In ambito digital security, la distanza tra le nuove tecniche di attacco e i tradizionali metodi di controllo continua ad aumentare a sfavore delle vittime. Gli attaccanti oggi sono altamente preparati, organizzati in associazioni criminali e in alcuni casi, non chiaramente comprovati, finanziati dai governi. In generale, gli attacchi stanno diventando sempre più mirati e sofisticati, con maggiori risorse a disposizione. Attualmente qualsiasi azienda è un potenziale bersaglio: si tratta solo di capire quando verrà colpita.
In questo contesto, diventa necessario comprendere i fattori di costo che una violazione comporta in termini di risposta e notifica, riduzione della produttività, azioni legali, mancata compliance, pagamento di multe, perdita di clienti, danno all’immagine.
Il management non può più ignorare le implicazioni di questi attacchi sui profitti, e i costi delle violazioni devono essere utilizzati come leva di persuasione all’interno di un business plan coerente a supporto delle strategie di sicurezza.
Come cambiano attaccanti e minacce
Ma come sta evolvendo il panorama della cyber security? Forrester (Understand The Business Impact And Cost Of A Breach, 2015), delinea otto tendenze principali:
- Cambiano le motivazioni (prima le azioni criminali erano finalizzate a soddisfare l'autocompiacimento degli attaccanti, oggi soprattutto all’acquisizione di grandi somme di denaro o all’hacktivismo) ;
- Variano i metodi (si prediligono gli attacchi multivettore e “low and slow” per cui dal sistema infetto vengono estratti i dati per un lungo periodo senza che la vittima sia in grado di rilevare l’attività malevola);
- I target sono accuratamente selezionati (esistono ancora gli attacchi in massa, ma si tende sempre di più a non sparare nel mucchio);
- Gli strumenti di attacco sono automatizzati e sfruttano spesso l’intervento di persone inconsapevoli (per esempio, si chiede alla vittima di cliccare su un link malevolo all’interno di una chat o di una mail apparentemente ricevuta da un contatto amico);
- I risultati di una violazione sono sempre più devastanti perché implicano non solo danni diretti sul business (costi di remediation, mediazione con i clienti ecc.), ma anche sanzioni da pagare, licenziamento dei vertici, perdita di talenti che passano alla concorrenza;
- La disponibilità di crimeware kits (veri e propri set di codice malevolo in vendita e facilmente accessibili) può trasformare chiunque in un attaccante e generare molteplici varianti di uno stesso malware;
- Gli obiettivi si spostano dalle infrastrutture alle applicazioni e agli asset strategici;
- Le terze parti (i business partner o i service provider) diventano una potenziale vulnerabilità, perché hanno magari libero accesso ai sistemi informativi dell’azienda ma non adottano le stesse misure protettive.
Qual è l’impatto di una violazione?
A fronte di questo scenario, i professionisti S&R (Security and Risk) dovrebbero stimare le ripercussioni di una violazione e definire un potenziamento delle linee di difesa per arginare i danni del prossimo attacco. Forrester suggerisce di prendere in esame le seguenti voci di spesa:
- Il costo vivo per la notifica della violazione verso i soggetti che hanno subìto danni e alle autorità governative competenti (si considerino le spese in call center, comunicazione, eventuali specialisti ingaggiati ad hoc ecc.). Le risorse economiche e umane impiegate per le azioni di risposta all’incidente;
- Perdita di produttività dei dipendenti interni che vengono distolti dalle loro normali mansioni a causa della violazione. Eventuali dimissioni di parte dello staff;
- Implicazioni giuridiche ed eventuali battaglie legali, soprattutto se la violazione ha riguardato il furto di informazioni riservate dei clienti;
- Sanzioni normative soprattutto nei settori che trattano dati sensibili (ad esempio, informazioni sui pagamenti e sullo stato di salute) e sono soggetti a regole di protezione stringenti;
- Ulteriori requisiti di sicurezza e audit, ad esempio per l’introduzione di nuove tecnologie di difesa al fine di debellare l’attacco o rispettare le disposizioni imposte al termine di una disputa legale;
- Ricostruzione della brand awarness, per riparare al danno d’immagine e riconquistare la fiducia del mercato;
- Altre passività, ad esempio nel caso di una banca, riduzione dei tassi di interesse per diventare più attraente agli occhi dei prospect e risollevare il business compromesso oppure risarcimenti più elevati del pattuito per andare incontro alle aspettative e rifidelizzare i clienti.
Rispondere alle obiezioni del management
Idealmente, ogni programma di sicurezza andrebbe sviluppato sulla base di una concreta valutazione del rischio. Tuttavia, nonostante il management sia oggi più consapevole rispetto alle minacce informatiche, interesse e budget vengono spesso dirottati su altre priorità. Come riconquistare la dovuta attenzione? Forrester consiglia ai responsabili S&R di essere “brutalmente onesti” con la dirigenza e di prepararsi a rispondere alle seguenti obiezioni:
- “Perché qualcuno dovrebbe attaccarci?”. In realtà, basta avere un concorrente disonesto, un partner corrotto o un impiegato insoddisfatto per poter diventare un bersaglio;
- “Non siamo mai stati attaccati”. Non bisogna confondere la fortuna con la sicurezza: il futuro è comunque a rischio. Inoltre, è possibile che l’azienda abbia già subìto una violazione senza che sia stata in grado di rilevarla (le nuove tecniche di attacco sono sempre più difficili da identificare);
- “Siamo una piccola impresa”. La dimensione aziendale non conta: la probabilità di essere attaccati dipende dal valore che le informazioni hanno per l’attaccante. Per questo una Pmi dovrebbe prestare la stessa – se non maggiore – attenzione verso la security strategy delle grandi aziende, anche perché, in caso di attacco, disporrà di minore risorse per la difesa;
- “Abbiamo un’assicurazione”. Solitamente il contratto non copre gli incidenti informatici e anche una polizza apposita difficilmente potrà rispondere per intero ai danni da violazione.