Cybersecurity e opensource un connubio possibile? Ne parliamo con Robert W. Griffin

griffin
Robert W. Griffin

Robert è Chief Security Architect presso RSA, la Security Division di EMC, dove è responsabile per l’architettura tecnica e gli standard di normazione. E’ particolarmente attivo nelle iniziative portate avanti da RSA per affrontare le sfide delle nuove minacce legate alla sicurezza delle informazioni e nuovi modell i di sviluppo per l’IT. Ha una vasta esperienza in differenti aree quali la gestione dei rischi, le architetture di sicurezza per il cloud computing, funzioni di sicurezza integrate per le infrastrutture virtuali, strategie di sicurezza per big dati e crittografia post-quantistica. Egli rappresenta EMC in diverse organizzazioni di normazione ed è Presidente emerito del Comitato Tecnico KMIP dell’Advancing Open standards for the Information Society (OASIS PKCS 11), ed è Manager per un importante progetto di ricerca europeo sulle Smart Grid. Con oltre 30 anni di esperienza nel settore Governance, Risk e Compliance (GRC), gestione identità, strategia di sicurezza, trasformazione dei processi di business e sviluppo software è relatore e docente in convegni professionali, accademici e di settore. Blogger attivo per RSA e se volete seguirlo su twitter questo è il suo account: @RobtWesGriffin.

Robert, ci racconti un pò quale è la sua storia nell’open source?

Indubbiamente la mia più grande esperienza nel mondo open source è stata quella vissuta all’interno di un’associazione che negli ultimi 15 anni ha portato avanti molte attività e sforzi per l’implementazione open source nel settore della normazione e degli standard. Come architetto consulente di Entrust, nel 2001, ho sviluppato uno dei tre principali progetti con l’implementazione di riferimento per lo standard OASIS SAML (framework basato su XML per comunicare l’autenticazione degli utenti, il diritto, e informazioni di attribuzione). Ho continuato la mia collaborazione al progetto in qualità di Presidente del sottocomitato di conformità SAML anche dopo il mio ingresso in RSA avvenuto nel 2002. Allo stesso tempo, come co-fondatore e co-presidente dello standard OASIS (KMIP), ho contribuito alla progettazione tecnica del protocollo Key Management Interoperability (KMIP) e sviluppando una delle implementazioni di riferimento, utilizzata nella dimostrazione di interoperabilità nel corso della RSA Conference del 2011. (Il KMIP è un protocollo di comunicazione che definisce i formati dei messaggi per la manipolazione delle chiavi crittografiche su un server di gestione delle chiavi. Le chiavi possono essere create su un server e poi recuperate, le chiavi simmetriche e asimmetriche sono supportate, con possibilità di firmare i certificati. KMIP definisce anche i messaggi che possono essere utilizzati per eseguire l’operazione di crittografia su un server, ad esempio cifrare e decifrare). Nel 2013 sono stato co-fondatore del comitato tecnico OASIS PKCS 11, contribuendo alla versione delle specifiche v2.30 e il codice sorgente per il progetto con la funzione di co-presidente mantenuta fino a settembre 2015, quando sono stato eletto invece Presidente emerito dello stesso comitato. Nel 2014, sono stato il Direttore tecnico generale del progetto tirennale SPARKS un progetto di ricerca sulla Smart Grid Security, finanziato nell’ambito del programma FP7 dell’Unione europea, contribuendo alla documentazione e alle soluzioni tecniche del progetto.

Quali sono i fattori chiave del suo lavoro?

Gran parte del mio lavoro ha comportato nel corso degli anni il raggiungimento di un equilibrio tra il sostegno ad iniziative nel mondo open source, come ad esempio gli sforzi nell’ambito del comitato di normazione, e lo sviluppo di valore aggiunto per le aziende per cui ho lavorato. Ad esempio, la fondazione del comitato tecnico OASIS KMIP nasce proprio dalla consapevolezza che il settore nel suo complesso avesse bisogno di una norma tecnica che fornisse un protocollo efficace e interoperabile per la gestione delle chiavi di crittografia. Allo stesso tempo, lo sviluppo di questo standard e la costruzione di una implementazione di riferimento utilizzato nel convalidare e dimostrare lo standard, mi ha permesso di sviluppare anche l’architettura e il design per un prodotto RSA che supportasse quello standard. Lavorando contemporaneamente su uno standard a livello di settore e su una implementazione specifica del fornitore di tale norma, sono stato in grado di imprimere molto più valore nel processo di normazione, incoraggiandone addirittura l’attuazione e l’applicazione nel mondo reale ed aziendale.

Il cambiamento nello scenario internazionale come ad esempio l’arrivo sulla scena di nuovi attori collegati e interconnessi tra loro, ha determinato secondo lei uno spostamento delle minacce e cyberattacchi dalle imprese agli individui?

E ‘chiaro che viviamo in un tempo di epocali trasformazioni culturali economiche e tecnologiche. L’interconnessione ha modificato l e relazioni tra individui, organizzazioni e culture, offrendo una ricchezza sorprendente di esperienze e conoscenze. Nuove modalità di commercio e nuovi mercati sono emersi proprio in questi ultimi anni, in particolare in ambito online, accrescendo notevolmente le opportunità per le nuove imprese. Le recenti innovazioni tecnologie come il cloud, mobile, social e big data stanno supportando queste trasformazioni culturali e commerciali, abilitandone l’accelerazione e il cambiamento. Ma tutti questi cambiamenti hanno anche portato a trasformazioni fondamentali nel settore della sicurezza, sia in relazione ai rischi che ci troviamo a dover affrontare a livello personale sia quelli più propri delle organizzazioni.  Ad esempio, il drammatico aumento della interconnessione della comunità criminale a livello informatico, con la conseguente crescita del Dark Net a supporto di un vero e proprio ecosistema del cybercrime, è controbilanciata dalla crescente interconnessione che dovrebbe essere attivata da parte della comunità della cybersecutiry a livello mondiale. Registriamo continuamente nuovi attacchi e nuovi attaccanti, dalla nascita di APT nel 2010 agli attacchi IOT nel 2013 ad un focus sui dispositivi mobili nel 2015.  Accanto a questa situazione possiamo notare però anche l’emergere di una visione trasformata della sicurezza delle informazioni, che si  concentra sempre più su un’analisi dinamica e sulla risposta, piuttosto che su una prevenzione statica.

