私たちの国を悩ませている主なサイバー脅威の 2008 つが XNUMX ワームであることを想像したことがありますか? イタリアで天然痘について今日聞く方法!
「サイバー」と「サイバーセキュリティ」という用語は、あまりにも長い間乱用されてきました。 これらは、キャンプを非常に深刻な個人の政治的能力の欠如を埋め合わせたり隠したりすることができる外出の機会であると考える人々のためのものであり、差し迫った危険の兆候は「成功」であるとコメントする人々のためのものです。
我が国のサイバーリスクに対する懸念が高まっているため、エンジニアのカルロ・マウセリ氏が代表を務めるマイクロソフト社について聞き、それについてどう考えているかを理解しようとしました。
マイクロソフトはイタリアのサイバー状況をどのように評価していますか?
私はマイクロソフトを代表して話しますが、 イタリア人であることを忘れずに したがって、私はすぐに言いますが、イタリアと私たちが通常比較の条件として使用する多くの国との比較は私たちにとって不利であり、改善されているようには見えません。
わかりやすくするために例を示します。 数日前、ITASECで同僚数名と私は、イタリア企業が戦わなければならない主な感染症は何かを分析しました。 信じられないことに、それが 2008 年に出現したワームである Conficker であることがわかりました。このワームについてはすべてが知られており、古いものであるため事実上消滅したはずです。 実際、これは他のほとんどの国に当てはまりますが、我が国ではそうではありません。
これは何を意味するのでしょうか? それはいくつかのことを意味します: 時代遅れ、敏感さの欠如、偽情報、コラボレーションの傾向の少なさ (特に官民パートナーシップに関して) IT部門への投資不足。 行政の世界でも民間部門でも、特に中小企業では、XNUMX 年以上前のコンピュータ、時代遅れのシステム、時代遅れのアプリケーションが依然として存在しています。 しかしそれだけではありません。 驚くべきことは、この状況に本当に対処したいのであれば、態度や姿勢を変える必要があるということです。
アプリケーション ソフトウェアは言うまでもありません...過去にセキュリティに何の注意も払わずに開発され、残念ながら今でも存在しており、したがって非常に危険です。
学び、改善するために、あまり遠くを見る必要はありません。 リスクと敵を知っていれば戦うことができますが、問題は常に他人のものであり、自分たちが最善であり、リスクは負わないとふりをしていたら… まあ、この場合、私たちが得るものは何もありませんそれ以外は私たちが受けるに値するものです。
私がイタリアで感じている問題の XNUMX つは、イタリアの孤立です。 私たちは孤立し続けることはできず、他の人々と団結し、協力しなければなりません。 たとえば、オランダとイギリス、そしてフランスとドイツを見てください。これらの国々は、多額の投資、組織、官民パートナーシップ、そして真剣さを通じて、行政と企業、民間人の両方を支援できる国家システムを構築することに成功しました。
イタリアの産業構造は中小企業の 95% で構成されていますが、もし国家が投資やテクノロジーを更新する企業への減税を通じて世話をしなければ、誰が世話をするのでしょうか?!!!
イタリアが競争力を持つためには何が必要ですか?
現在最も重要な問題の一つに各国がどのように取り組んでいるかを理解するために、他の国々の例から始めましょう。 オランダは、2020 年までに国民総生産 (GDP) の 25% がデジタル経済で構成され、経済的幸福は機能し、安全で信頼できるデジタル経済にますます依存するようになると推定しています。 したがって、オランダ政府はICTセクターの保護と強化を重要な目標とし、サイバーセキュリティに300年間でXNUMX億ユーロを割り当て、目標の達成を促進するための構造改革を実施することで国のサイバーセキュリティに投資している。
2015 年、英国は「オンラインでビジネスを行うのに世界で最も安全な場所」になり、サイバーセキュリティの世界リーダーになるという野心的な目標を設定しました。 これらの目標を達成するために、英国は 2016 年に新たな国家サイバーセキュリティ戦略を立ち上げ、2 年間で XNUMX 億ポンド近くをサイバーセキュリティに割り当て、サイバーセキュリティへの対応を担当する国家サイバーセキュリティ当局として新しい国家サイバーセキュリティセンターを発足させました。国家に影響を与える攻撃、関係者間の情報交換、国家システムの IT セキュリティに関する一般的なリスクの軽減、それを必要とする団体や組織への支援、関連情報の普及とサイバーセキュリティの管理セキュリティ情報共有パートナーシップ (CiSP) は、組織間の情報交換を可能にし、必要なときにいつでも具体的なサポートを提供するツールです。 さらに、Cyber Essentials プログラムが開始されました。これは、あらゆる規模およびあらゆる業界の組織に対して基本的なサイバー セキュリティと費用対効果を保証する一連のポリシーと標準であり、最も一般的なサイバー リスクから保護し、サイバー リスクに対する耐性を強化するのに役立ちます。サイバー攻撃。
私たちはイタリアで何をしましたか?
