La sicurezza informatica come leva competitiva. Aumenta l’ondata di attacchi a livello globale e cresce il costo delle violazioni. Il valore della cooperazione per passare da un approccio reattivo a un modello proattivo. La data security come priorità dell’IT
Lo scorso luglio, gli Stati Uniti hanno convocato un vertice a cui hanno partecipato oltre 30 nazioni, Italia compresa, per discutere i metodi per combattere il ransomware. I partecipanti all’incontro virtuale, ospitato dal Consiglio di sicurezza nazionale della Casa Bianca, hanno provato ad abbozzare un piano di cooperazione internazionale su questioni come le norme di condotta nel cyberspazio, le partnership con le forze dell’ordine e l’utilizzo delle criptovalute da parte del crimine informatico. I lavori si sono conclusi con un documento sottoscritto dai partecipanti per contrastare la proliferazione di reti criminali dedite allo sfruttamento del ransomware. Tutti i paesi riconoscono che il ransomware è una “minaccia alla sicurezza globale in aumento con gravi conseguenze economiche e di sicurezza”. Una minaccia che richiede una “risposta condivisa” considerata la complessità e globalità del problema. Come si legge nel documento finale – “la capacità di una nazione di prevenire, rilevare, mitigare e rispondere efficacemente alla minaccia dipenderà dalle capacità, cooperazione e resilienza dei partner globali, del settore privato, della società civile e il pubblico in generale. Tre le misure principali da adottare in fretta: il miglioramento della resilienza della rete per prevenire quando possibile gli incidenti e dei meccanismi di risposta quando si verificano gli incidenti; la lotta più incisiva all’abuso dei meccanismi finanziari per riciclare i pagamenti del riscatto o condurre altre attività che rendono redditizio il ransomware; il contrasto all’ecosistema criminale tramite la collaborazione tra forze dell’ordine dei vari paesi e l’impegno diplomatico continuato.
ATTACCHI IN AUMENTO
L’iniziativa USA si iscrive in un quadro più ampio di misure adottate dopo il clamore suscitato dagli attacchi di maggio e giugno, culminati nell’interruzione della distribuzione di carburante sulla costa orientale USA causata dal fermo attività di Colonial Pipeline, a seguito della quale il Governo americano ha stanziato risorse significative per la sicurezza informatica. Il numero di attacchi ransomware come dichiarato dal segretario alla sicurezza interna USA, Alejandro Mayorkas, sono triplicati nell’ultimo anno. Secondo i dati contenuti nel Cyber Threat Report di SonicWall, il volume di attacchi a livello globale è cresciuto del 151% nei primi sei mesi del 2021 rispetto all’anno precedente, arrivando a sfiorare quota 500 milioni. Di gran lunga l’anno peggiore mai registrato.
DATA BREACH
Buona parte degli attacchi ransomware ha come effetto l’esposizione delle informazioni personali dei clienti. Tra maggio 2018 e gennaio 2021 nei paesi dell’area UE sono stati notificati oltre 300mila data breach. La Germania è di gran lunga il paese che ha notificato il maggior numero di data breach nel continente, oltre 77mila. Segue la piccola Olanda (67mila) che ne notifica più del doppio del Regno Unito. Spagna (3288) e Italia (3.466) virtuosissime sono in fondo alla classifica rispettivamente con 3.288 e 3.466 violazioni notificate. Negli USA, il numero di violazioni dei dati nel 2021 è aumentato vertiginosamente rispetto a quello del 2020. Sono 1.291 secondo l’Identity Theft Resource Center (ITRC), le violazioni denunciate al 30 settembre, cifra già superiore al totale 2020.
COSTI DELLE VIOLAZIONI
L’esposizione delle informazioni personali dei clienti rappresenta uno dei costi più rilevanti per le aziende che hanno subito un attacco. Secondo uno studio di Ponemon Institute per conto di IBM, la violazione dei dati aziendali costa in media 3,86 milioni di dollari. Gli attacchi più devastanti sono quelli perpetrati da gruppi foraggiati da stati sovrani, che possono causare perdite medie pari a 4,43 milioni di dollari. Ma l’entità del danno cambia anche in funzione del tipo di attacco. Quelli che sfruttano vulnerabilità di terze parti costano in media 4,5 milioni di dollari. Costo che lievita quando i cyber criminali riescono ad accedere alla rete aziendale attraverso l’uso di credenziali rubate o compromesse. In Italia il costo delle violazioni di dati su un campione di 21 aziende monitorate ha superato quota tre milioni di euro, valore in continua crescita da almeno un decennio.
