Con l'elettromobilità, quello che una start-up di Berlino vorrebbe evitare per l'industria della sicurezza è già successo in Germania. Vale a dire, essere superati. Superato da aziende veloci e agili, mentre le aziende tradizionali stanno ancora cercando disperatamente di rimanere nella loro zona di comfort. Cosa deve cambiare? Molto...
Sebastian Schäffer ama parlare per immagini. Parla di petroliere, del Tyrannosaurus Rex, ma anche di motoscafi e dei Cool Kids on the Block. Le immagini danno un'idea di ciò di cui si occupa: abbattere le strutture incrostate e realizzare invece progetti cool. Per togliere all'industria della sicurezza il nimbo del grigio "Dipartimento del No" e dargli invece una mano di vernice colorata. E Schäffer è sulla buona strada per raggiungere questo obiettivo, dato che è co-fondatore della start-up Alice & Bob.Company, che si dedica alla consulenza per progetti di sicurezza in aziende con team DevOps ed è un fornitore cloud-native e partner di AWS. Alice & Bob.Company è stata fondata nell'agosto 2019 da Mario Apitz, che in precedenza ha trascorso molti anni alla Unbelievable Machine.
Da silo rigido a oggetto che respira
"Come startup, è difficile occupare il tema della sicurezza perché è un argomento così arci-conservatore. Ma con il duro lavoro, ci arriveremo", è assolutamente convinto. "Per molto tempo, il tema della sicurezza non è stato ripensato. Si può immaginare un'infrastruttura IT tradizionale come un cubo con sei lati. Muri più alti portano a una maggiore sicurezza. Ma oggi, la sicurezza è molto più simile a un cubo di Rubik - deve essere agile, si lavora in infrastrutture cloud distribuite con microservizi. È un oggetto che respira ed è totalmente frammentato, e quindi devi approcciarlo in un modo completamente diverso rispetto al passato".
"In passato, tutto era regolato centralmente dall'IT. E poiché spesso si doveva aspettare a lungo quando si aveva bisogno di supporto per i progetti, i dipartimenti alla fine sono passati a usare la propria carta di credito per utilizzare i servizi cloud. Perché volevano essere in grado di prevedere i prezzi delle materie prime utilizzando l'apprendimento automatico, per esempio". Questa è stata la nascita di uno sviluppo che spiega il successo degli hyperscaler e ora gioca a favore delle start-up, perché Alice & Bob.Company è un partner designato di AWS "La nostra parola chiave è: Security as Code. Nelle aziende, ci sono team DevOps, una fusione di sviluppo e operazioni, per così dire. Questi lavorano in otto fasi in un ciclo infinito. E se ora si aggiunge la sicurezza, diventa DevSecOps e la sicurezza è intessuta nel processo in corso."
ITB: Come immagina questo in pratica?
Schäffer: La nostra parola magica è: Security Champions. Dovete rendere una persona in un team di sviluppo un campione di sicurezza. Questa persona indossa il cappello per implementare la sicurezza come codice. Per esempio, quando il team ha finito di codificare, c'è una revisione del codice per controllare se i dati personali giocano un ruolo, se qualche password non è stata cancellata, o, o, o.... E solo quando tutto si adatta c'è il via per la fase successiva. Oppure facciamo un auditing continuo. Ciò significa che ogni volta che un pezzo di software va in funzione, viene controllato direttamente. Tutto ciò che è ancora un processo altamente manuale qui viene gradualmente automatizzato. E il Security Champion è responsabile di questo. Non lavora alla costruzione dell'applicazione stessa, ma ha il compito di implementare la sicurezza come codice in questa pipeline.
ITB: E che ruolo gioca Alice & Bob in tutto questo?
Schäffer: Siamo il Security Champion all'inizio. Mostriamo alle persone come farlo e facciamo workshop con la squadra una volta alla settimana. Si tratta poi di argomenti molto diversi come la modellazione delle minacce o il pentesting. Il nostro obiettivo è che i clienti siano in grado di farlo da soli ad un certo punto. Non vogliamo rimanere bloccati in una sola azienda per anni.
ITB: Quindi vi state rendendo superflui?