国家安全保障の枠組みが定義され、セキュリティ情報局 (DIS) が単一の連絡窓口として任命され、私たちは国家安全保障以外に重大な影響を与えるインシデントの通知を行うためのコンピューター セキュリティ インシデント対応チーム (CSIRT) の結成を待っています。レンツィ政権時代に150億XNUMX万ユーロを割り当てたが、その痕跡は失われた。
Il "「変化の政府」が就任?
新しい予算法では次のようになります。 XNUMX年間で年間XNUMX万ユーロ!
投資の不足と公開市場へのアクセスの不可能性は、Microsoft だけでなく、すべての人にとって、そして最終的には国にとっても問題です。 Microsoft の立場に関する限り、Microsoft がビジネスに対処しなければならない企業であることは明らかです。 しかし、国の発展のために不可解な選択を迫られる中、私たちも企業として、積極的に協力できる環境を整えるのが難しいと感じています。
例として、マイクロソフトには、世界 70 か国が署名した政府セキュリティ プログラムとして知られる無料の政府プログラムがあり、潜在的な事故の防止、技術的な性質の情報の共有、製品の開発に大いに役立つ可能性があると言えます。各国の要求に沿って。 私たちの努力と利害関係者の関心にもかかわらず、私たちはまだこの契約に署名することができません。
なぜですか?
正直に言うと、答えはありません。 そして、これは残念なことです。なぜなら、よく見てみると、これは Microsoft だけの利益ではなく、その恩恵を段階的に受けることになるイタリアのすべての人々の利益でもあるからです。それは、全員の利益に違いありません。
投資の問題は重要です。中小企業の発展を支援することは、サイバー文化を広め、業界の専門家を訓練し、市場での競争力をさらに高めるための基盤を構築するのに役立ちます。
これまでこの分野の発展を妨げてきた主な障害は何ですか?
主な問題の XNUMX つは、 情報交換.
情報交換は、技術者間、およびマネージャーと企業マネージャー間の両方のあらゆるレベルで奨励される必要があります。 敵を知っている場合は予防策を講じることができます…しかし、自分の周囲で何が起こっているのかわからない場合は…どうすればよいでしょうか?
インシデントへの対応を求めて当社に問い合わせがあった場合、当社は人事、インシデント対応チーム、およびお客様に最先端のソリューションを提供できるソリューションの両方を提供し、その分野におけるノウハウと専門知識を提供します。したがって介入できるようになります。 Microsoft では、これらのチームを世界中で複数同時に活動させているため、有益な情報、つまり十分な注意を払って共有できる情報を収集することができます。 この種の問題を担当する組織にも同様のことが求められます。 これらの接続と調整の活動は、国、業界、その他の業界の適切な参加を得て、国によって費用が支払われなければなりません。
フランスとドイツは、オランダやイギリスと同様に私たちよりも先を行っているので、彼らが何をしているのか、どのようにそれを行っているのかを見て、控えめに学びましょう。
GDPR と NIS 指令の両方のルールを尊重することも必要ですが、法律を制定したからといって問題が解決したとは考えられません。 ルールは必要だが、そのためには現場で自らの手を汚して仕事をする人が必要だが、今のところそのようなことは見られていない。
国防省が国のサイバー開発の最前線に立つことになる、発表された部門の再編についてどう思いますか?
私はこのニュースをピサ会議中に知りました。 原則として、他の国では、すべての人をサポートし、問題を規制する国の組織と、軍隊の任務が異なるため、FAの別の組織という別の組織が存在します。 私の意見では、トレンタ大臣の言葉を正しく解釈したとしても、それが正しい解決策になるとは思えません。 確かに、国家の枠組みはますます複雑化しており、責任のレベルが多すぎることが特徴で、一貫したアプローチを困難にしています。
すでに述べたと思いますが、少し立ち止まって熟考し、他の人が何をしているかにも目を向けたほうがよいでしょう。 他人や隣人からは、おそらく謙虚に尋ねることによって、真似することなくいつでも学ぶことができます。 他の人がすでに行っているツールや分析を使用すれば、おそらくあまり長く待たずに、役に立ちそうなものを見つけることができます。
では、あなたの意見では、軍隊にはすべての人のためにそのような仕事をする力はないということですか?
まあ、目に見えるものに従っていきます。 現時点では、CIOC (サイバネティック作戦統合司令部編) しか見ていません。
現在、CIOC は民間の世界とはほとんど関係がありません。 軍事的論理に従って、国家安全保障が危険にさらされる介入への備えに取り組むべきだ。
私たちが全世界と戦争状態にあると言いたくないのであれば別ですが、この場合でも、CIOC は私には十分ではないと思われます。
マイクロソフトはイタリアに投資するつもりですか? そうでない場合は、なぜですか?
