Protocolli per uno smart working sicuro, anche in fase 2
Come arginare i flussi di dati sospetti e come devono attrezzarsi le aziende e i privati. Le accortezze da usare e le nuove consuetudini in quella che resterà in futuro una modalità abituale di lavoro. Chiacchierata con Barbara Poggiali (Leonardo)
Ora che lo smart working accompagna l’uscita dell’Italia dalla pandemia, e magari resterà in futuro una modalità abituale del lavoro, il Foglio ne parla con una delle maggiori esperte del paese, soprattutto per l’aspetto più delicato: quello della sicurezza. Barbara Poggiali è dal 2019 capo della divisione Cyber Security di Leonardo, il gruppo pubblico che si occupa di aerospazio, produzioni militari e tecnologie sofisticate anche per il settore civile. Laureata in Ingegneria al Mit di Cambridge (Boston), Poggiali è stata nel top management di aziende come Vodafone, Rcs e Poste. Più che immaginare scenari analizza dati e processi, e dunque non si sbilancia su quanta parte dell’attuale lavoro d’ufficio potrà o vorrà operare in dimensione smart: “Fuori dall’emergenza, si tratta di decisioni in parte aziendali, in parte politiche, influenzate dal rapporto con un’infinità di fattori: mobilità, mercato degli uffici, indotto. Basta pensare a mense, ristoranti, appalti di manutenzione e pulizia. Il problema però non è il se, ma il come”. Il come, dal suo punto di vista, è dato dall’efficienza, e appunto se si parla di tecnologie sensibili, che oggi a vari livelli sono poi la maggior parte, dalla sicurezza.
Leonardo durante il lockdown ha messo in modalità remota il 40 per cento dei suoi 28 mila dipendenti italiani, cioè la gran parte dei non addetti alla manifattura; da metà maggio è previsto un graduale e alternato rientro in sede. La sola divisione Cyber Security ha funzionato all’85 per cento in smart working, ma anche così ha accentuato la sorveglianza e l’elaborazione dei flussi di informazione delicati, la tenuta delle reti, la permeabilità a intrusioni di vario tipo, producendo report destinati alle principali aziende italiane. Oltre a questo ha reso disponibili per il governo e per chiunque ne sia interessato due protocolli, rispettivamente di dodici e cinque punti, sullo smart working per le aziende e per i privati. “Il nostro Soc, Security operation center con sede a Chieti, che ha una filiale gemella a Bristol nel Regno Unito, ha analizzato già da fine gennaio il flusso di dati mondiale collegato in vario modo al Covid-19. In due mesi abbiamo rilevato nel mondo oltre 230 mila campagne, il 6 per cento delle quali dirette all’Italia come agli altri paesi più colpiti. Il 25 marzo abbiamo completato il nostro primo dossier destinato gratuitamente alle maggiori imprese. Il prossimo sarà a breve”. A Chieti lavorano sull’arco di 24 ore 180 analisti che sorvegliano i flussi sospetti, provenienti per lo più dall’est, Russia ma anche Iran e paesi arabi. “Quanto di questa attività sia poi riconducibile agli stati, a una volontà di spiare o influenzare determinati processi, è qualcosa che tocca alla politica valutare. Noi offriamo dati e valutazioni”.