COSA STIAMO IMPARANDO?
Ransomware e data breach non esauriscono le tipologie di attacco in circolazione. Come documenta da anni il rapporto CLUSIT, il malware, prodotto industrialmente a costi decrescenti, insieme allo sfruttamento di vulnerabilità note, rappresenta ancora più della metà dei casi analizzati. «Continuiamo ad assistere a tecniche di attacco abbastanza classiche, come l’email phishing associato ad altre tipologie più moderne o complesse» – conferma Riccardo Iommi, cloud systems solution engineering manager di Oracle. Il fatto che la popolarità di talune tipologie di attacchi non accenni a diminuire è anche indice della loro efficacia. «La forte accelerazione della digitalizzazione negli ultimi mesi è proceduta di pari passo con l’accumulo di debito tecnologico all’interno delle aziende e le vecchie “ricette” malware funzionano ancora» – concorda Nicolas Casimir, CISO di Zscaler EMEA. «Il software, non più gestito adeguatamente, diventa un pericoloso vettore di attacco, sfruttabile anche con metodologie ormai datate. Il phishing, rivolto all’anello più debole della catena di attacco, cioè l’essere umano, funzionerà sempre». In ogni caso, lo sforzo criminale è sempre teso a migliorare l’efficacia sia degli strumenti sia di tutta la catena di attacco per consentire di monetizzare molto e in fretta.
CYBERCRIME E C2C MARKET
Gli attacchi alla supply chain a cui abbiamo assistito nel 2021 sono un buon esempio del livello di specializzazione raggiunto dai criminali informatici. «Il malware viene utilizzato per creare attacchi più sofisticati, capaci di causare gravi danni» – afferma Casimir di Zscaler. «I criminali informatici prendono in prestito i modelli commerciali da settori industriali legali, creando un modello Criminal-to-Criminal (C2C) con una sempre più efficace divisione dei ruoli: alcuni forniscono un accesso iniziale a un’azienda mirata; altri sviluppano il codice del ransomware e lo offrono come modello di servizio; altri ancora sono responsabili del data mining per trovare i dati più preziosi tra quelli trapelati una volta che un’azienda è stata compromessa; mentre la funzione successiva si occupa di riciclare il denaro». A tutto questo, si aggiungono nuove tattiche come per esempio la doppia estorsione per creare una maggiore pressione a pagare il riscatto. «Nonostante la superficie di attacco a causa del maggior numero di tecnologie connesse è sempre più vasta, si continuano a utilizzare i vecchi sistemi fuori supporto o non si aggiornano i sistemi in maniera regolare» – lamenta Gastone Nencini, country manager di Trend Micro Italia. «Per questo, restano scoperte vulnerabilità anche datate, ancora buone per sferrare attacchi di successo. WannaCry è un esempio perfetto di questa situazione».
