Allarme infrastrutture critiche. Gli scenari di cyber risk ridisegnati dall’escalation della guerra tra Russia e Ucraina. Contestualizzare, misurare e valutare l’esposizione al rischio rappresenta il primo passo di qualunque strategia di sicurezza. Ecco come blindare gli asset evitando dipendenze e lock-in
Dopo la pandemia, la guerra. Gli scenari di rischio cyber sui quali aziende e organizzazioni avrebbero dovuto misurarsi saranno giocoforza ridisegnati dall’aggressione russa all’Ucraina. Se i mesi scorsi sono stati un assaggio, amaro, di quello che si prospettava all’orizzonte – con eventi gravi come l’interruzione delle catene di approvvigionamento, la paralisi operativa di interi reparti di ospedali e centri di assistenza, o il fermo della produzione negli stabilimenti di giganti industriali come Toyota, JBL – oggi, la domanda più urgente è un’altra: in che misura la crisi ucraina riscriverà i piani di sicurezza delle aziende? Gli attacchi cyber preparatori all’invasione russa dello scorso 24 febbraio e indirizzati a minare le infrastrutture critiche ucraine in aggiunta ai malware scatenati contro le infrastrutture critiche potrebbero propagarsi anche nell’area UE. L’allerta per un attacco cyber da parte della Russia anche in Italia è nel momento in cui scriviamo molto alta. Il Copasir ha messo in guardia contro il pericolo di operazioni cyber ai danni delle infrastrutture principali del Paese. Un rischio che potrebbe aumentare ancora dopo che l’Italia ha rafforzato la propria presenza militare in Europa orientale e la decisione di armare la resistenza ucraina inviando sistemi d’arma e tecnologie militari.
Di certo, gli incidenti degli ultimi mesi hanno spostato ancora più avanti il livello di attenzione e consapevolezza nei confronti della sicurezza informatica nella coscienza sia di chi deve confrontarsi ogni giorno con i pericoli cyber che in quella dell’opinione pubblica in generale. «Le organizzazioni di tutti i settori pongono ai primi posti tra le priorità di business, non solo tecnologiche, la massimizzazione della protezione di sistemi, dati e utenti» – conferma Diego Pandolfi, research and consulting manager di IDC Italia. «La sicurezza è quindi un tema che interessa tutta l’azienda in quanto, con l’affermarsi del business digitale, ogni processo, dipartimento e utente è potenzialmente a rischio». Presumibilmente, i rischi derivanti dal conflitto in corso rafforzeranno questa tendenza. Tuttavia, aziende e organizzazioni restano particolarmente vulnerabili agli attacchi. «I principali progetti di trasformazione digitale stanno contribuendo a delineare un perimetro di business sempre più distribuito ed esteso, non più localmente delimitato dal data center o dalla rete aziendale» – spiega Pandolfi.
«Tra le principali iniziative di innovazione, infatti, spiccano l’adozione del lavoro ibrido e da remoto, la gestione omnicanale dei clienti, la gestione di processi e operations attraverso tecnologie connesse e la crescente erogazione di prodotti e servizi attraverso piattaforme digitali. Attività che contribuiscono da un lato a estendere le possibili superfici d’attacco e dall’altro presuppongono la capacità delle aziende di proteggere e monitorare ambienti IT e tecnologie eterogenee, spesso stratificate e non integrate». La vulnerabilità delle aziende è quindi chiaramente in aumento: in base a una delle ultime rilevazioni condotte da IDC in Europa sugli attacchi ransomware, emerge infatti che ben il 69% delle aziende intervistate ha dichiarato di aver subito uno o più di questi attacchi nei mesi precedenti. «Una percentuale in forte crescita rispetto alle precedenti rilevazioni che ci fa capire come oggi prevenire gli attacchi sia più complesso» – afferma Pandolfi. In Italia, a queste dinamiche di fondo, si aggiungono una scarsa propensione agli investimenti, tessuto produttivo polverizzato e decimato dalle crisi susseguitesi negli ultimi anni. La buona notizia è il moltiplicarsi dei segnali che dimostrano come il tema cybersecurity sia tenuto in più seria considerazione. Insieme alla volontà di mettere il proprio business al sicuro, il rischio è di scivolare nelle sabbie mobili dei tanti ossimori che accompagnano la nostra esistenza. Eppure, a volersi rimboccare le maniche sono tante le cose che si possono ancora fare o si possono migliorare. A partire dal valore dell’audit e dell’importanza di checkup periodici.
DA DOVE INIZIARE
Ribadire quanto sia importante effettuare delle verifiche di sicurezza periodiche per rendere la postura di sicurezza aziendale il più possibile adeguata alla continua evoluzione del rischio non è mai superfluo. Gli audit sono uno degli strumenti più importanti a disposizione per mettere alla prova le misure di sicurezza adottate e rilevare le vulnerabilità prima che lo facciano altri. Eppure, mentre in talune organizzazioni controlli e rispetto delle normative sono punti fermi nel sistema di valori aziendale, in altre realtà le problematiche di audit continuano a essere sottovalutate. O peggio, pur in un quadro più favorevole rispetto al passato – il riferimento è alle iniziative in ambito legislativo volte a migliorare la capacità di risposta complessiva del Paese – latita ancora in molte realtà la volontà di voler progredire. In altre parole, si tratta di pianificare un percorso di miglioramento della postura di sicurezza al fine di identificare – qualunque sia il settore in cui si opera o la normativa a cui attenersi – i propri punti deboli e adottare le misure più efficaci per rimuoverli o mitigarli.
Al tempo stesso, un audit degno di questo nome deve estendersi alla misurazione dei progressi nel proprio percorso sia per valutare l’efficacia degli sforzi intrapresi sia per valutarne la coerenza rispetto al piano di partenza. In questo senso, una difficoltà nasce dalla varietà di metodologie disponibili di natura quantitativa e qualitativa che è importante conoscere in termini di caratteristiche e limiti. Gli esperti sottolineano come la maggior parte di esse si presentino come soluzioni chiuse, eterogenee, diretta emanazione di chi le ha sviluppate. Di conseguenza, applicando metodologie concorrenti si determina la limitata comparabilità dei risultati ottenuti in modo particolare in caso di audit di natura quantitativa. Situazione questa che spinge le organizzazioni a continuare a rivolgersi allo stesso vendor per garantirsi la continuità necessaria nell’interpretabilità dei risultati degli assessment, perpetuando di fatto un meccanismo di lock-in deleterio. L’impossibilità di comparare l’efficacia delle azioni previste nel piano di cybersecurity dell’organizzazione rende di fatto il processo di assessment una pratica costretta quasi interamente entro i propri confini. Il ricorso a una metodologia aperta come quella incentrata sull’uso del Framework Nazionale, può aiutare a superare questi limiti. Inoltre, questa metodologia si applica ad ambiti quali la valutazione della postura cyber dell’organizzazione rispetto a specifici standard, regolamenti e gestione del rischio per stimare lo stato di esposizione rispetto alle minacce cyber.
COME BLINDARE GLI ASSET
La seducente equazione secondo cui l’espansione dei modelli di lavoro ibridi equivale a una maggiore adozione del modello di sicurezza Zero Trust necessita di verifiche più approfondite. Di certo, emerge sempre di più l’esigenza di protezione della forza lavoro nomade dai rischi attuali. Protezione messa in atto attraverso l’adozione di strumenti e tecnologie più flessibili, come l’autenticazione a più fattori più adatte allo scopo di assicurarsi continuità lavorativa e sicurezza “everywhere and everytime”, con controlli continui e poco intrusivi basati sulla verifica dell’identità.
Negli anni, il concetto di architettura Zero Trust ha attraversato diverse fasi evolutive. Moda passeggera, buzzword, senza che mancasse il consueto corollario di trivialità assortite. In realtà, il modello presenta vantaggi e svantaggi osservabili: una filosofia agli antipodi rispetto ai modelli di sicurezza che distinguono un interno “trusted”, affidabile, da uno esterno invece per definizione non affidabile, con una serie di caratteristiche per essere applicato con profitto per migliorare l’approccio alla sicurezza di qualsiasi organizzazione. Come si implementa il modello Zero Trust nel mondo reale? L’implementazione richiede che più tecnologie – sistemi di gestione dell’identità e degli accessi, dispositivi e tecnologie di rete, e così via – lavorino insieme in maniera armoniosa. La buona notizia è che per assumere una postura Zero Trust basterebbe applicare nuovi criteri a quel che già si possiede, senza procedere all’acquisto di altro. Il rovescio della medaglia? La constatazione che la maggior parte delle reti, delle applicazioni e degli altri servizi esistenti non sono stati progettati per utilizzare questo approccio.
In buona sostanza, la possibilità che parte di quel che compone l’IT – con la possibile eccezione degli ambienti cloud pubblici – possa trasformarsi in un ostacolo più o meno ingombrante sulla strada dell’adozione del modello Zero Trust. Un data center, per esempio, del tutto razionale se visto nella prospettiva di sicurezza incentrata sul perimetro, lo è molto meno se ripensato in ottica Zero Trust, presumendo cioè che nulla di quanto si registri al suo interno possa considerarsi affidabile a livello software, hardware e utente. Una via d’uscita per affrontare l’implementazione pratica del modello Zero Trust è data dall’opportunità di applicarlo ai nuovi ambienti, come nel caso di migrazione del proprio data center in cloud. In questo caso, applicare i principi dello Zero Trust può rivelarsi un buon punto di partenza. Un’entrata soft nel mondo Zero Trust può aiutare a familiarizzare con le implementazioni tecnologiche e a perfezionare le combinazioni di tecnologie che potranno essere utilizzate in seguito per indirizzare altri ambienti legacy, anche se i progressi saranno forse più lenti.
IL POTENZIALE DELL’AI
L’AI può fermare il cybercrime? Oggi, la risposta è no. Almeno non da sola. La disponibilità sempre maggiore di dati di sicurezza spinge gli entusiasti ad affermare che i dati – un po’ come succede nel data journalism – siano sempre pronti a raccontare una storia. Nel caso della cybersecurity ,sarebbe sufficiente comprendere come analizzarli per trovare le deviazioni dalla norma, che a volte rivelano minacce. L’apprendimento automatico ha migliorato la sicurezza informatica, scansionando rapidamente grandi quantità di dati e analizzandoli con metodi statistici. «La sicurezza IT è un ambito consolidato di applicazione del machine learning da molti anni» – conferma Giancarlo Vercellino, associate director research and consulting di IDC Italia. «Le aree di applicazione più comuni sono legate alla Threat Intelligence e allo Zero-Day Re-engineering. Le tecniche basate su signature non sono più sufficienti per confrontarsi con l’industrializzazione degli attacchi, e diventa indispensabile dotarsi di “sandbox” intelligenti in cui studiare il comportamento degli artefatti software di origine sconosciuta». Sulla scia di questo successo, l’utilizzo del machine learning si è allargato ricomprendendo attività di riconoscimento di immagini e linguaggio naturale, alimentando l’attesa in vista di quelli che potranno essere gli sviluppi nel prossimo futuro. «Non c’è dubbio che le tecnologie legate a quello che chiamiamo un po’ impropriamente intelligenza artificiale avranno un impatto crescente sul modo in cui produciamo e usiamo il software. Personalmente, però conosco pochissimi usi dell’AI in contesti reali di produzione» – afferma Mauro Cicognini, membro del comitato direttivo di CLUSIT. «In molti casi quella che sembra intelligenza artificiale è in realtà codice – evoluto e complesso, se vogliamo – sviluppato in modo tradizionale da programmatori». I sistemi di sicurezza informatica generano enormi quantità di dati, quindi non c’è da meravigliarsi se la tecnologia si rivela uno strumento irrinunciabile. Allo stesso tempo però, l’apporto degli esseri umani resta ancora cruciale. L’assunto secondo cui basta guardare ai dati passati per prevedere il futuro può essere fuorviante. Il fattore esperienza gioca un ruolo altrettanto importante in questa relazione. Inoltre, fare eccessivo affidamento sull’AI in campo cybersecurity può creare un falso senso di sicurezza. Ecco perché è necessario impiegare oltre agli algoritmi più o meno smart, anche esperti di sicurezza informatica, data scientist e, in un mondo ideale, psicologi. Attualmente, la capacità di generalizzazione dell’AI poggia sull’assunto che le anomalie e i casi di scostamento che si verificheranno in futuro non siano troppo diversi da quelli già appresi. Quindi, gli attacchi senza alcuna relazione con il passato, i proverbiali cigni neri teorizzati da Nassim Nicholas Taleb, non possono essere previsti dall’AI attuale. In prospettiva però – «con l’orchestrazione di diversi algoritmi specializzati – afferma Giancarlo Vercellino di IDC Italia – sarà possibile disegnare policy di sicurezza più intelligenti, flessibili e trasparenti».