Schäffer (ride): Prima di tutto, ci sono molti clienti e poca concorrenza al momento. Naturalmente, questo cambierà. Ma ci sono ancora molti nuovi argomenti che vogliamo affrontare. Stiamo pensando ai nostri prodotti che implementano la sicurezza, supportati dall'AI. Non voglio rendere nessuno dipendente da noi. Voglio che la gente dica: voglio lavorare con loro!
Prodotti freschi e innovativi
I tempi in cui i budget per la sicurezza vengono presi in mano solo quando un attacco ha avuto successo dovrebbero essere finiti, se Schäffer ha la sua strada. Dice che è necessario capire che bisogna rendere tutto sicuro fin dall'inizio. "Soprattutto quando si portano carichi di lavoro critici o dati personali nel cloud. Non voglio sembrare conservatore - ma sì, bisogna progettarlo in modo sicuro". Tutto sta andando verso l'automazione, aggiunge, e anche questo è importante. "Perché non si può stare in cima a questa bestia se non si automatizza di più. Perché si possono ancora trovare sviluppatori, ma è già più difficile con il team operativo. I clienti vogliono sviluppare prodotti freschi e innovativi. E vogliono farlo in fretta, perché a un certo punto devono fare soldi. Ecco perché è importante tenere tutti i compiti fastidiosi lontano dalle persone e automatizzare tutto ciò che si può."
Informazioni aggiuntive
Chi sono Alice e Bob?
Alice e Bob apparvero per la prima volta nel 1978 in un documento sulle firme digitali e sui sistemi di crittografia a chiave pubblica di Ronald L. Rivest, Adi Shamir e Leonard M. Adleman. Da allora, i nomi sono rappresentativi degli attori della crittografia che si verificano ogni volta che due persone si scambiano dati su un canale intercettabile. Alice assume il ruolo della persona che stabilisce la comunicazione. Bob assume il ruolo della persona che riceve la comunicazione. E poi, naturalmente, c'è un brutto avversario di nome Mallory che cerca di silurare la comunicazione. Per assicurarsi che non ci riesca, entra in gioco la crittografia.
Alice & Bob è quindi un nome del tutto appropriato per una start-up che ha sposato la causa della sicurezza cloud-native e per la quale la crittografia fa praticamente parte del suo DNA. Mallory viene automaticamente lasciata fuori.
Cosa c'entra il Tyrannosaurus Rex?
E qui è dove la start-up con sede a Berlino sta andando forte. Nel giro di un anno, il team è cresciuto fino a undici dipendenti. Nel segmento della consulenza sulla sicurezza cloud-native su AWS, l'azienda si vede quasi sola sul mercato. Schäffer conta solo il gruppo Direkt come un concorrente. Ma il Direkt Group consiglia piuttosto la strada verso il cloud e toglie le paure dei clienti. "Quando arriviamo, le strutture sono già lì e ci sono piani concreti, per esempio, per andare nel cloud con i dati del personale al fine di utilizzare l'apprendimento automatico per indirizzare i candidati giusti". Un altro argomento importante è il Privacy Shield, che sta facendo scalpore a causa dell'attuale sentenza.
"C'è la foto di una ragazza la cui maglietta dice Freedom e che ha un Tyrannosaurus Rex al guinzaglio con la scritta Security sul petto. Cosa c'è scritto? Bisogna sempre fare in modo che entrambi rimangano in equilibrio. È l'unico modo in cui possono fare una passeggiata insieme. Se si ha un livello di sicurezza estremamente alto, si mangia la libertà. Se è il contrario, sei vulnerabile. Non esiste la sicurezza assoluta. Ma non c'è mai stato."
Si può vedere l'entusiasmo di Schäffer per l'argomento. Alla domanda sulla sua motivazione, aggiunge: "Il mio obiettivo personale è anche quello di accelerare la digitalizzazione della Germania come luogo industriale e di mostrare alle persone che la sicurezza non è un freno, ma un acceleratore. Mi ci diverto molto perché credo che aiuti ogni azienda a portare rapidamente prodotti interessanti sul mercato con l'automazione. Siamo i ragazzi fighi del quartiere. Possiamo trasformare una petroliera lenta in un motoscafo". Tu gli credi.