OBSOLESCENZA DEI SISTEMI
«Con l’aumento di dispositivi e punti di accesso, sarà sempre più facile trovare “una finestra aperta” che chiuderle tutte» – commenta Iommi di Oracle. Naturalmente non aiuta il rapido invecchiamento di hardware e software. «Infrastrutture e processi soffrono di obsolescenza e difficoltà a “tenere il passo” con lo stato dell’arte. Un debito tecnologico che significa vulnerabilità» – continua Iommi di Oracle. Ma c’è anche un’arretratezza di tipo culturale che continua a giocare un ruolo importante. «Mentre difficilmente ci si può preparare contro vulnerabilità zero-day, ci si potrebbe certamente difendere meglio da quelle note e da misconfigurazioni, per mitigare almeno in parte il rischio di attacchi con questa tipologia di tecniche» – rileva Sofia Scozzari, membro del Comitato Scientifico di CLUSIT. Tipologie d’attacco datate – «che rimangono efficaci perché vanno a colpire aziende che non si sono ancora dotate degli strumenti adeguati a contrastare il cyber risk» – spiega Elisabetta Pancaldi, senior director di CRIF. «A cominciare dall’assessment delle loro vulnerabilità informatiche e il monitoraggio sul web per la tutela dei dati aziendali». Non bisogna dimenticare la forza esercitata dalla leva economica attorno alla quale orbita buona parte delle azioni criminali. Un mercato, quello dei dati, che garantisce ritorni economici importanti. «In questo contesto – afferma Gastone Nencini di Trend Micro Italia – è normale che alcune tipologie di attacco vengano soppiantate da altre con maggiori probabilità di avere successo, in una sorta di “darwinismo” dei vettori cyber criminali». Altri vettori sin qui sottovalutati o peggio ignorati – come il malware crittografato e gli attacchi su porte non standard – potrebbero guadagnare maggiore visibilità. Mentre sullo sfondo, la minaccia alle infrastrutture critiche rimane molto alta. Non sappiamo se e come la criminalità informatica adatterà le proprie strategie di attacco a fronte di maggiori pressioni investigative, meccanismi di coordinamento e collaborazione più efficaci tra agenzie e governi, e la crescita delle capacità di tutti noi di riconoscere e rispondere meglio alle minacce. «Chi attacca oggi è meglio organizzato e agisce in modo più efficiente» – spiega Sofia Scozzari di CLUSIT. Chi attacca andrebbe anticipato. Giocare solo in difesa non basta.
PRIORITÀ E INVESTIMENTI
La cybersecurity è uno degli asset necessari per affrontare i mercati e le sfide internazionali. La pandemia non è ancora storia. Ma lo è la forte accelerazione impressa dalle aziende ai piani di ottimizzazione dei costi, continuità operativa, incremento della produttività e massivo ricorso alla remotizzazione del lavoro. Uno scenario che ha reso se possibile ancora più urgente aggiornare strategia e postura di sicurezza di aziende e organizzazioni. A partire dalla spinta ad assicurarsi una più efficace capacità di monitoraggio e risposta tempestiva a possibili attacchi, fermi operativi e business continuity. Tuttavia, all’aumentare dei rischi una percentuale significativa di aziende si preparava lo scorso anno a ridurre i budget di sicurezza destinati alla cybersecurity, come ha documentato l’Osservatorio cybersecurity & data protection della School of management del Politecnico di Milano. Colpa dell’impatto economico della pandemia che ha obbligato tutti o quasi a fronteggiare vecchie e nuove sfide di sicurezza con budget assottigliati. Anche una ricerca condotta da IDC avvalorava questa tendenza con oltre il 35% delle aziende italiane, impattato significativamente dagli effetti dell’emergenza sanitaria.
SECURITY COME LEVA COMPETITIVA
«Le aziende sono oggi consapevoli dell’importanza che gli investimenti in sicurezza giocano per abilitare un business sempre più digitale, connesso e affidabile» – afferma Diego Pandolfi, Research & Consulting manager di IDC Italy. «Diversi fattori però limitano la loro capacità non solo di investire in security ma di migliorare le loro competenze interne su questo ambito». Al primo posto, il fattore culturale, ossia la bassa capacità del management di capire l’importanza della sicurezza come area strategica per operare nei mercati digitali. Seguito da altri fattori più tecnologici. Innanzitutto – come spiega Pandolfi – la presenza della cosiddetta shadow IT con la presenza di sistemi e soluzioni IT implementati senza l’approvazione formale del dipartimento IT. A cui si aggiungono la forte presenza nelle aziende di sistemi legacy e il basso livello di integrazione tra applicazioni, servizi, processi e la difficoltà a reperire sul mercato le competenze adeguate.
FATTORI TECNOLOGICI E CULTURALI
La formazione del budget IT rappresenta un momento sempre più importante per le imprese di qualsiasi dimensione. Aziende e organizzazioni faticano ancora a comprendere il ruolo che la sicurezza IT gioca come infrastruttura abilitante per la competizione sui mercati digitali. «Il problema spesso risiede nel board delle aziende, che percepisce la security ancora come un costo e non come un asset fondamentale per la tutela del proprio lavoro e del business della propria azienda, oltre che uno scudo legale in caso di incidenti circa le responsabilità civili delle persone coinvolte» – spiega il country manager Trend Micro Italia Gastone Nencini. «A livello culturale, in Italia c’è poca propensione per gli investimenti, in realtà propedeutici per far crescere l’azienda. La cybersecurity è uno degli asset necessari per affrontare i mercati e le sfide internazionali. Oltre che per difendersi da attacchi sempre più globali». Pur in questo quadro problematico, si registra – seppur faticosamente – un cambiamento di sensibilità. Se da un lato resiste il sempiterno alibi dei budget scarsi, dall’altro cresce la consapevolezza che fare le cose bene alla lunga costa meno che affrontare i danni dopo. «Il modo in cui viene percepito il reparto di sicurezza IT è cambiato» – afferma Nicolas Casimir, CISO di Zscaler EMEA. «Prima vigilava sulle best practice, rallentando qualsiasi progetto IT, oggi è un vero e proprio abilitatore del business. Osserviamo migliori relazioni tra i responsabili aziendali e il CISO. Quando viene erogato un nuovo servizio i requisiti di riservatezza, integrità e disponibilità sono sempre di più presi in considerazione».
SUPPORTO ALLA CRESCITA
L’emergenza sanitaria ha fatto emergere o amplificato una serie di urgenze, in termini di aree da presidiare. La prima – secondo Marco Cellamare, regional sales director dell’Area Mediterranea di Ivanti è quella di riuscire ad abilitare l’Everywhere workplace. «Un contesto nuovo, caratterizzato da infrastrutture distribuite, che richiede l’implementazione di nuove soluzioni e di un nuovo approccio alla sicurezza volto all’ottimizzazione del lavoro. Indipendentemente dalla tipologia di sicurezza, on-premise, edge o cloud». La pandemia ha moltiplicato i vettori di attacco. Così la scelta – più o meno dettata dalle circostanze – di trascurare la sicurezza si è rivelata una pessima mossa. «Il perimetro aziendale è completamente cambiato negli ultimi 18 mesi» – osserva Andrea Negroni, country leader cybersecurity di Cisco Italia. «I nuovi modelli di lavoro e l’aumento dei dispositivi collegati alla rete hanno spinto le aziende a scegliere soluzioni cloud per garantire la continuità aziendale e a dover affrontare, spesso con urgenza, il tema della sicurezza aziendale». Le aziende, indipendentemente da dimensioni e settore di riferimento, sono costrette a riconsiderare i possibili vettori di attacco, tenendo presente l’estrema mobilità di collaboratori e partner e il grado di preparazione nel gestire il lavoro da remoto come nuova modalità operativa. «La velocità della transizione non è stata purtroppo positiva dal punto di vista della sicurezza aziendale» – rileva Silviu Stahie, security analyst di Bitdefender. «Gli hacker hanno sfruttato la mancata preparazione delle aziende nel formare in modo corretto i loro dipendenti sulle buone pratiche di sicurezza con il passaggio massivo allo smart working». Come avverte Casimir di Zscaler, adesso però è necessario fare il passo successivo: «Allontanarsi dal tradizionale accesso alla rete e passare a un approccio di sicurezza basato sulle identità degli utenti, la configurazione dei dispositivi e l’implementazione di policy per permettere un accesso differenziato alle applicazioni richieste».
