In occasione dell’ultima convention di Var Group abbiamo intervistato Mirko Gatto, responsabile della divisione Digital Security di Var Group. Durante l’intervista Mirko Gatto ci ha esposto la sua opinione su presente e sul futuro della cybersecurity anche con una prospettiva da ex imprenditore.
Potrebbe iniziare parlandoci di lei, del suo percorso professionale e di come è arrivato alla sua posizione attuale in Var Group?
Nel 2001 ho fondato una società che lavorava in ambito cybersecurity. Quello è stato probabilmente un caso di timing sbagliato, nel senso che forse eravamo partiti con troppo anticipo rispetto al mercato. Avevamo anche sbagliato target, perché noi volevamo rivolgerci alle PMI; poi abbiamo capito che la cybersecurity, 22 anni fa, era solo per il mercato enterprise o poco più. Nonostante questo, però, l’azienda è sempre andata molto bene ed è cresciuta.
Nel 2014 ho iniziato a pensare che la cybersecurity sarebbe probabilmente esplosa da un momento all’altro. Avevo questa percezione perché vedevo tecniche di attacco sempre più evolute e la mia paura era di non riuscire a far scalare il mio modello di lavoro. Perché se ti metti in competizione con un vendor è una cosa che devi fare rapidamente, e farlo da solo è un po’ difficile. L’azienda, tra l’altro, aveva anche una dimensione interessante; piccola, eravamo circa 25, ma sicuramente una delle più strutturate tra quelle che facevano consulenza su cybersecurity in Italia.
Siamo stati avvicinati da un fondo internazionale e da un’azienda americana. Però si è visto che erano interessati solo all’operazione finanziaria. Eravamo in due soci ancora molto giovani e la cosa non ci è piaciuta. Successivamente, abbiamo conosciuto Var Group, in particolare Giovanni Moriani e Francesca Moriani [rispettivamente fondatore e l’attuale CEO n.d.r.] e loro ci hanno raccontato una storia diversa con un passato aziendale che ne era la dimostrazione. Io, da piccolo imprenditore del nord-est ero un po’ diffidente ma alla fine siamo partiti lo stesso con una joint venture.
C’è stato un percorso graduale ma estremamente rapido, e mi piace pensare che è uno dei percorsi migliori all’interno di Var Group. Perché c’è stata una sinergia: Var Group mi ha portato l’esperienza, la potenza e la capillarità a livello commerciale. Mi hanno detto che l’esperto di cybersecurity ero io ma come industrializzare e scalare il modello me lo avrebbero spiegato loro. Alla fine, ci siamo capiti ed è successa una magia, nel senso che se guardo indietro quello che mi avevano pronosticato il fondo e quello che mi aveva promesso l ‘azienda americana erano meno di un terzo di ciò che ho realizzato.
Durante la presentazione ha accennato a una specie di punto di rottura nella gestione della sicurezza. Potrebbe andare più a fondo su questo?
In questi ultimi sei mesi, lo sappiamo, c’è stato un aumento esponenziale degli attacchi di sicurezza. Quello che è successo, non solo a noi, è che si è sollevato un grido di allarme da parte di tutta la comunità. Il messaggio era semplicemente che andando avanti così i dati da analizzare sarebbero aumentati a dismisura rischiando di travolgerci. Non è possibile continuare ad aumentare il personale per due motivi fondamentali: il primo è che c’è un‘oggettiva difficoltà nel recuperare risorse; il secondo è che il modello di lavoro rischia di non essere abbastanza scalabile. Soprattutto per il secondo aspetto, l’attività rischiava di non essere più interessante dal punto di vista economico, perché le aziende guardano anche a quel tipo di risultato.
Questo fenomento ha però sollevato delle domande importantissime nella comunità sul livello generale di preparazione. Le aziende adesso hanno capito e stanno migliorato la loro postura dal punto di vista cybersecurity. Anche la maturità è aumentata, e sono strati fatti degli investimenti importanti anche dal punto di vista tecnologico; parlo anche di tecnologie specifiche come XDR (eXtended Detection and Response) e SIEM (Security Information and Event Management).
Dall’altra parte, però, gli attaccanti hanno capito che il cybercrime è un settore estremamente remunerativo; parliamo infatti del quarto settore criminale più remunerativo al mondo. Ovviamente, si sono adoperati e hanno affinato le loro tecniche di conseguenza. Questa concatenazione di eventi ha mandato in crisi la maggior parte dei SOC (Security Operation Center) a livello mondiale.
