Tra gli effetti collaterali della digital transformation c’è anche il profondo stravolgimento dello scenario della cybersecurity registrato a livello mondiale e accentuato dalla pandemia che ha spinto molte organizzazioni a fare un ampio uso di piattaforme cloud e di strumenti di smart working per assicurare la business continuity. Ci si è quindi trovati con il perimetro aziendale evaporato, una superficie di attacco molto più estesa, persone impreparate ai rischi cyber e criminali sempre più tempestivamente pronti a cogliere in fallo gli anelli deboli per monetizzare facendo uso delle nuove tecnologie. Anche per proteggersi è necessario farne uso abbandonando i metodi tradizionali di difesa e prevenzione, ormai esplicitamente inadeguati, per adottarne di altri che devono trovare spazio in un contesto imprenditoriale ancora in trasformazione dal punto di vista della digitalizzazione e in cui la componente umana gioca un ruolo centrale. È il punto debole ma può diventare il punto di forza del nuovo approccio alla cybersecurity, come spiegato nella tavola rotonda organizzata da ZeroUno in partnership con VM Sistemi, se gli strumenti innovativi adottati la supportano mostrandosi non solo semplici ma anche vantaggiosi da utilizzare, soprattutto dal punto di vista della produttività.
Contro il cybercrime una guerra sempre più asimmetrica
Con i numeri del Rapporto Clusit presentati da Luca Bechelli, Partner -Information & Cybersecurity expert di P4I, nonché membro del comitato scientifico Clusit e dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, è immediato rendersi conto che è più altro il rischio di subire attacchi cyber non solo perché si sono intensificati ma anche perché stanno mutando, adattandosi alle nuove debolezze dell’ecosistema imprenditoriale e cogliendo appieno e con rapidità tutte le opportunità che le tecnologie innovative offrono per migliorare l’efficacia.
Dal 2019 al 2020 solo in Italia gli incidenti cyber gravi pubblicamente noti sono aumentati del 12% passando da 1670 a 1871 mostrando anche una diversa distribuzione delle vittime, non più polarizzata su settori storicamente critici come quello bancario e militare e che ha fatto scattare un allarme generale in tutti coloro che prima si sentivano almeno relativamente al sicuro. “Le crypto e le nuove tecniche abilitate da alcune tecnologie innovative implementate dagli hackers hanno reso più semplice monetizzare attacchi che prima non erano fruttuosi” ha affermato Bechelli spiegando così il forte aumento del cybercrime con una prevalenza del malware (42% degli attacchi del 2020) fortemente industrializzato, e del phishing (15%) che, come altre tipologie di attacchi basati sul social engineering, punta molto sul fattore umano.
Una percentuale su cui riflettere, secondo Bechelli, è il 10% di attacchi legati a vulnerabilità note, soprattutto se confrontata con il 5% costituita da quelli mirati e avanzati. “Questo sottolinea come molti casi verificatisi fossero evitabili con una maggiore protezione, ma il fatto che spesso si tratti di attacchi a cui si sopravvive, perché l’interesse del criminale è che si paghi il riscatto, può portare le aziende ad una minore soglia di allerta non tenendo conto che, distratte da questi attacchi più banali, poi non riescono a difendersi da quelli avanzati e potenzialmente disastrosi”.
Oltre ai danni economici, che possono arrivare anche a un crollo del 35% del valore delle azioni di un’azienda nel giro di una settimana come nel caso ormai storico di Equifax, ci sono anche quelli collaterali come il numero di record persi. Fino ad oggi se ne contano oltre 7 miliardi, un numero che impressiona già di per sé ma che spaventa soprattutto comprendendo, come spiegato da Bechelli, che “questa potente raccolta di dati a cui abbiamo assistito ha portato ad un notevole aumento degli attacchi complessi come il business email compromise e in particolare la CEO fraud. Gli attaccanti raccolgono informazioni su di noi e noi continuiamo ad averne poche su di loro: questa guerra diventa sempre più asimmetrica da combattere e noi giochiamo sempre in difesa e in svantaggio”.
Tante azioni in una sola strategia che strappi un “sì” al board
Di fronte a tale scenario e ad un perimetro aziendale sempre più liquido non solo per l’utilizzo del cloud e dello smart working ma anche per la crescente rete di soggetti diversi con cui ogni azienda collabora, tutti anelli deboli di una catena sempre più lunga e indifesa, diventa indispensabile far evolvere l’approccio alla cybersecurity per intercettare i nuovi attacchi e limitarne i danni. “Abbiamo necessità di tecnologie innovative e con una intelligenza condivisa rispetto ad altri soggetti che si difendono, in modo che sia possibile ricondurre ciò che sta accadendo
ad un pattern noto – ha precisato Bechelli – gli attacchi più avanzati sono caratterizzati da segnali molto deboli, per rilevarli servono tecnologie altamente sofisticate, l’uomo da solo non sarà mai in grado di captarli”.
C’è anche un tema di tempistica, strettamente legato all’entità dei danni provocati: c’è una scarsa capacità generale di intercettare e rispondere agli attacchi, l’Italia non è tra le peggiori nel mondo con 203 giorni per accorgersi (207 è la media mondiale) e 65 per agire (73 è la media mondiale). Sono comunque tempi insostenibili per qualsiasi azienda, “dobbiamo combattere una guerra delle macchine con le macchine” ha affermato infatti Bechelli spiegando che “pur avendo presidi organizzativi e procedurali, e competenze avanzate, quando la compromissione e l’esfiltrazione dei dati avviene nell’ordine di minuti o secondi serve una macchina che con la stessa velocità identifichi l’evento e ci aiuti a contenere e risolvere l’attacco.”
Non essendo un problema di “se” arriverà un attacco, ma ormai solo del “quando”, tutte le aziende sono chiamate a mettere in campo una serie di azioni che comprendono processi di business continuity, formazione dell’IT e costituzione di un team specializzato nella gestione degli incidenti per limitarne i danni, l’adozione di piattaforme di intelligenza artificiale e di security analytic platform oltre che la condivisione della threat intelligence. Nessuna voce è esaustiva, però: secondo Bechelli è solo la combinazione armoniosa di tutti questi elementi che può favorire la messa a terra della gestione di questo fenomeno, ormai imprescindibile”.
Gli spunti di azione non mancano ma dal punto di vista di chi si occupa di sicurezza nelle aziende c’è un primo grande scoglio da superare prima di poterle implementarle che consiste nel convincere il board a investire risorse e tempo proprio e dei dipendenti nella protezione della propria azienda. Dalle esperienze emerse durante l’incontro, la cybersecurity sembra essere spesso ancora interpretata come una distrazione e un costo e mai come un’opportunità. In alcuni casi si riesce a far leva su grandi attacchi avvenuti nello stesso settore per far reagire il proprio CEO ma in altri i dati come quelli di Clusit presentati da Bechelli non fanno breccia, serve puntare su altro come ad esempio la brand reputation. Lo ha fatto notare Valerio Dalla Casa, ICT Security manager di VM Sistemi spiegando come toccare questo tasto potrebbe essere vincente sia per una utility che per un’azienda anche di più piccole dimensioni, soprattutto considerando come oggi basta davvero poco per subire dei danni in tal senso e un data breach potrebbe avere conseguenze devastanti.
SIEM e SOAR per una sicurezza più veloce ed efficiente
Preso atto che senza l’aiuto della tecnologia, le aziende non possono far fronte alla pioggia di attacchi informatici attuali, farne uso con un approccio emergenziale, in modo discontinuo e sregolato non dà molti risultati. Lo ha spiegato bene Dalla Casa puntando l’attenzione sul tema della visibilità: “è corretto adottare tecnologie attive e intelligenti che proteggano l’ecosistema ma serve un punto in cui tutte vanno a confluire permettendoci di collegare eventi anche da due parti del mondo differenti ma magari assieme significativi in termini di sicurezza”. La ricezione e la correlazione dei log è essenziale per agire come la visibilità oltre che dei singoli log anche del traffico rete perché tanti malware effettuano una “call home” che lo amplifica. “Sono punti fondamentali quando si tratta di elaborare una strategia di cybersecurity efficiente e adatta al nuovo contesto mondiale dei rischi perché forniscono informazioni su ciò che sta accadendo ad una infrastruttura” ha affermato Dalla Casa per spiegare l’esigenza di dotarsi di un SIEM (Security Information and Event Management) per rilevare e correggere le violazioni in maniera estremamente rapida, migliorando l’efficienza delle particolari policy di sicurezza adottate dalle imprese, mitigando casi di Data Loss e Data Leakage e arrivando anche a investigarne a posteriori le possibili cause.
Alcune aziende partecipanti all’incontro hanno iniziato a farne uso e altre ne stanno valutando ora l’adozione consapevoli dei benefici di questo tipo di soluzioni ma anche della necessità di formare del personale che le sappia utilizzare in modo realmente efficace. Questa incertezza fa pensare al passo successivo già prospettato da Dalla Casa, quello dell’automazione con il SOAR (Security Orchestration Automation and Response) “che permette di fare azioni direttamente via API o altre tecnologie, in real time e senza necessita intervento umano”. Anche in questo caso però, lo strumento va gestito e impostato in modo corretto per evitare blocchi automatici che facciano più danni di un cyber attacco.
Da anello debole e punto di forza: l’uomo protagonista della cybersecurity
Nonostante l’evolversi veloce e anche apprezzabile delle tecnologie per la sicurezza, la ricerca di un equilibrio nell’interazione tra uomo e macchina resta una sfida inevitabile e continua in cui ogni realtà si cimenta e cerca di trovare la propria strada per mettere a punto una strategia di cybersecurity ad ampio raggio, che comprenda strumenti all’avanguardia e personale consapevole e almeno in parte in grado di usarli. Questo è un tema che ha aperto un dibattito tra i presenti arricchito da esperienze e punti di vista differenti ma che convergono su alcune certezze: la necessità della tecnologia come alleata, la scelta di mantenere le persone al centro anche se costituiscono l’anello debole. Per ora, in verità, perché come Dalla Casa ha suggerito, ciò che serve è “un rovesciamento totale del paradigma attuale che porti l’uomo a diventare parte integrante della sicurezza aziendale tramite la conoscenza e la security awareness. Solo in questo modo è possibile aumentare l’impatto e l’efficacia della strategia di cybersecurity implementata”. Ad invogliare le persone a dedicare del tempo lavorativo per contribuirvi può essere la consapevolezza che ciò che imparano in ufficio per proteggersi dagli hackers può essere loro utile anche nella vita privata. Esistono inoltre tanti modi per formare i propri dipendenti sul tema del rischio informatico, comprese iniziative di gamification, interattive e molto concrete che li rendono in poco tempo parte integrante di una linea di difesa aggiuntiva agli strumenti informatici, ad esempio segnalando in autonomia e-mail sospette e correggendo automaticamente i messaggi di posta dannosi.
È già il momento della security by design?
Se la guerra della sicurezza va combattuta con le macchine, la parte umana non può comunque essere lasciata indietro perché anche gli strumenti più innovativi e performanti, se mal configurati e non correttamente orchestrati, possono “lasciare una porta aperta” ai criminali. Ciascuna con il proprio ritmo ma sono tante le realtà che si stanno organizzando e anche Bechelli ha osservato come “il livello di competenze e di sensibilità negli ultimi due anni è cambiato in modo drastico”, e guarda alla sicurezza by design come alla risposta più efficace che oggi l’ecosistema imprenditoriale e istituzionale può dare. Ciò significa concepire tutti i nuovi servizi e progetti con un approccio fin da subito molto attento alla sicurezza e far evolvere le misure per garantire la resistenza a future minacce che oggi non siamo in grado di intuire. “E’ uno sforzo difficile da richiedere ma oggi necessario: un passo alla volta è questa la direzione da prendere” secondo Bechelli che ha fatto notare che “il GDPR dimostra come questo cambio di paradigma sia possibile: ci avevano chiesto di fare analisi dei rischi e l’ha fatta anche chi non ne aveva mai sentito parlare, ora serve lo stesso impegno e la stessa volontà per la security by design e la privacy by design”.
Non si tratta di uno step che si compie una volta per tutte, però, ma di un nuovo modo di procedere che prevede sì l’integrazione della sicurezza dello sviluppo di nuovi servizi e progetti ma anche un continuo monitoraggio “per verificare periodicamente e regolarmente l’efficacia degli strumenti di security implementati inizialmente, avendo ben chiaro quali siano i veri asset da proteggere e cosa può creare danno se bloccato o rubato” ha aggiunto Dalla Casa tornando a confermare la centralità della parte umana che, “nella consapevolezza che la sicurezza assoluta non esiste, deve mostrarsi in grado di trovare un punto di convergenza tra la maggiore protezione possibile e un impatto sostenibile per l’azienda e il suo business”.