PMI E OPPORTUNITÀ DI RILANCIO
Secondo IDC, le priorità in ambito della sicurezza delle aziende italiane si polarizzeranno nei prossimi mesi su quattro aree. «La prima riguarda la formazione e l’awareness da trasferire ai propri dipendenti, con l’obiettivo di diffondere in azienda una cultura e una preparazione in area security che possa proteggere il business e l’operatività da comportamenti non idonei del personale» – spiega Diego Pandolfi di IDC Italia. «Altre due priorità si riferiscono alla necessità di gestire in modo ottimale il volume crescente di utenti, identità e accessi e il rischio associato ai fornitori che devono accedere ai sistemi aziendali». Infine, resta fondamentale – «assicurare la completa visibilità di tutto l’ambiente IT e colmare lo skill gap ancora esistente». Sul versante delle PMI, la priorità è di implementare soluzioni che risolvano l’inevitabile assenza di competenze interne di cybersecurity e per questo è necessario rivolgersi a operatori in grado di offrire managed services di tipo end-to-end – come suggerisce Gianluigi Citterio, head of presales technology di Gruppo Lutech. PMI per le quali – secondo Elisabetta Pancaldi di CRIF – il cyber risk rimane una delle principali aree di debolezza: «La mancanza di conoscenze e competenze interne per proteggersi preventivamente e gestire il rischio informatico porta persone e piccole aziende a credere erroneamente che il loro rischio sia basso. In realtà, anche le PMI possono essere un target per le organizzazioni criminali». Il PNRR destinerà alla cybersecurity nella PA 620 milioni di euro per potenziare personale e strutture. Ma il piano prevede anche oltre 10 miliardi in investimenti nelle aree digitalizzazione, innovazione e sicurezza per la PA, 27 miliardi per il sistema produttivo e altri 8,6 per il servizio sanitario nazionale. Una opportunità irrepetibile. La cybersecurity è un tema chiave per la sicurezza nazionale e l’auspicio è che queste risorse, complessivamente 45 miliardi di euro per la transizione digitale, possano rappresentare per l’Italia l’occasione per colmare le proprie lacune in ambito cyber. Anche nel settore privato.
LA MAPPA DEGLI INVESTIMENTI
IDC ci consegna una mappa dettagliata delle aree in cui sarebbe necessario intervenire. Le principali aree di investimento tecnologico per le aziende per il prossimo anno avranno come obiettivo la data security che significa data loss prevention, data discovery, encryption, key management – come ci spiega Pandolfi di IDC Italia. «Un’area strategica e critica per le aziende di tutti i settori per assicurare elevati livelli di compliance e di fiducia verso il mercato». Anche la cloud security – nelle previsioni di IDC – sta emergendo come un altro ambito prevalente che interessa sia soluzioni per la protezione delle applicazioni cloud e dei dati contenuti in tali applicazioni, sia soluzioni fruite as a Service, secondo un modello tipico del cloud. «In questo ultimo ambito, rientrano sempre più spesso investimenti in soluzioni di backup as a Service e disaster recovery as a Service. Altre aree di investimento – continua Pandolfi – saranno le soluzioni di orchestration e automation, OT e IoT security, un’area strategica importante, soprattutto per le realtà manifatturiere, retail, utilities, per proteggere sistemi operativi e produttivi sempre più connessi e integrati con l’IT». Secondo Citterio di Gruppo Lutech, la cybersecurity è implicita e prioritaria in qualsiasi modello di digital transformation. «Ogni progetto ha insita una componente di sicurezza, senza la necessità di budget dedicati, in quanto si tratta ormai di una condizione imprescindibile per tutti i tipi di iniziative volte alla digitalizzazione del business».
SFIDE E OPPORTUNITÀ
La cybersecurity ci pone davanti a nuove sfide, dettate dal ritmo dell’innovazione tecnologica e altrettante opportunità, determinate dalla capacità del Sistema Italia di sfruttare le risorse che l’Europa ha destinato al nostro Paese per ripartire dopo la crisi innescata dalla pandemia. Dobbiamo sviluppare competenze capaci di garantire affidabilità intrinseca al sistema non in conto terzi, perché anche i servizi più affidabili possono fallire e in quelle circostanze servono ingegneri della sicurezza in grado di reagire allo shock. Oggi, è ancora difficile stabilire in che misura riusciremo a sbloccare una serie di progetti per aiutare le aziende pubbliche e private a investire nel settore della cybersecurity. Dalla nostra capacità di favorire la collaborazione tra pubblico e privato, liberando quelle energie necessarie per sviluppare tecnologie nazionali in materia cyber – come auspicato peraltro dall’Unione Europea in vista di quella sovranità cibernetica europea da più parti invocata – dipenderà la strategia di cybersecurity dell’Italia nei