「Intel プロセッサのセキュリティ上の欠陥は非常に深刻な事実であり、特にその方法では、このような脆弱な製品をどのようにして市場に出すことができるのでしょうか?」. 現象を説明するには サイバー犯罪 と サイバーセキュリティー、去る 最後のセンセーショナルな事件以来 2017 年の上半期だけ (確認されたケースのみを数えた場合) にサイバー攻撃が世界的に 8,35% 増加した後、 ガブリエル・ファッジョーリ, Information Security & Privacy Observatory の科学ディレクター ポリテクニコディミラノ、Clusit (イタリアの情報セキュリティ協会) の会長、および Digital4 グループのアドバイザリー会社である P360I の CEO です。 「どうやって身を守る? 利用可能なアップデートを常にダウンロードし、詳細をお知らせします。 トバギの言葉を借りれば、ハッカーは無敵の侍ではありません。」
最新のケースから始めましょう。Intel、Amd、Arm などの XNUMX つの IT 大手の「故障した」プロセッサのケースで、数十億台の PC がハッカーの攻撃にさらされる可能性があります。 本当に何が起こったのですか?
「まず最初に、ただちに XNUMX つのことを明確にしましょう。この場合、それは攻撃の問題ではなく、技術システムの脆弱性の問題でした。 重大なセキュリティ上の欠陥により、世界中の何十億もの機器が関与しており、それらはすべて最近製造されたものであり、IT 機器に含まれる企業や個人のデータが危険にさらされています。 世の中に不誠実な人がいなければ何も起こらない可能性がありますが、残念ながらそうではないため、重大かつ広範囲に及ぶ危険を排除することはできません。 しかし、最も重大な側面は技術ではなく方法論です。このような深刻な脆弱性を持つ製品を市場に出すことは、通常の雨でもブレーキがかからない車を販売することと同じです。 研究、設計、開発において、この問題がどうして見落とされたのでしょうか?」
最も機密性の高いターゲットは誰で、どのように身を守ることができますか?
「誰でも、サイバー犯罪作戦だから、来て マルウェア al フィッシング詐欺 これは最も普及しており、多数でプレイします。 何十億もの人々が攻撃を受けていますが、おそらく特定の誰かを標的にすることなく、誰かがそれに引っかかることを期待しています。 明らかに高齢者が危険にさらされていますが、逆説的に、電子ツールをより頻繁に使用し、実際の使用経験が豊富であるにもかかわらず、不信感や反省を行動に移す傾向が少ないため、ほとんど注意を払わない若者もいます。 アドバイスは、オペレーティング システムからブラウザまで、利用可能なすべての更新プログラムを常にダウンロードしてから、詳細を確認することです。 これはまた、一般の人々の課題でなければなりません。コンピューター サイエンスの教育が学校に恒久的に導入される時が来ました。」
Clusit (イタリア情報セキュリティ協会) のレポートでは、サイバー犯罪のリスクは依然として主に、被害者に与える可能性のある経済的損害に関連していることを強調しています。 さまざまな種類のリスクとは?
「ケースの 75% で、サイバー犯罪者は金銭をゆすり取る目的で被害者を標的にしています。 しかし、電子決済システムへの侵入によってこれが行われるのはごくわずかであり、今日ではますます安全になっていますが、ほとんどは電子メールを介して行われる詐欺であり、欺瞞を利用しています. たとえば、私はナイジェリアの詐欺事件を思い出しますが、2017 年に流行した他の詐欺事件も思い出します。これが、私がより多くの情報が必要であると主張する理由です。 次に、ネットいじめ、画像の損傷、個人データの盗難、ID の盗難があります。 そしてスパイ活動。」
ここでは、2017 年にサイバースパイ活動が大幅に拡大し、ロシアゲートなどの事件で見出しを飾った: それはサイバー犯罪の新たなフロンティアになるのでしょうか?
「それが新たな支配的なトレンドになるかどうかはわかりません。 確かに、ロシアゲートのように非常に重要ではあるものの、既知のケースは 126 年で XNUMX% 増加しました。 しかし、不正競争の手段として、地政学的な分野だけでなく、企業の分野でもこの慣行が広がり続ける可能性があると私は確信しています。」
通常、ハッキングの背後にいるのは誰ですか?
