Nel trevigiano, nel lontano 2015, è nata una startup che ha avuto il merito di intuire l’importanza della cybersecurity delle applicazioni mobile, prima ancora che queste divenissero onnipresenti sui nostri smartphone. Quasi dieci anni dopo, Mobisec rappresenta un punto di riferimento internazionale in questo campo. Contributor dell’Open Web Application Security Project (Owasp) e unico membro italiano dell’App Defense Alliance (Ada), si occupa anche di applicazioni web, oltre che di servizi di data intelligence. Ne abbiamo parlato con il suo amministratore delegato, Simone Rebeschini.
Come è nata l’idea di fondare Mobisec?
L’intuizione è stata quella di prevedere che negli anni successivi al 2015 la responsabilità della sicurezza infrastrutturale, cui le aziende dedicavano e dedicano ancora gran parte del budget in cybersecurity, sarebbe passata nelle mani dei grandi player del cloud. In un contesto del genere, per le imprese un’app business critical si trasforma potenzialmente in un vero e proprio cavallo di Troia, perché finisce nelle mani di un utente, per definizione, inesperto.
Ci spiega meglio cosa fate concretamente?
Non vendiamo un software, ma un servizio basato sulla nostra piattaforma proprietaria sviluppata in questi anni per testare la sicurezza delle applicazioni dei nostri clienti. Scarichiamo la app ed effettuiamo una serie di test dettagliati di vulnerabilità: sono più di 80, definiti da un organismo internazionale specializzato, l’Owasp. In un secondo momento, proviamo ad approfittare delle vulnerabilità riscontrate nella prima fase per violare la app in questione, come se fossimo degli hacker. In ultimo, condividiamo con il cliente un report molto dettagliato dove non solo indichiamo le “falle di sicurezza” rilevate, ma anche un ordine di priorità di intervento per sanarle. Peraltro, il nostro servizio si basa sul concetto di sicurezza continuativa, quindi non proponiamo mai contratti di durata inferiore a un anno, perché siamo convinti che non basti erogare una singola sessione di test. Nel corso di appena 12 mesi evolvono in modo rilevante sia gli hardware sia i software, bisogna essere consapevoli che ciò che è sicuro oggi potrebbe non esserlo più in breve tempo.
Vista la diffusione avuta dalle app, oggi le aziende vostre clienti operano in settori molto diversi, come cambia di conseguenza il vostro lavoro?
È vero, spaziamo dal mondo bancario alla gdo per arrivare alla sanità. Se non tutte le app prevedono elementi critici come le transazioni economiche, le accomuna però il fatto di gestire dati sensibili degli utenti. Ciò che mettiamo al sicuro, in questo senso, è come questi dati vengono comunicati ai server attraverso la app.
Sbaglio o, in un momento di sempre maggiore attenzione per la cybersecurity, quella delle app è la più sottovalutata?
Purtroppo è vero. Proprio in un’ottica di sensibilizzazione sul tema, di recente abbiamo sottoposto a nove test di sicurezza le app di cinque diversi settori – healthcare, finance, energia, gdo e telco – e nessuna è riuscita a superarli tutti. Sia chiaro, il nostro intento è di tipo informativo, non vogliamo creare nessun tipo di allarmismo. Ma di certo questi dati dimostrano come il tema della sicurezza mobile sia ancora sottovalutato. Per fortuna, non solo sta cambiando la sensibilità delle imprese, ma anche l’ecosistema delle regolamentazioni internazionali.
Come spiega questa mancanza di attenzione?
