Indipendentemente dal tipo di business, assicurare la continuità operativa delle attività non significa solo saper proteggere in modo adeguato i sistemi informativi e le reti che mettono in collegamento un’organizzazione al resto del mondo. Il significato più vero e profondo della sicurezza, infatti, è garantire ai destinatari dei servizi qualità delle informazioni e sicurezza nella gestione dei dati.
Gli attacchi, infatti, non sono minacce che ogni tanto diventano oggetto di cronaca: sono una triste realtà. Le statistiche parlano chiaro: un quarto degli attacchi perpetrati dai cybercriminali vanno a buon fine e questo qualsiasi sia la difesa messa in campo. Del 99,99% della aziende che hanno subito un attacco, solo la metà sa di averlo subito. A raccontare questi e altri numeri significativi alla Pubblica Amministrazione è Cisco, che nelle scorse settimane ha organizzato un evento incentrato proprio sulla sicurezza ICT, come strumento abilitante per l’erogazione dei servizi della PA.
La sicurezza, strumento abilitante dei servizi della PA
“Garantire la qualità dei servizi ai cittadini è un asset imprescindibile per le Pubblica Amministrazioni – ha spiegato Luca Bechelli, membro del Comitato Tecnico Scientifico Clusit -. Le tecniche di attacco nel 2015 si sono notevolmente sofisticate e potenziate. Lo spamming è cresciuto addirittura del 300%, gli attacchi DDOS (Distributed denial of service) di un +17%. Ci sono minacce sempre più mirate e sempre più invisibili: le SQL injection, ad esempio, sono cresciute del 90%: si tratta di attacchi mirati a colpire le applicazioni web che si appoggiano su un DBMS di tipo SQL, sfruttando l’inefficienza dei controlli sui dati ricevuti in input per inserire codice maligno all’interno di una interrogazione SQL. Le conseguenze prodotte sono imprevedibili: l’SQL injection permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito anche senza essere in possesso delle credenziali d’accesso e di visualizzare e/o alterare dati presenti del database. A rischio sono i dati che ogni giorno le PA devono gestire, dalle forze dell’ordine alla sanità, dalle istituzioni governative ai comuni”.
Perché è necessario alzare il livello di guardia
La sicurezza è un elemento abilitante per l’erogazione dei servizi delle Pubbliche Amministrazioni. La digitalizzazione dei servizi, infatti, sta spingendo le Pubbliche Amministrazioni a potenziare la relazione on line con i cittadini. Molti enti governativi, ad esempio, stanno spostando una parte delle transazioni sul web: ad esempio la somministrazione di prestiti agli studenti, mutui, emissioni di carte di sicurezza sociale, accettazione di pagamenti fiscali o la gestione diretta della tasse sugli stipendi. Così come la sanità o la scuola stanno rilasciando una serie di servizi on line. Non a caso i target italiani più colpiti vedono, nell’ordine, Istituti governativi in testa con il 30% degli attacchi subiti, seguiti con ll 20% dal mondo dello Sport &Fitness e del Fashion & Footwear. Seguono a ruota con il 10% i settori dell’Education e della vendita del software. Gli attacchi in Italia vedono ripartirsi il campo tra hacktivisti (40%) e cybercriminali (60%). Quello che è indubbio è oggi sono cambiati i principi della sicurezza: il perimetro di un’organizzazione è diventato simbolico, gli accessi ai sistemi ormai sono ubiqui e pervasivi. Il problema oggi è che per molte aziende proteggere è sinonimo di investimento in soluzioni per la sicurezza il che pone la questione in termini di budget e non di strategia.
Le best practice della sicurezza in 7 punti
Certo è che in una situazione così complicata è necessario definire al meglio approcci più funzionali. Le best practice?
1. Identificare i reali problemi dell’organizzazione attraverso un’analisi puntuale
2. Creare una gerarchia delle priorità, per stabilire l’ordine degli interventi e le risorse necessarie
3. Identificare in modo corretto le soluzioni, per evitare ridondanze o scelte inutili
4. Incrementare la capacità non solo preventiva ma anche reattiva, per ridurre tutti i tempi di intervento
5. Supportare le esigenze del business, garantendo la continuità operativa sulle attività mission critical
6. Sostenere la gestione del rischio, prevedendo piani di disaster recovery adeguati
7. Gestire la Compliance, mantenendo alta l’attenzione all’evoluzione normativa sempre più stringente
“Oggi nelle aziende non c’è più la percezione di quale sia l’infrastruttura e di quali siano i sistemi operativi – ha spiegato Fabio Panada, Cisco Consulting System Engineer Security -. Il problema è la visibilità: è sempre più difficile identificare i vettori d’attacco ma soprattutto i recettori di attacco. Il nuovo target della cybercriminalità sono i dati, le informazioni. Oggi il costo di una falla al perimetro della sicurezza si attesta nell’ordine dei 900mila dollari, il che significa una media di 4,5 Milioni di dollari. Gli hacker puntano a colpire le organizzazioni, i dipendenti e i consumatori. Sapendo che prima o poi sarete soggetto di un attacco, che cosa potete fare? L’unica strategia che funziona è introdurre un modello di sicurezza completo, capace di ragionare come se si fosse permanentemente sotto assedio: cioè capace di offrire misure di sicurezza prima, durante e dopo un attacco”.
Risk management, sempre troppo lento
A confermare questa direzione sono gli analisti di Gartner che spiegano come il 65% dei CEO ammetta di avere un risk management sempre troppo lento. Le organizzazioni, che al momento investono il 90% in strumenti di prevenzione e il 10% in strumenti di rilevamento, dovrebbero cambiare il rapporto: l’ordine corretto sarebbe 60 e 40. Nell’Annual Security Report 2016 di Cisco, gli esperti hanno mappato l’impatto delle violazioni nelle aziende.
Certo è che oggi la sicurezza delle organizzazioni vede una frammentazione delle consolle di sicurezza: si parla di 30 e 40 consolle diverse, dall’antimalware all’antivirus. Difficile mappare lo stato della sicurezza perché oltre a non esistere un vero e proprio inventario legato a una crescita addizionale, molti dei prodotti sono slegati tra loro e permane una forte disomogeneità dei sistemi di controllo.
“Ci vuole integrazione, razionalizzazione e, soprattutto, un approccio il più possibile olistico, attraverso una piattaforma integrata che offra visibilità e consapevolezza su tutta la rete – ha sottolineato Luca Simonelli, Regional Vice President at OpenDNS -. Per la Pubblica Amministrazione c’è un’equazione molto pericolosa che può intaccare la continuità operativa dei servizi: la disattenzione degli utente e la grande capacità di attaccare del cybercrime. L’unico approccio che funziona e far convergere la sicurezza sulla rete, che così diventa essa stessa il veicolo di una protezione pervasiva. Serve un partner affidabile, capace di garantire la qualità della consulenza, della progettazione, del supporto e della gestione, capace di monitorare e assicurare la qualità delle analisi e l’allineamento alle policy anche alle realtà più piccole”.
La rete è la chiave di tutto
A questo proposito può essere rilevante un Network mapper che, in tempo reale, può mappare la gestione di tutti i flussi informativi e, tramite appositi algoritmi, analizzare tutto quello che avviene in un data center, correlando le informazioni di ciò che succede all’infrastruttura e le anomalie che possono annunciare un attacco.
“La rete è una risorsa per la sicurezza – ha ribadito Simone Posti, Security Account Manager di Cisco -. Capitalizzando tutta l’offerta Cisco, la nostra offerta offre un’unica soluzione per garantire non soltanto un’Identity management di livello superiore ma anche un presidio completo di tutti gli end point, del campus, del data center, fino a includere tutte le tecnologia, fisiche e virtuali, on premise o in cloud. Qualsiasi sistema basato sulla detection fallisce, per sua natura perché prima nasce la minaccia e poi la difesa e questa non è una buona strategia per chi vuole progettare sicurezza. Oggi è necessario essere veloci e agili: gli utenti vogliono risposte in tempo reale, le informazioni devono poter essere accessibili ovunque e i software antivirus non bastano a bloccare gli attacchi. La Security Everywhere è il nuovo paradigma di Cisco”.
Tutte le soluzioni Cisco, infatti, partono da un concetto di visibilità a 360° della rete che nasce dall’integrazione dei sistemi di controllo sia a livello hardware che a livello software, monitorando sia i flussi che i processi. Come indicato nell’Annual Security Report 2016 di Cisco perno tecnologico dell’offerta un sistema di analisi integrata, che aiuta le aziende a individuare una minaccia con una media di 17.5 ore ore (rispetto ai 200 giorni delle altre soluzioni). Come? Attraverso un’intelligence che funziona anche nel cloud. Il team di Security di Cisco correla circa 10 volte i dati che correla Google.
“Analizziamo circa 7 MLD di minacce al giorno – ha concluso Alberto Degradi, Architecture Leader Borderless Network e Data Center di Cisco -, mentre Google fa un miliardo di search al giorno. Nessun vendor è stato in grado di individuare il 25% degli attacchi a tempo zero: noi in 17.5 ore riusciamo non solo a individuare un attacco ma a dire come si è manifestato, in che punto della rete e a che livello di infezione è arrivato. Invece che far ragionare i clienti sui singoli prodotti, noi puntiamo a sensibilizzare le organizzazioni sulle vision. La rete è l’unico strumento che correla qualsiasi cosa e vede tutto. Ecco perché la chiave di tutto è la Rete. Ed ecco perché la nostra proposta è una Integrated Threat Defense Architecture: un’architettura di difesa dagli attacchi integrata”.