「世界中の犯罪組織が、今や確実で実質的な収入源となっています。 それから孤独なオオカミ、そしてロシアや中国のようないくつかの州でさえ、彼らが当然それを否定していても.
サイバー犯罪を助長する可能性のある技術的な欠陥に話を戻すと、多くの人がシリコンバレーの著名人がこの問題に対してあまりにも表面的な態度をとっていると非難しています。 同意?
「完全に無視されているとは言いませんが、接続された機器の大規模な普及がシリコンバレーの有名人だけでなく、製品とサービスのインフォマティシおよびテレマティシを作成または実現することを求めるすべての企業の。 彼らはもっとできるでしょうか? 確かにそうですが、私はそうなると思います:最近発生している継続的な事件が受けているというメディアの注目のおかげで、認識が高まっています.
代わりに、Clusit のデータは、サイバー攻撃に対して脆弱なのはまさにヨーロッパであると述べています。 なぜ、そしてどのように彼は問題を解決しようとしているのでしょうか?
「ヨーロッパではより多くの被害者がいますが、それは正常なことです。なぜなら、イタリアを含む一部の国は、北米だけでなく、コンピューター化の歴史的な遅れに苦しんでいるからです。 コンピューター化はコンピューター文化も意味し、重要な措置が取られているにもかかわらず、私たちは遅れをとっています。 欧州議会で議論されている法律 (サイバーセキュリティ法と呼ばれる) は、ネットワークおよび情報セキュリティの欧州機関である ENISA を強化し、製品とサービスの IT セキュリティ認証の有機的なフレームワークにつながるはずです。 いい一歩だ」
イタリアですか?
"よくなってきてる。 まず第一に、世間の注目が高まっています。政府は、サイバー保護と情報セキュリティに関する新しい国家計画を承認しました。 AgID (エージェンシー フォー デジタル イタリー) がここ数か月で採用した行政機関向けの最小限の ICT セキュリティ対策もうまくいっています。 私は常に、イタリアの行政は IT インフラストラクチャとアプリケーションの組織に関して細分化されすぎており、結果として IT コストとリスクが増加していると考えてきました。 代わりに、インフラストラクチャとアプリケーションの管理を一元化して、合理化、コスト削減、およびセキュリティの強化を可能にすることが適切だと思います. 実際、重要な規模の経済を期待できるプレーヤーだけが適切に投資できることに疑いの余地はありません。Dropbox など、世界で最も重要なクラウド コンピューティング プラットフォームを考えてみてください。 個人、フリーランサー、または中小企業や大企業でさえ、セキュリティのためにこれほど大規模かつ継続的な投資を行う余裕はありません。 アウトソーシングとアグリゲーションにより、システムはより安全で効率的になります。 いずれにせよ、リソースが不足するのではないかと心配しているとしても、パスは正しいです.PAを確保するには数十億ドルが必要です.
代わりに企業レベルで?
「ハイエンド、つまり大企業の間では、コンピューターのセキュリティの問題が議題になっていると思います。 一方、中小企業は遅れをとっている。 テーマは、IT セキュリティへの投資が低すぎるということです。66 年のイタリアの ICT (情報通信技術) 支出は 2016 億ドルでした。ミラノ工科大学は、これらの 66 億ドルのうち、1 億ドル未満がセキュリティに割り当てられていると推定しています。 % (GDP の 1,5%): 少なすぎます。 結局のところ、メーカーがその信頼性に 0,05 分の 100 のリソースしか割いていないことを知っている私たちが車を購入することを信頼できる人がいるでしょうか?」
最後に、挑発です。イタリアでさえ、技術の遅れについて話しましたが、より大きなリスクを決定するのは、まさにより広い領域への技術の拡散です。 実際、Clusit のレポートには、スマート ワーキング、モノのインターネット、インダストリー 4.0 も危険要因に含まれています…
「攻撃対象領域が増えるため、これは生理学的なものですが、テクノロジーを悪魔化するべきではありません。 車での事故を避けるかのように、馬車での移動に戻ります。 製品の安全性を高めるのは確かに企業の責任であり、ルールを決定して市民の教育に貢献するのは大衆の責任です。 しかし、残念なことに、不注意、無知、誤った情報など、すべての場合と同様に、常に問題が発生します。 文化とリスクの理解が必要であり、したがって、自分自身だけでなく他の人のためにも、どこで止まるのが最善かを理解する能力が必要です。」
