"È sempre un compromesso"

Signor Capkun, in una recente intervista lei ha affermato che: "Un po' di paranoia non guasta quando si tratta di sicurezza informatica". Quanto si dovrebbe essere paranoici, idealmente?
Quando si parla di sicurezza informatica, è bene essere un po' paranoici e controllare costantemente la tecnologia. Ma poi sorge subito la domanda: cosa ne fate? Per avere una sicurezza completa è necessario rinunciare a molti vantaggi. Si tratta quindi di trovare il giusto equilibrio tra funzionalità e sicurezza.

Tuttavia, le domande presuppongono una certa conoscenza dei sistemi informatici.
Questa è la base, sì. Questo vale anche per gli aggressori: se si vuole manipolare un'automobile, un drone o una centrale nucleare, bisogna capire esattamente come funzionano i sistemi. La domanda è: cosa vogliono gli aggressori? Hanno in mente un obiettivo specifico o vogliono solo provocare il caos?

Come esperto di sicurezza, dovete sempre considerare gli interessi degli attaccanti?
Sì, bisogna guardare avanti. Le opzioni del difensore sono sempre limitate. Prendiamo un telefono cellulare: come si può renderlo sicuro? I chip del dispositivo, il sistema operativo, le applicazioni, tutto questo è stato realizzato da aziende diverse che non si possono controllare. È molto difficile rendere il dispositivo davvero sicuro senza cambiare il sistema operativo o l'hardware.

Il modo in cui i sistemi vengono attaccati è cambiato negli ultimi anni?
Un nuovo sviluppo è il ransomware. Può essere usato per criptare i dati e poi ricattare le vittime. Attacchi di questo tipo esistono da tempo. La novità è che i ricattatori che utilizzano valute virtuali come il Bitcoin hanno la possibilità di non essere riconosciuti se fanno trasferire il denaro del riscatto in modo anonimo. Senza di ciò, questo tipo di ricatto non potrebbe funzionare.

Quali dispositivi sono particolarmente facili da crackare?
La gamma di dispositivi attaccati è ampia perché molti di essi sono scarsamente protetti. Spesso questo ha a che fare con il prezzo. Se si vuole produrre una telecamera Wi-Fi a basso costo, non si possono investire molti soldi nella sicurezza. Questo crea delle lacune.

Lei stesso conduce ricerche sulla protezione delle apparecchiature mediche, tra le altre cose. In che misura i nostri ospedali sono protetti dagli attacchi?
La situazione è complessa. Nel caso di un pacemaker, ad esempio, il software di controllo può essere criptato solo in misura limitata. Sorge quindi la domanda: chi ha la chiave di questo software? Il medico? E se è in vacanza? E quanto sono protetti i dispositivi utilizzati per programmare il pacemaker? Queste sono le domande su cui stiamo attualmente indagando nella nostra ricerca.

Qualche mese fa, alcuni ospedali sono stati attaccati da hacker, soprattutto in Inghilterra. Qual è stato il problema?
Molti ospedali dispongono di apparecchiature mediche con sistemi operativi obsoleti, a volte addirittura con Windows 98, anche se questo non è più supportato da anni. Se si vuole aggiornare il software, i dispositivi potrebbero non funzionare più correttamente perché, ad esempio, l'hardware e il software non sono più compatibili. Ciò significa che è necessario un complesso sviluppo del software e che i dispositivi devono essere ricertificati. Entrambi costano tempo e denaro. Inoltre, la semplice sostituzione dei dispositivi con altri nuovi spesso non è una soluzione.

Bisogna quindi trovare un compromesso?
La complessità diventa evidente quando si effettua una valutazione del rischio. Quanto è delicato, ad esempio, se una TAC cade nelle mani sbagliate? Questo dipende, tra l'altro, dalle modalità di regolamentazione del sistema sanitario. Ancora una volta: proteggere un ospedale dagli attacchi degli hacker è un compito tecnico, ma non l'unico.

Un altro argomento di grande interesse per l'opinione pubblica è la questione se gli attacchi informatici stiano minando la nostra democrazia. Come valuta la situazione?
Il problema non è solo la manipolazione delle elezioni, ma anche la perdita di fiducia nei processi democratici. La Posta Svizzera sta attualmente sviluppando un sistema di voto elettronico per la Svizzera. È possibile dimostrare che questo sistema è crittograficamente sicuro. Ma cosa può fare una persona che non conosce la crittografia con queste informazioni? Come si fa a convincere le persone che tutto è stato regolare durante una votazione o un'elezione? È un argomento interessante su cui sto riflettendo molto al momento.

Recentemente si è svolto all'ETH di Zurigo il Cyber Risk Summit, organizzato dallo Zurich Information Security and Privacy Center (ZISC). Quali sono le sue conclusioni?
Sono lieto di aver riscontrato un così grande successo. L'evento ha anche confermato che l'ETH non è solo forte nella ricerca in questo settore, ma che anche il nostro insegnamento ha un grande impatto. Molti dei nostri studenti avviano le proprie aziende. Dobbiamo essere orgogliosi di questo, perché dimostra che l'ETH sta facendo molte cose giuste.

Come si svilupperà lo ZISC nei prossimi anni?
Vogliamo espandere il centro. Di recente siamo riusciti ad acquisire altri partner, come la Posta Svizzera, la Zürcher Kantonalbank e la compagnia assicurativa Zurich. È notevole il fatto che possiamo realizzare progetti interessanti anche con aziende che operano in un settore tradizionale. Dopotutto, anche queste aziende stanno vivendo un rapido cambiamento a causa della digitalizzazione, con conseguenti nuove sfide nel campo della sicurezza delle informazioni.

La ricerca allo ZISC è fortemente orientata a problemi concreti?
Non solo. Facciamo anche ricerca fondamentale provando le cose per curiosità, senza sapere in anticipo se funzioneranno. Questa parte è molto importante per noi.