zu vermeiden, technische Informationen auszutauschen und Produkte entsprechend den Anforderungen der Länder zu entwickeln . Mit uns ist es uns trotz unserer Bemühungen und Interessen unserer Stakeholder noch nicht gelungen, diese Vereinbarung zu unterzeichnen.

Warum?

Ehrlich gesagt habe ich keine Antwort. Und es ist eine Schande, denn bei näherer Betrachtung ist es nicht nur das Interesse von Microsoft, sondern auch aller, die es in Italien nutzen würden ... es muss das Interesse aller sein.

Das Thema Investitionen ist wichtig: Die Förderung der Entwicklung kleiner und mittlerer Unternehmen dient der Verbreitung der Cyber-Kultur, der Ausbildung von Industrieexperten und der Schaffung der Grundlagen für eine immer bessere Wettbewerbsfähigkeit des Marktes.

Was sind die Haupthindernisse, die bisher die Entwicklung des Sektors verhindert haben?

Eines der Hauptprobleme betrifft es Informationsaustausch.

Der Informationsaustausch sollte auf allen Ebenen sowohl zwischen Technikern als auch zwischen Managern und Managern gefördert werden. Wenn ich den Feind kenne, kann ich Prävention anwenden ... aber wenn ich keine Ahnung habe, was mit mir in der Gegend passiert ... was mache ich dann?

Wenn sie uns anrufen, um auf einen Vorfall zu reagieren, stellen wir unser Know-how und unser Fachwissen in diesem Bereich zur Verfügung, sowohl mit Humanressourcen, einem Incident-Response-Team als auch mit Lösungen, die es uns ermöglichen, Kunden den neuesten Stand der Technik zu bieten und somit eingreifen können. Microsoft von diesen Teams hat weltweit mehrere gleichzeitig im Einsatz. Dies ermöglicht es uns, nützliche Informationen zu sammeln, Informationen, die mit gebührender Aufmerksamkeit geteilt werden können. Dasselbe wird von einer Organisation erwartet, die sich mit dieser Art von Problemen befasst. Diese Aktivitäten der Verbindung und Koordinierung müssen vom Staat getragen werden, wobei die Industrie sich auf nationaler oder sonstiger Weise richtig beteiligen kann.

Frankreich und Deutschland liegen wie die Niederlande und Großbritannien vor uns, also schauen wir uns an, was sie tun und wie sie es tun, und wir lernen ... mit Bescheidenheit.

Wir müssen auch die Regeln respektieren, sowohl die DSDPR als auch die NIS-Richtlinie, aber wir können nicht glauben, dass das Gesetz das Problem gelöst hat. Die Regel ist notwendig, aber dann braucht es jemanden, der schmutzige Hände bekommt und die Arbeit auf dem Feld erledigt, und dies wird vorerst nicht gesehen.

Was halten Sie von der angekündigten Neuorganisation des Sektors, mit der das Verteidigungsministerium an vorderster Front der Cyberentwicklung des Landes stehen würde?

Ich habe diese Nachricht während des Kongresses von Pisa gehört. Im Allgemeinen gibt es in den anderen Ländern separate Organisationen, einen Staat, der alle unterstützt und das Thema reguliert, sowie eine eigene Organisation für den FA, auch weil die Aufgaben der Streitkräfte unterschiedlich sind. Ich glaube nicht, dass es eine korrekte Lösung sein könnte, wenn ich die Worte von Minister Trenta gut interpretiere. Der nationale Rahmen wird sicherlich immer komplexer, da er zu viele Verantwortungsebenen aufweist, die einen kohärenten Ansatz erschweren.

Wie ich bereits sagte, ist es besser, kurz anzuhalten und nachzudenken, was andere tun. Von anderen, von unseren Nachbarn, können wir immer lernen, ohne zu kopieren, vielleicht mit Demut zu fragen. Mit Tools und Analysen, die bereits von anderen erstellt wurden, können Sie etwas finden, das uns helfen kann, ohne zu lange warten zu müssen!

Ich verstehe also, dass Sie der Meinung sind, dass die Streitkräfte nicht die Kraft haben, eine solche Arbeit für alle zu erledigen?

Nun, ich verlasse mich auf das, was ich sehe. Im Moment sehe ich nur die CIOC (Interforces Command for Cybernetic Operations, ed).

Jetzt hat die CIOC wenig mit der privaten Welt zu tun. Sie sollte darauf achten, sich auf Interventionen vorzubereiten, bei denen die nationale Sicherheit gefährdet ist, so die militärischen Logiken.

Wenn man nicht sagen will, dass wir uns mit der ganzen Welt im Krieg befinden, und selbst in diesem Fall scheint die CIOC nicht ausreichend zu sein.

Beabsichtigt Microsoft in Italien zu investieren? Wenn nein warum?

In Italien ist es sehr schwierig, im Sicherheitssektor zu arbeiten, insbesondere im öffentlichen Sektor, da die Sicherheit durch die Zulieferer geht, die das SPC-Rennen gewonnen haben (Public Connectivity System, ed). Dies bedeutet, dass eine öffentliche Verwaltung Anbieter wie Microsoft, Mandiant, FireEye usw. benötigt. Weil sie bestimmte Technologien einsetzen oder einfach weil sie diesen Organisationen vertrauen, können sie dies nicht direkt tun. Ich glaube, dass dies vor allem aus Sicht des Kapazitätsaufbaus und der Wettbewerbsfähigkeit nicht hilfreich ist.

Ist es vernünftig zu glauben, dass die Verteidigung die Entwicklung des Sektors übernimmt? Laufen Sie nicht Gefahr, die Gesellschaft nicht zu stimulieren? Ich nehme das Beispiel von Spitzensportlern ...

Natürlich ist es auch genau so. Die Zivilgesellschaft sollte ihre Fähigkeiten entwickeln, die im Normalfall funktionieren müssen. Die Verteidigung muss in Notfällen, im Krieg, nicht immer, sonst "Drogen" den Markt betreten.

Das Ziel von Defense Online ist es, ein breites Publikum zu informieren und keine Nische (vielleicht auch gewollt), um dann zu hoffen, dass die Verantwortlichen die notwendigen Korrekturen übernehmen ...

Ich folge dir, ich teile und ich schätze deine Bemühungen, leider ist die Situation in Italien so: Kommunen und Metropolen sind sich beispielsweise völlig aufgegeben.

Die meisten Systeme, die wir während unserer Interventionen täglich sehen, sind absolut unsicher, sowohl wegen fehlender Mittel als auch wegen des geschulten technischen Personals, aber hauptsächlich wegen des Mangels an Management, das Sicherheit als Schlüsselelement sowohl der Infrastrukturen als auch der Infrastruktur betrachtet Anwendungen.

Was zu tun Erstens organisieren wir die Organisation, schaffen mehr und mehr Sensibilität, wir schulen Menschen und Vernunft nach einer staatlichen Logik, die sowohl die private als auch die öffentliche Welt unterstützt.

Sonst werden wir niemals weitergehen ...

Diese Situation führt zu einem Deadlock.

Es ist notwendig, einen nationalen kybernetischen Kern zu schaffen, der sich frei bewegen kann, selbst wenn geeignete Unternehmen entsprechend dem Fall genannt werden.

Wir müssen die Verwaltungsvorschriften vereinfachen, sie nicht komplizieren und unverständlich machen.

Was würden Sie tun, um das Militär im Cyber-Sektor vorzubereiten?

Die Vorbereitung von Mitarbeitern ist eine schwierige Sache, es ist sehr schwierig, es in der Organisation zu halten.

Wir müssen Sensibilität schaffen und bereits von der Highschool an Menschen aus den Schulen schaffen. Sicherheit sollte umfassend gesehen und gelehrt werden, von Standards bis hin zu Technologie- und Risikoanalysen.

Die erforderlichen Kurse müssen dann an allen italienischen Universitäten angeboten werden. In diesem Bereich wurden einige Fortschritte erzielt, aber wir sind noch weit von dem entfernt, was benötigt wird.

Für das Militär müssen Sie dann "Meister" erstellen, Sie geben mir die Bezeichnung, von verschiedenen Typen, die das Bewusstsein und vor allem die Vorbereitung auf 360-Grade erhöhen.

Das Problem in Italien ist, dass leider jahrelang Wortströme verschwendet werden, aber es ist nicht möglich, die richtigen Initiativen zu ergreifen.

Der Präsident von Microsoft, Brad Smith, wurde in den letzten Tagen vom Papst empfangen. Können Sie uns etwas mehr sagen?

Ja, das Thema des Besuchs ist Künstliche Intelligenz. Selbst im Vatikan beschäftigen wir uns mit technologischen Innovationen und allem, was dazu gehört, insbesondere in ethischer Hinsicht. Während des privaten Interviews erläuterte unser Präsident der Rechtsabteilung, welche Perspektiven er mit der künstlichen Intelligenz und den damit verbundenen ethischen Problemen verbunden ist, aber auch den großen Nutzen für die Menschheit, den er bringen kann. Microsoft wird gemeinsam mit der Päpstlichen Akademie für das Leben eine internationale Auszeichnung für Ethik in künstlicher Intelligenz fördern, die das Hauptthema der 2020-Vollversammlung sein wird.

Brad Smith sprach auch über die neue Microsoft-Investition in Italien, "Ambition Italy". Ein ehrgeiziges Projekt, das junge Menschen der digitalen Welt von 200.000 näher bringen soll, in der Hoffnung, dass sie eines Tages zu Profis der Branche werden.

Lassen Sie uns nicht vergessen, dass Italien ein sehr besonderes Land ist, in dem hohe Arbeitslosigkeit herrscht. Im Cyber-Sektor und im digitalen Sektor besteht jedoch ein chronischer Mangel an geschultem Personal.

In Italien werden Entscheidungen oft verschoben, bis es zu spät ist. Angesichts einer neuen Technologie können Sie wählen, ob Sie sie verwalten oder bekämpfen möchten. Leider haben wir uns noch nicht für eine Seite entschieden.

Ich möchte zuversichtlich sein und glauben, dass das Licht bald einschaltet, um das Gepäck der Exzellenz nicht zu zerstreuen ha unser Land

Foto: web / NCSC Netherlands / Verteidigungsministerium