Ci siamo resi conto che dovevamo ripensare completamente il modello per evitare di venire letteralmente travolti.
Il vostro approccio, come azienda, qual è stato per affrontare questo tipo di problematica?
Vorrei cominciare con un aneddoto. Io ho cominciato a spingere per l’AI in azienda due o tre anni fa, anche con il supporto di Francesca Moriani. I nostri analisti, però, sono sempre stati molto scettici perché non possedevo competenze specifiche di AI e secondo loro non avevo idea di come applicarla all’ambito della cybersecurity. Ovviamente, nel momento in cui si scendeva veramente sul tecnico ero costretto a fermarmi. Poi però è successa una cosa: loro sono andati, come spesso accade, a degli eventi internazionali e hanno osservato un cambio di passo, anche di alcuni vendor nell’ambito dell’intelligenza artificiale. Sono rientrati, e hanno iniziato a porsi delle domande.
Con l’escalation degli attacchi ci siamo detti che qualcosa bisognava fare nonostante la tecnologia non fosse ancora completamente matura. Abbiamo quindi avviato un cantiere, una linea di brainstorming, con la nostra divisione interna di data science che ci occupa anche di intelligenza artificiale. Disciplina che, oggettivamente, ha avuto un’accelerazione incredibile durante l’ultimo anno.
Già un anno prima avevamo tentato un progetto che è poi stato abortito. Era stato abortito perché il grande scoglio dell’intelligenza artificiale è che serve una base di dati ampia e ben strutturata per addestrarla. È un lavoro importantissimo, perché sbagliando quella il sistema non funziona. Stavolta però ci siamo adoperati, abbiamo strutturato le informazioni e siamo riusciti ad attivare un’intelligenza artificiale.
Nell’arco di qualche mese i risultati sono stati pazzeschi. Oggi c’è un grande entusiasmo e ora tutti vogliono implementare l’AI in ambito cybersecurity. Non solo all’interno del SOC ma anche nel RAD Team (Response, Assessment and Discharge) e nella CTI (Cyber Tract Intelligence) perché hanno capito che il beneficio per gli analisti è significativo. Tra l’altro, l’adozione dell’AI ha anche ridotto il tasso di abbandono interno. Le persone hanno smesso di essere frustrate da un lavoro poco qualificato e da ritmi troppo frenetici. Quindi, i benefici per noi sono stati incredibili
E poi come si è evoluta la cosa?
Il mio entusiasmo si è un po’ infranto come un’onda contro uno scoglio quando ho parlato con il mio collega Marco Ferrando, che mi ha rallentato. Eravamo lanciatissimi, ma c’era bisogno di prendere il ritmo giusto per poter valutare tutto correttamente. Perché quello dell’intelligenza artificiale è un ambito particolare e specifico. I colleghi che si occupano di data science ci hanno accompagnati in modo pragmatico mentre noi mettevano in campo le nostre competenze.
Oggi il team di lavoro si è amalgamato in modo pazzesco e li ho visti festeggiare insieme per gli ottimi risultati ottenuti. Alla fine abbiamo vinto anche su quel fronte, ed è stato un risultato incredibile.
L’AI e le tecnologie ad essa correlate esistono oramai da quarant’anni; avevamo però bisogno della potenza di calcolo del cloud per renderle sfruttabili. Non si corre però il rischio che, tra attacco e difesa, ora vince chi ha l’hyperscaler più potente alle spalle?
Questi gruppi criminali, chiaramente, sono particolarmente organizzati però, in questo momento, e tecnicamente, bisogna valutare bene che cosa stanno facendo. In questo momento loro si muovono a fronte di errori umani che vengono compiuti nelle aziende. È vero che sono bravi e velocissimi, ma dall’altra parte la loro capacità offensiva si basa sugli errori umani che le aziende o gli amministratori di rete compiono; dimenticando una password di default, dimenticando una porta aperta o cadendo vittime di phishing. Non è che siano attacchi così sofisticati. Sono sofisticati nella declinazione della velocità e dell’efficienza, giusto quello. Tuttavia, faccio fatica a immaginare che questa criminalità organizzata possa oggi dotarsi rapidamente di intelligenza artificiale a scopo offensivo. Forse utilizzano già ChatGPT per generare codice, ma usarlo per aggirare i sistemi di difesa lo vedo un po’ difficile in questo momento.
