Articolo tratto dal numero di ottobre 2024 di Forbes Italia. Abbonati!
Gli attacchi informatici si evolvono continuamente, sfruttando le vulnerabilità dei sistemi operativi mobili e delle applicazioni. Nuovi malware, phishing e altre minacce emergono ogni giorno, richiedendo una costante attenzione e un aggiornamento delle misure di protezione.
Per correre al riparo, le istituzioni europee sono intervenute con una serie di provvedimenti, come la direttiva Nis2, entrata in vigore nel 2023, che, tra le altre cose, ha esteso gli obblighi di cybersecurity a un numero maggiore di settori e servizi considerati critici.
Tra le realtà più attive in questo settore c’è Mobisec, specializzata nella sicurezza delle app per dispositivi mobili, oltre che nelle applicazioni web e nei servizi di data intelligence. Forbes Italia ha intervistato l’ad Simone Rebeschini, che ci ha raccontato le iniziative della società in tema di sicurezza e alcuni dei rischi connessi alla sottovalutazione di questo tema.
Qual è l’approccio di Mobisec sul tema sicurezza?
Mobisec è partita nel 2015 e da subito ha scelto di focalizzarsi sulla sicurezza delle app mobile, poiché il normale approccio offerto dal mercato era concentrato sul dialogo client-server e ignorava tutti i rischi legati al sistema tecnologico del dispositivo stesso. Così abbiamo sviluppato, primi in Italia, un software dedicato all’analisi mobile, capace di esaminare in profondità la gestione e gli scambi dei dati in capo all’app. Ai clienti offriamo un report dettagliato dei problemi di sicurezza rilevati. La nostra attività si divide in più fasi: una volta scaricata l’app del cliente dagli store, effettuiamo una serie di test. Alcuni sono mirati a identificare le vulnerabilità (vulnerability assessment), altri sono veri attacchi simulati (penetration test), effettuati con un approccio etico dai nostri esperti: proviamo a forzare l’app lavorando in black box, ovvero senza che ci venga fornita alcuna documentazione e senza un accesso privilegiato ai suoi codici, partendo così alla pari di un hacker malevolo. Successivamente condividiamo e analizziamo insieme al cliente un report che elenca le criticità e dà indicazioni su come risolverle. Inoltre organizziamo le informazioni per priorità, mettendo l’azienda nelle condizioni di affrontare per prime le criticità più rischiose. Proponiamo ai clienti accordi annuali anziché vendere il singolo test. Siamo convinti che l’approccio alla sicurezza debba essere costante e che questo sia l’unico modo per rimanere al passo con i vari aggiornamenti, sia di app che di sistemi operativi. Ciò che è sicuro oggi non lo sarà domani. Un nuovo report può essere fornito nel giro di pochi giorni.
Perché il tema della cybersecurity delle app è così importante e quali sono i rischi connessi alla sottovalutazione di questo tema?
I dati ci raccontano che il 74% delle falle nelle aziende sono imputabili direttamente o indirettamente all’essere umano. Un’app business critical aziendale, ad esempio, capace di elaborare una grande quantità di dati sensibili appartenenti all’organizzazione, può finire nelle mani sbagliate. Per gli hacker prendere di mira un’app è più facile che attaccare un server nel cloud. Dal lato azienda, i rischi sono di tipo reputazionale, legal e di business. L’installazione di app non sicure, ad esempio, può creare vulnerabilità nel sistema aziendale, facilitando l’ingresso di malware e compromettendo la sicurezza dei dati. Applicazioni pensate invece per un mercato b2c portano rischi lato utente: ciò che veramente è a rischio sono le sue informazioni personali (nomi, contatti, messaggi) e quelle sensibili (dati sanitari, finanziari), che potrebbero venire rubate dalle app che ne fanno uso.
L’azienda segue un approccio divulgativo e di sensibilizzazione rispetto al tema della cybersecurity mobile.
Grazie alla sua decennale esperienza, Mobisec oggi ha un punto di vista privilegiato su certe tematiche. Il nostro obiettivo è sensibilizzare le aziende e gli utenti finali su quanto sia importante un approccio improntato alla sicurezza. L’ideale sarebbe testare le app prima di rilasciarle, anche in produzione, per garantire la mancanza di regressioni, e testarle anche più volte nel corso dell’anno. Per consentire alle aziende e agli utenti finali di testare autonomamente la sicurezza dell’applicazione abbiamo selezionato un sottoinsieme dei test che effettuiamo abitualmente, inseriti in una versione light del nostro software che sarà disponibile gratuitamente sul nostro sito entro la fine dell’anno.
Quali sono i più grandi traguardi raggiunti dalla società?
Un paio di mesi fa Mobisec è stata certificata come unica azienda italiana nel progetto Ada, lanciato da Google e guidato da Linux Foundation, che vede tra i membri multinazionali come Meta e Apple, il cui obiettivo è creare tavoli di confronto e aggiornare gli standard di sicurezza che tutti gli sviluppatori devono seguire per creare un’app. Per noi è stata una grande soddisfazione.
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .
