Il caso del clamoroso incendio del datacenter OVH a Strasburgo, uno dei principali fornitori europei di infrastrutture cloud, serve come occasione per stimolare la reazione degli interlocutori sul tema sicurezza cloud, a Gabriele Faggioli, presidente di Clusit, oltre che CEO di Digital360 e di Partners4innovation, che conduce la tavola rotonda conclusiva del Security Summit 2021, svoltosi alla fine dello scorso marzo: “Seguendo il caso fin dall’inizio mi sono subito chiesto come avessero provveduto al disaster recovery – è la risposta di Corrado Giustozzi, noto esperto di sicurezza, membro del direttivo di Clusit – Purtroppo ho scoperto che veniva fatto da una sala all’altra dello stesso building e non in siti diversi; il risultato è che sono andati in fumo sia i dati dei clienti sia i loro backup”. È probabile che le assicurazioni pagheranno ben poco visto che la condotta non è proprio quella che ci si aspetterebbe da un data center di quelle dimensioni. Il punto dolente è che molti clienti non sapevano esattamente cosa avevano comprato e consideravano al sicuro i loro dati in cloud.
Meno severo Stefano Quintarelli, esperto di informatica e di sicurezza, presidente del comitato di indirizzo di AgID, ricorda che, per la sua esperienza, in un data center può non essere sufficiente predisporre apparati, backup, alimentazione, antincendio e building separati, a fronte di un blackout elettrico generalizzato come accaduto qualche anno fa: “Forse scopriremo che OVH non aveva un’infrastruttura di primordine – aggiunge – Ma bisogna valutare quanto pagavano i clienti ”.
Un servizio di qualità non adeguata può derivare da un costo troppo basso a fronte di aziende a cui, per mancanza di cultura, i cloud, visti da fuori, sembrano tutti uguali. “Non essendo in grado di distinguere la qualità dei servizi, si compra cosa costa meno”, commenta Giustozzi.
Il caso OVH dovrebbe fa suonare qualche campanello d’allarme. La lezione imparata, ricorda Faggioli è: “Quando si siglano contratti di servizio cloud bisogna studiare bene quanto il fornitore fornisce in termini di sicurezza”.
Il caso della vulnerabilità Microsoft Exchange
Sono state recentemente individuare quattro vulnerabilità 0-day già sfruttate attivamente da almeno cinque gruppi di cyber criminali, che hanno consentito di accedere ai server Exchange locali e, di conseguenza, agli account di posta elettronica, aprendo così la strada all’installazione di malware capaci di agevolare l’accesso a lungo termine agli ambienti compromessi. Attualmente le vulnerabilità sono state in gran parte risolte grazie al patching e a un decalogo di comportamento fornito da Microsoft.
“Si tratta di una vulnerabilità particolarmente grave in un’infrastruttura molto diffusa – commenta Giustozzi – Riguarda infatti il leader mondiale di quel tipo di servizio usato sia dalla piccola azienda, spesso senza esserne consapevole, sia da enti governativi e realtà molto grandi e critiche”. Il problema principale è il fatto che la vulnerabilità è circolata non conosciuta per un tempo molto lungo e ha dato modo ai cyber criminali di installare qualunque cosa nelle reti. Alle aziende colpite non basterà dunque applicare le patch fornite da Microsoft ma dovranno fare una bonifica interna perché qualcosa potrebbe essersi infiltrato.
A questo proposito è interessante il punto di vista di Carlo Mauceli, come membro del direttivo Clusit ma soprattutto nel suo ruolo di National Digital Officer di Microsoft Italia: “La vulnerabilità è un grande problema del quale, come Microsoft, ci assumiamo la responsabilità. Nonostante siamo un’azienda estremamente attenta al rilascio di sistemi sicuri, come dimostra la decrescita di attacchi negli ultimi anni, e nonostante tutti i sistemi di controllo e analisi del codice, qualcosa ci è sfuggito”, sostiene invocando al tempo stesso un concorso di colpa. Le violazioni indicherebbero, a suo parere, anche la difficoltà delle aziende che hanno subìto gli attacchi, ad avere una governance corretta del proprio ambiente. “Se ci fossero stati sistemi adeguati di monitoraggio alcuni incidenti non si sarebbero verificati”, aggiunge, ricordando che la responsabilità del monitoraggio e della governance è dell’azienda, come pure dei SOC, che potrebbero essere realizzati con strumenti innovativi ormai disponibili, come algoritmi AI per abbattere il rischio cyber o soluzioni basate sulla telemetria per controllare real time quanto sta avvenendo. “Alcune eccellenze italiane che lo hanno fatto hanno evitato incidenti nonostante la presenza di componenti on premise di Exchange”, dice.
Condivisione delle informazioni e supporto alle PMI
La lezione imparata? “Non si deve aspettare l’arrivo di una vulnerabilità per mettere in piedi un sistema di sicurezza fatto ad arte – sottolinea Mauceli – Nel Paese c’è bisogno di cultura, formazione, conoscenza; sono fondamentali la partnership l’info-sharing”.
“Certo dobbiamo aumentare la cultura ma i prodotti che mettiamo in mano alle persone devono essere a regola d’arte e se non lo sono non si può dare la colpa a chi li usa”, gli contesta Quintarelli che pone la necessità di trovare luoghi di confronto per tutti gli attori coinvolti (imprese e operatori) come già accade per le infrastrutture critiche, per il mondo bancario, per la PA…
Resta aperto il tema delle PMI che, se sono in grado di gestire un server Exchange, non è detto che possano permettersi un SOC. E proprio le PMI che rappresentano l’anello più fragile dovrebbero essere accompagnate sulle via della cybersecurity. “Non si devono lasciare sole le PMI che spesso non sanno cosa fare, come farlo a chi chiedere… – suggerisce Giustozzi – È mancata una linea di indirizzo e supporto per un percorso che deve iniziare con l’aspetto culturale”.
Questo è il momento giusto. La consapevolezza dell’importanza della cybersecurity non è presente solo fra le grandi aziende che, secondo i dati del Rapporto Clusit, presentati in apertura del Summit, la mettono al primo posto, anche è maturata anche per le PMI che l’hanno indicata al secondo posto, un’assoluta novità rispetto agli scorsi anni. Questa nuova consapevolezza va dunque colta per evitare indirizzare sforzi e investimenti, evitando che siano sprecati.
Giustozzi suggerisce ad esempio una politica di defiscalizzazione per gli investimenti in sicurezza, all’interno di un piano nazionale di supporto per le PMI.