ANCONA – «Si comportano come gli hacker ‘maligni’, ma senza causare danni e con l’obiettivo di individuare le vulnerabilità di un sistema per proteggerlo». Sono gli hacker etici, professionisti della cybersecurity altamente specializzati, formati dall’Università Politecnica delle Marche. A spiegare nel dettaglio il loro ruolo, la cui importanza è divenuta ancora più evidente in questi giorni, dopo l’attacco cyber avvenuto su scala globale domenica scorsa, è Marco Baldi, professore associato del Dipartimento di Ingegneria dell’Informazione dell’Università Politecnica delle Marche.
L’Ateneo dorico proprio in questi giorni sta selezionando i migliori studenti degli ultimi anni delle scuole superiori e delle università per partecipare alla Cyberchallenge (https://cyberchallenge.it/), una competizione nazionale che si svolge nel mese di giugno, i cui vincitori potranno partecipare alla competizione europea che si terrà il prossimo ottobre in Norvegia. «Aderiamo ad una iniziativa nazionale che prevede la selezione di oltre 4mila studenti sul territorio nazionale, per formare delle squadre che poi parteciperanno alla competizione nazionale» spiega il professor Baldi.
«Gli hacker etici – spiega il docente – si comportano esattamente come un hacker ‘maligno’: si introducono, dopo essere stati autorizzati, in un sistema di una azienda, di un ente o di una istituzione, per individuarne le vulnerabilità. Quando un hacker maligno, anche detto dal ‘cappello nero’, riesce ad entrare in maniera non autorizzata in un sistema, può arrivare, ad esempio, a rubare dati o a rendere inutilizzabili sistemi aziendali, ostacolando la produttività di una impresa. Anche l’hacker etico si introduce nel sistema come un malintenzionato, ma invece di rubare dati e creare danni, studia la fattibilità di un attacco hacker per verificare e dimostrare le vulnerabilità di un sistema e dei dati che contiene. Successivamente, l’hacker etico stila una relazione per informare l’organizzazione dei rischi a cui è esposto il sistema che è stato analizzato».
Insomma, un attacco hacker in piena regola, ma in chiave preventiva, per capire cosa potrebbe accadere con l’obiettivo di innalzare la sicurezza e di proteggersi dagli attacchi malevoli. Un ruolo cruciale per imprese e istituzioni, e per le infrastrutture critiche che forniscono servizi essenziali, come ad esempio gli ospedali ed i fornitori di energia. Gli hacker etici sono professionisti molto richiesti, che hanno una formazione trasversale, spiega il professor Baldi, che spazia negli ambiti dell’Ingegneria dell’Informazione ed oltre, includendo anche competenze giuridiche e aspetti etici in quanto in caso di violazione di un sistema o di dati sensibili, come ad esempio quelli sanitari, possono entrare in ballo anche aspetti relativi ai diritti della persona, alla sua privacy e al rischio di discriminazione.
Professore cosa è successo nei giorni scorsi quando si è verificato l’attacco su scala globale? «Si è trattato di un attacco ransomware, una prassi di attacco piuttosto comune, che succede quotidianamente, ma che in alcuni casi può trovare terreno fertile, come è successo nei giorni scorsi. L’attacco infatti sfrutta una vulnerabilità che era già nota da anni, e che in alcuni sistemi non si era provveduto ad eliminare eseguendo i dovuti aggiornamenti. Inoltre, molti sistemi sono esposti alla rete, quando non dovrebbero esserlo. Oggi la superficie di attacco cyber è in continua espansione: accade anche con il termostato di casa, il cui controllo è collegato allo smartphone, o con la domotica o l’automazione industriale. La connessione ad Internet ed il controllo remoto migliorano l’efficienza dei processi, ma comportano anche dei maggiori rischi che occorre prevenire, ricorrendo a professionisti esperti e formati, come quelli dell’Università Politecnica delle Marche».
Oltre alla formazione universitaria nei settori dell’Ingegneria Biomedica, Elettronica, Informatica e dell’Automazione, il gruppo cybersecurity dell’Università Politecnica delle Marche offre formazione specialistica per aziende e professionisti, come il Corso di Perfezionamento in Cybersecurity, Cyber Risk and Data Protection (https://csdp.dii.univpm.it/), la cui seconda edizione è in fase di avvio.