Tutt’altra cosa è quando entra in campo un governo. Apparati governativi con capacità cyber delineano tutto un altro scenario. Li, si, diventa una questione di forza e di quanto il canone è ampio. In quel caso sono d’accordo e probabilmente vince chi investe di più, chi ha più capacità di spesa per creare armi di quel tipo.
C’è poi anche un tema di competenze. Ci sono i buoni e ci sono i cattivi; molti cattivi vengono poi reclutati dai buoni. Questo succedeva un po’ di più all’inizio, ai tempi di Kevin Mitnick. Adesso, per fortuna, sia da una parte della barricata che dall’altra si trovano uguali competenze e non serve più assoldare dei cattivi per correre ai ripari. Questo non toglie che alcuni governi possono ricorrere a organizzazioni borderline per effettuare attacchi ma, ripeto, ci si muove in tutt’altro ambito.
Continuando su questa stessa falsa riga, è possibile secondo lei che un domani il quantum computing faccia fare all’intelligenza artificiale quel passo in più per cui cambieranno nuovamente le regole del gioco?
Sì, quella potrebbe essere una rivoluzione con ripercussioni pesanti un po’ per tutti, anche positive. È troppo presto, secondo me, per vedere qualcosa di veramente interessante se non in ambiti estremamente specifici. Ad esempio per l’analisi del clima o per il calcolo del genoma. In linea generale gli analisti parlano di un periodo tra i cinque e gli otto anni perché possa avere un impatto per l’economia e per tutte quante le persone. Non si tratta neppure di un intervallo di tempo enorme. Nel momento in cui succederà, però, si apriranno scenari che stravolgeranno un po’ tutto. Combinato con l’AI, il quantum computing andrà a creare delle situazioni estremamente interessanti.
Quindi è un campo su cui avete intenzione di investire nei prossimi anni?
Ci stiamo guardando e abbiamo anche qualche competenza interna. In questo momento le aziende che investono stanno addestrando software, simulandone lo sviluppo a quantum usando dei modelli virtuali. C’è però anche una componente hardware importante, e potrebbe anche succedere che da un momento all’altro qualcuno esca dalle retrovie per cambiare nuovamente le regole del gioco. C ‘è stato l’annuncio di ricercatori cinesi che, hanno detto, sono riusciti a usare il quantum computing per rompere un sistema crittografico; però poi non è eseguita documentazione tecnica, nulla di pubblico.
Non escludo che in futuro l’azienda possa decidere di fare degli investimenti in questa direzione, ma ora è ancora troppo presto per dirlo.
Visto il suo passato molto interessante, le va di chiudere dicendo qualcosa ai nostri lettori che stanno pensando di aprire una startup?
Questa è una bella domanda. Allora, fare una startup è un’esperienza incredibile. Io lo auguro, ma non spingerò mio figlio a fare quel tipo di mestiere, perché comunque è un inferno. È veramente difficile, però si impara di tutto. Poi, chiaramente, chi fa startup oggi è molto più fortunato di chi lo faceva venti anni fa. Mi ricordo ancora il direttore di banca, inorridito, quando gli ho descritto il mio progetto industriale per una cybersecurity company. Mi guardava e mi chiedeva di cosa stavo parlando.
Diciamo che i giovani in questo momento sono molto brillanti, sono molto più preparati di noi e molto più veloci. Devono, probabilmente, mettersi anche in modalità di ascolto, avendo la fortuna di disporre di un tessuto economico di aziende come Var Group che possono consigliarli. Devono credere nel sogno, devono percorrerlo, devono però anche avere un po’ di umiltà nell’ascoltare chi ha già percorso un certo tipo di strada. Non perché da soli non ce la faranno, perché se una persona è veramente determinata comunque il risultato lo raggiunge, ma per risparmiarsi un sacco di fatiche.
La redazione ringrazia Mirko Gatto di Var Group per la sua testimonianza di esperto di cybersecurity ma anche di ex-imprenditore in occasione di questa intervista. Chi volesse saperne di più sui servizi di cybersecurity offerti da Var Group può fare riferimento alla pagina web del gruppo.