Si pensa inevitabilmente all’antefatto di Cambridge Analytica e all’influenza che sarebbe stata esercitata dalla Russia nelle elezioni americane del 2016. Nella prima fase della pandemia l’oggetto di attenzioni, intrusioni e campagne, anche con le solite fake news, è stato l’aspetto sanitario. Poi il focus si è spostato sulle aziende, principalmente farmacologiche ma non solo: “La corsa al vaccino è aperta in tutto il mondo, ma non c’è solo quello. Capire come si riorganizza una grande impresa è fondamentale per i concorrenti”. Quello che un tempo era chiamato spionaggio industriale e oggi viene detto furto di proprietà intellettuale. Quanto alle “best practices” per l’operatività a distanza, la divisione Cyber Security di Leonardo fa una netta distinzione tra aziende e lavoro da casa dei privati. Per le prime il “dodecalogo” parte dalla consapevolezza che si opera al di fuori di una policy e di protocolli di sicurezza informatica pensati per un ambiente chiuso. Il primo punto è “Creare consapevolezza nella popolazione aziendale”, vale a dire informare dipendenti e collaboratori delle vulnerabilità, dei comportamenti rischiosi e di quelli virtuosi. Il più possibile, “Usare dispositivi aziendali”, più sicuri e con protocolli per evitare data leaks e intrusioni, che a loro volta vanno aggiornati frequentemente ed equipaggiati con “Smart working antivirus” e “sistemi Edr (End point detection & response)”. Occorre anche “Intensificare l’uso di strumenti di vulnerability management”, cioè bonificare le aree private nelle quali si lavora. E poi “eliminare funzionalità non necessarie e usare cifrature robuste”. I dispositivi di hardware aziendali vanno limitati alle sole esigenze lavorative imponendo una configurazione che ne impedisca l’uso privato. E devono essere usate per collegarsi all’azienda “solo connessioni Vpn (Virtual private network), reti cifrate e non commerciali. Infine “Adottare misure che mitighino gli attacchi volumetrici”: gli assalti hacker che mirano a saturare le bande di comunicazione.
Per i privati che svolgono un più semplice lavoro da casa il protocollo è più snello, ma con accortezze alle quali raramente pensiamo. “Password sicure e dedicate” ovvero separare le password personali e quelle aziendali, e cambiarle frequentemente. Usare connessioni sicure e aggiornate nonché impedire l’uso promiscuo di pc messi a disposizione dalle aziende. Non utilizzare la mail personale in ambito lavorativo; evitare di rivelare informazioni finanziarie e commerciali anche su social e chat; diffidare sempre di link sospetti e sconosciuti, ancora più scaricando allegati da mittenti sconosciuti. Un sistema è quello di passare sui link il cursore per verificare l’indirizzo. E bisognerebbe mantenersi in contatto con il proprio team operativo, con verifiche anche giornaliere, prediligendo l’uso di call e viedocall anziché mail e messaggi. Verrebbe così da dire: si fa presto a dire smart working. “La differenza sostanziale” risponde Poggiali “è tra un lavoro dal proprio studio o abitazione, abituale o occasionale, e invece lo spostamento in remoto di intere attività aziendali. La prima modalità è soprattutto questione di accortezze e abitudini, che però dobbiamo acquisire anche in tempi normali. La seconda riguarda una riorganizzazione del lavoro per situazioni di emergenza, oppure per scelta. Questa seconda opzione comporta inizialmente dei costi, anche ingenti, in termini di dotazioni di materiale, di software da controllare e aggiornare, di connessioni. Certamente può essere un investimento, se però si ha una visione strategica di questa svolta su tempi medio-lunghi. I costi” sottolinea la top manager di Leonardo “sono a loro volta compensati dai risparmi in termini di spostamenti, viabilità, ambiente. In sintesi, non è pensabile immaginare di spostare in smart working tutto il lavoro di ufficio ma solamente una parte di esso. Deve essere una misura da condividere comunque con la politica, come l’istruzione, come la sanità”. Abbiamo tutti presenti le immagini di agenti segreti e maghi della finanza che trasmettono informazioni e postano milioni di dollari dal loro cellulare. Non è così che funziona, i militari hanno per esempio pc diversi che operano su reti dedicate.
Diverso è il discorso degli uffici che sono destinati a cambiare faccia. “Ho visto la nuova sede milanese di Vodafone, azienda in cui ho lavorato diversi anni, dove si tende ad avere postazioni e uffici flessibili; così fanno da tempo centri di ricerca, università, aziende hi-tech. E infine non dimentichiamo in Italia due ostacoli: la burocrazia e la tendenza all’assecondare le vecchie abitudini. Pensi a quanto si è discusso di incentivare i semplici pagamenti digitali…”.