イタリアでは、セキュリティ部門、特に公共の場で働くことは非常に困難です。なぜなら、セキュリティは SPC 入札を勝ち取ったサプライヤーを経由するからです (公衆接続システム編)。 これは、行政が Microsoft、Mandiant、FireEye などのサプライヤーを必要とする場合を意味します。 彼らが特定のテクノロジーを使用しているため、または単純にこれらの組織を信頼しているため、直接実行することはできません。 特に能力開発と競争力の観点からすると、これらすべては役に立たないと私は信じています。
国防省がこの分野の発展を担当していると考えるのは妥当でしょうか? 社会に対するインセンティブが失われる恐れはないでしょうか? ハイレベルのアスリートの例を挙げてみましょう...
もちろん、ここでもまさにその通りです。 市民社会は、通常の場合に機能する独自の能力を開発する必要があります。 防衛は常に緊急事態や戦争に参加しなければならないわけではありませんが、そうしないと市場を「麻薬」にしてしまいます。
オンライン ディフェンスの目標は、責任ある人々が必要な是正措置を講じることを期待して、ニッチな聴衆ではなく(おそらく望ましい)広大な聴衆に情報を提供することです...
私はあなたをフォローし、シェアし、あなたの努力に感謝します。残念ながら、イタリアの状況は次のとおりです。 たとえば、地方自治体や大都市は完全に放置されています。.
私たちが介入の過程で毎日目にするシステムのほとんどは、資金不足と訓練を受けた技術者の不足の両方が原因で、まったく安全ではありませんが、主に管理者レベルでセキュリティを重要な要素として考慮していないことが原因です。インフラストラクチャとアプリケーションの両方。
何をすべきか? まず第一に、公共の世界だけでなく私的な世界もサポートする国家の論理に従って、組織を組織し、意識をさらに高め、人々を訓練し、論理的に考えてみましょう。
そうしないと私たちは前に進めません…
この状況は膠着状態につながります。
場合に応じて適切な企業を呼び、自由に動ける国家サイバネ核を構築する必要がある。
私たちは行政規則を複雑化してわかりにくくするのではなく、簡素化する必要がある。
サイバー部門で兵士を訓練させたいなら、あなたならどうしますか?
スタッフを準備するのは難しいことであり、彼らを組織に維持するのは非常に困難です。
高校から学校現場で感性を育て、人を作っていく必要がある。 安全性は、規格から技術、リスク分析に至るまで、包括的な方法で捉え、教育する必要があります。
したがって、必要なコースをイタリアのすべての大学に導入する必要があります。 この分野ではある程度の進歩が見られましたが、必要とされるものにはまだ程遠いです。
軍隊にとっては、意識と何よりも360度の準備を高めるさまざまなタイプの「マスター」、この用語でいいでしょうか。を作成する必要があります。
イタリアの問題は、残念なことに何年もの間、膨大な言葉が無駄にされてきたにもかかわらず、正しい取り組みを実践することさえできなかったことです。
最近、マイクロソフト社の社長であるブラッド・スミスがローマ法王に迎えられましたが、もう少し詳しくお話しいただけますか?
はい、今回の訪問のテーマは人工知能です。 バチカンにおいてさえ、私たちは技術革新とそれに伴うあらゆることに、とりわけ倫理の観点から関心を持っています。 プライベートインタビューの中で、当社の法務部門の社長は、人工知能とそれに関連する倫理的問題に関する視点だけでなく、それが人類にもたらすことができる多大な利益についても説明しました。 マイクロソフトは、教皇庁生命アカデミーと協力して、実際に、2020 年の総会の主要テーマとなる人工知能の倫理に関する国際賞の創設を推進する予定です。
ブラッド・スミスはまた、マイクロソフトのイタリアへの新たな投資「アンビツィオーネ・イタリア」についても語った。 この野心的なプロジェクトでは、200.000 万人の若者をデジタル世界に近づけ、いつか彼らがこの分野のプロフェッショナルになることを期待しています。
実際、イタリアは失業率が高いという非常に特殊な国ですが、サイバー部門、そして一般的にデジタル部門では訓練を受けた人材が慢性的に不足しているということを忘れてはなりません。
イタリアでは、決定は手遅れになるまで延期されることがよくあります。 新しいテクノロジーに直面したとき、それを管理するか戦うかを選択できますが、残念ながらどちらの側につくかはまだ決まっていません。
卓越性の荷物を分散させないように、自信を持って、すぐに明かりが点灯すると信じたいです。 ha 我が国。
写真:ウェブ/NCSCオランダ/国防省
