Pasquale Lambardi, presidente di Relatech
Oltrepassando un doppio ingresso e la vetrata a tutta parete, si arriva in una sala dove i maxi schermi mostrano gli attacchi che le aziende stanno subendo in tempo reale. È la control room, dove una squadra di professionisti monitora, rileva e risolve le aggressioni degli hacker. A Cinisello Balsamo, Relatech Group Spa da oltre vent’anni anni si occupa di cybersecurity. "Aiutiamo le piccole medie imprese e le corporation nella digital tranformation e a ottimizzare i processi – spiega Pasquale Lambardi, fondatore, presidente e amministratore delegato del Gruppo -. Proteggere dati e processi dovrebbe essere un servizio, come l’energia elettrica: la sicurezza informatica riguarda tutti".
Fondata nel 2001, Relatech è un ecosistema di più aziende altamente specializzate. "Stiamo puntando molto al settore industriale – continua il manager -. Quando sentiamo parlare di aggressioni, si pensa alle piattaforme istituzionali o alla guerra. Alla richiesta di riscatti, all’impossibilità di prenotare un esame, al mandare in tilt i sistemi ospedalieri". Ci sono casi ancora più visibili. "Con un semplice comando si può cambiare il ciclo produttivo, apportare una leggera modifica a un pezzo. Così il competitor magari ha una settimana in più per piazzare il suo prodotto. Si può generare un alimento non conforme, alterare la dimensione di una confezione, rendendola inutilizzabile – continua Giuseppe Dominoni, cybersecurity director -. Per mettere in sicurezza bisogna microsegmentare a reparto o isole di produzione. Come una nave, dove si chiudono i settori a compartimenti stagni e continua a navigare mentre si risolve il problema".
Il problema lampeggia sul maxischermo del Soc, il security operation centre, dove lavorano una quindicina di persone e altre 30 da remoto. A volte c’è una sirena. "Dopo che appare sul monitor l’incidente, si deve identificare l’attacco: un’intrusione, un’attività sospetta in un pc. Apprendiamo ad esempio che Mario Rossi è stato compromesso e abbiamo 10 minuti per risolvere. Subito viene creato un team con più competenze – racconta Marco Galli, responsabile del Soc -. Si dà comunicazione all’azienda e si fa una timeline. Lo spazio/tempo è completamente diverso: 3 secondi sono un tempo non significativo nella nostra vita, ma un’aggressione ti svuota una banca a Hong Kong e in contemporanea in Europa". Spesso e volentieri, quando il team chiude la partita, l’azienda neanche se ne è accorta. "La morfologia di un attacco è ben definita. Dall’esterno la compromissione dei dati avviene sempre con una base comune, un’espansione, come un ladro che una volta entrato in casa si muove nelle stanze".
Ogni caso è ricerca e sviluppo: crea uno storico e training on job. "Facciamo poi continui penetration test. Il red team mette a dura prova quello che abbiamo progettato per vedere se regge. Creiamo costantemente aggressioni alle nostre infrastrutture per avere indicatori di compromissione sempre aggiornati. Mettere più livelli di difesa rallenta l’attacco: se si buca il perimetro, l’hacker trova fatiche su fatiche e barriere, che danno tempo al Soc di intervenire e risolvere". Non uno scudo spaziale, ma un sistema articolato di difesa. "Diamo per scontato che l’incidente possa accadere: non siamo qui per dire ‘Con noi non succederà mai’ ma per gestirlo. L’importante è capire perché avviene, magari è stato un semplice click a una mail".