Quali i maggiori rischi relativi alla cybersecurity oggi per gli utenti e le aziende?

In un mondo in continua evoluzione anche in relazione alle minacce e sfide da affrontare, il rischio maggiore che abbiamo di fronte è quello di essere così concentrato su ciò che ha funzionato in passato, che non riconosciamo la necessità di trasformare e cambiare noi stessi. Come ho scritto in un recente post  The Innovator’s Dilemma in Cyber Security “le vere innovazioni che stabiliscono il successo di un’organizzazione o di un individuo diventano ostacoli all’innovazione futura, il che rende difficile per l’individuo o l’organizzazione rispondere adeguatamente alle nuove opportunità e sfide. E’ necessario attuare un’azione consapevole e coraggiosa per accantonare i successi passati e intraprendere un nuovo cammino. Cogliere le opportunità può richiedere una “innovazione dirompente”, che si allontani dai successi del passato, ri-plasmando non solo prodotti o tecnologie, ma l’organizzazione stessa. Poichè concentrarsi sui successi del passato, quando il mondo intorno a te è cambiato, può essere disastroso. Purtroppo, molte aziende continuano a utilizzare ed elaborare vecchi modelli di sicurezza preventiva, concentrandosi su tecnologie quali antivirus e firewall che gli aggressori sanno sempre più spesso raggirare. Ad esempio i cybercriminali attaccano gli utenti siano essi dipendenti o individui, sfruttandone la fiducia, ingannandoci ad esempio a cliccare su allegati e-mail, accettando false telefonate o predisponendo connessioni a servizi wifi fasulli. L’unico modo per affrontare tali attacchi è quello di cercare per loro, raccogliere e analizzare le informazioni che li svelerà per poi prendere provvedimenti efficaci per fermarli e risolvere i loro effetti.

“Se non sai che c’è, non è possibile proteggerlo”. Come possiamo informare, le persone  a prendersi cura e proteggere i propri dati online? Che tipo di suggerimenti, progetti o buone pratiche potrebbero essere condivisi per accrescere la consapevolezza nelle tematiche della cybersecurity per individui e aziende?

Il passo più importante per il raggiungimento di una sicurezza efficace – includendo sia la sicurezza sia la sicurezza informatica fisica – è quella di pensare in termini di rischio, non in termini di obiettivo. Questo è qualcosa che facciamo tutto il tempo in tutti gli aspetti della nostra vita, sia alla guida delle nostre auto o prendendoci cura della nostra salute o nella gestione delle nostre finanze. Dalle domande più grandi  di sicurezza che dobbiamo porci in qualità di aziende (ovvero come “come possiamo ridurre il cybercrime?”) alle domande più dettagliate che dobbiamo affrontare in qualità di individui (“dovrei cliccare su questo link?), tutti abbiamo bisogno di pensare in termini di comprensione e soprattutto consapevolezza e rispondere a tali rischi, facendo scelte efficaci che ci permettono di spendere meno tempo ottimizzando le risorse. Come molti di noi che lavorano nel campo della sicurezza delle informazioni il concetto da esprimere è che: “La sicurezza è affare di tutti.” Per aumentare la consapevolezza abbiamo necessità di lavorare insieme contro le minacce che abbiamo di fronte, mettendo a fattor comune le migliori possibilità per proteggere noi stessi, le nostre famiglie, le nostre comunità e il nostro mondo.

Secondo la sua esperienza, quali sono i punti di forza e di debolezza delle soluzioni open source per la cybersecurity?

Nel suo ultimo libro, The Innovators, Walter Isaacson descrive le due culture molto diverse tra loro che hanno guidato le innovazioni nella tecnologia dei computer negli ultimi 50 anni. Da un lato, le comunità open source che hanno raggiunto grandissimi traguardi e risultati con prodotti come Linux, OpenSSL Apache Software Foundation e il modello di licenza pubblica GNU. D’altra parte, invece, ci sono gli innovatori di prodotto come DEC, Apple, Intel e la mia RSA. Ho lavorato per tutta la mia vita a cavallo di queste culture considerandole sempre ugualmente importanti e addirittura complementari. La comunità open source si avvale della forza di interazione e sostegno reciproco, lo sviluppo di implementazioni robuste a vantaggio di tutta la comunità. Le singole imprese creano capacità uniche che guidano e spingono  l’innovazione in avanti, spesso interrompendo la saggezza accettata per affrontare vecchi problemi in nuovi modi e nuovi problemi in modi che beneficiano di intuizioni facendo tesoro del passato. Abbiamo bisogno di entrambe queste culture. Abbiamo bisogno di persone che si concentrino su una di queste culture a prescindere da quale sia la loro scelta, e di altrettante  persone che, come me, vivono all’interno di questi due mondi. Nel bel mezzo dei nostri tempi di trasformazione, abbiamo bisogno di costruire e poggiare meglio sui punti di forza di entrambe le culture, da un lato, favorendo l’innovazione unica all’interno di individui e aziende, e dall’altro portando quelle innovazioni alla loro piena utilità nelle comunità collaborative e aperte.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here