Ci sono diversi elementi concomitanti. Innanzitutto, l’agenda delle aziende in termini di cybersecurity parte dall’alto, quindi dalla gestione delle infrastrutture, e in qualche modo c’è la convinzione che una volta messe al sicuro quelle sia “salvo” tutto il business aziendale. È un tema di priorità, e proprio l’introduzione delle nuove regolamentazioni europee credo che porterà a rivederle. In secondo luogo, la maggior parte delle imprese si affida a sviluppatori terzi, con la convinzione che questi esperti terranno conto di tutti i criteri di sicurezza. In teoria questo è vero, ma spesso le tempistiche imposte sono così strette che spesso qualcosa rimane in secondo piano, e questo qualcosa il più delle volte è la componente di cybersecurity. Infine, troppo spesso si dimentica che le app non sono sistemi chiusi, ma interagiscono con l’hardware e tutti gli altri software installati sullo smartphone. Questo significa che un’app di per sé sicura, potrebbe non esserlo più nel momento in cui si trova a interagire con un’altra infettata da un malware.
Cos’è l’Ada e perché è così importante per Mobisec farne parte?
Ada sta per App Defense Alliance ed è una steering committee internazionale open source il cui compito è quello di definire le best practice legate alla sicurezza applicativa e mobile. Gestita dalla Linux Foundation, è guidata da un comitato direttivo all’interno del quale siedono big come Google, Microsoft e Meta. È un tavolo di lavoro esclusivo, i cui incontri periodici sono riservati a una ventina di aziende a livello globale, e tra queste Mobisec è l’unica italiana. Si comprende, dunque, perché farne parte sia per noi un importante riconoscimento.
Come ci siete riusciti?
È stata una conseguenza di un altro importante “onore”, che è l’essere divenuti contributor di Owasp, la comunità internazionale dell’ambito cybersecurity applicativo, che rilascia e aggiorna periodicamente Mastg, un documento che riporta le linee guida che i test di sicurezza devono seguire per risultare efficaci nell’evidenziare le eventuali vulnerabilità delle applicazioni. È stata la qualità dei nostri contributi a questo tavolo di lavoro ad aprirci le porte di Ada.
Come diceva, sia le app che le minacce alla sicurezza sono in continua evoluzione. Quali saranno i “fronti caldi” nel prossimo futuro?
Per saperlo bisognerebbe avere la sfera di cristallo. Mi sento di affermare che sia l’attenzione delle regolamentazioni internazionali, sia quella degli hacker si sta spostando dagli aspetti più propriamente economici – da sempre maggiormente considerati sia dagli sviluppatori sia dagli utenti – alla crittografia delle informazioni passate alla app. Lato utente, dobbiamo ricordare che più è comodo e veloce passare i nostri dati alla app, più probabilità ci sono che questa risulti poco sicura. Inoltre, dovremmo concentrarci nel dare solo le informazioni strettamente necessarie. Su questo secondo aspetto sarebbe opportuno che lavorassero anche gli sviluppatori, visto che spesso per registrarsi viene richiesta una mole di dati non essenziali, dati che poi le stesse aziende non riescono a gestire in modo adeguato. Ecco, l’ossessione della profilazione dell’utente affiancata dalla facilità con cui vogliamo poter accedere alle app contribuiscono a creare una situazione di forte rischio.
Cosa vede, invece, nel futuro di Mobisec?
Se è innegabile che la Mobisec del 2015 non era la stessa di oggi, quello che rimane invariato è la volontà di muoversi da pionieri, affrontando determinati temi o problematiche prima che questi diventino mainstream. Oltre a concentrarci sulla sicurezza applicativa, ci occupiamo anche di quella del web e offriamo un servizio di consulenza nell’attività stessa di sviluppo delle app, perché siano in linea con tutte le best practice internazionali. Infine, ci pare evidente come il futuro passi da una centralità sempre maggiore del cosiddetto IoT all’interno del business aziendale. Non si parlerà più, dunque, dei soli smartphone, ma di tutta una serie di componenti smart. Per questo abbiamo sviluppato una piattaforma unica in grado di raccogliere le informazioni provenienti proprio da queste componenti, unificandone i linguaggi.
Intervista pubblicata sul numero di Business People di novembre 2024. Scarica il numero o abbonati qui
© Riproduzione riservata