ASSICURARE IL RISCHIO IT
Tra le azioni che permettono di puntellare la postura di sicurezza dell’organizzazione, rientra a pieno titolo l’assicurazione del rischio informatico. Attacchi ransomware, violazioni di dati e interruzioni dei sistemi IT sono percepiti come più pericolosi del fermo delle attività, delle catastrofi naturali e di eventi imprevisti come la stessa pandemia di Covid-19. Secondo l’Allianz Risk Barometer 2020, il rapporto annuale di Allianz Global Corporate & Specialty (AGCS), che raccoglie le opinioni di 2.650 esperti in 89 paesi, i rischi informatici rappresentano la maggiore preoccupazione per le aziende a livello globale. Lo scorso anno, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC), ha gestito 5.434 attacchi informatici significativi, con 110.524 alert di sicurezza e una media di 15 attacchi al giorno ai danni di servizi informatici di sistemi istituzionali, infrastrutture critiche informatizzate di interesse nazionale, infrastrutture sensibili di interesse regionale, e grandi imprese.
In Italia, rischi informatici e discontinuità operativa si posizionano, per il secondo anno consecutivo, rispettivamente al primo e al secondo posto nella classifica dei principali rischi. Sulla carta ciò dovrebbe favorire la propensione alla gestione dell’esposizione al rischio cyber trasferendolo a terzi. In realtà, secondo i dati dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, le aziende assicurate sono ancora una minoranza. Anche se cresce il numero di quelle che iniziano a guardarsi in giro. Soprattutto tra le più grandi, in particolare nei settori IT e Finance. Minore, l’interesse da parte delle piccole imprese. Le cose però stanno cambiando in fretta e il settore dovrà attrezzarsi per offrire una copertura molto più ampia. Anzitutto, rimuovendo alcuni ostacoli. A partire dalla difficoltà di orientarsi in questo mondo. E poi ampliando e migliorando l’offerta. Di certo, non aiuta l’eterogeneità di definizioni, termini e condizioni delle polizze. Si va dai semplici prodotti di riassicurazione all’as-is trasferito di peso dal paese di origine della compagnia al mercato nazionale. Pochissime, le polizze redatte da compagnie italiane, anche importanti, presenti solo da poco su questo mercato. Uno sforzo importante deve essere quello di superare le vistose lacune sia dal punto di vista dei rischi coperti, collegati ad eventi cyber non assicurabili, sia all’entità delle coperture stabilite dalle compagnie, ancora modeste in relazione all’esposizione al rischio. Detto questo, assicurare il rischio cyber è oggi più che mai un’opzione da valutare attentamente.
RESILIENZA E CLOUD
Il cloud in 24 mesi di emergenza sanitaria ha garantito resilienza e continuità operativa. Secondo i dati forniti da IDC, gli investimenti nel mercato della sicurezza in Italia crescono nel loro complesso del 12% nel 2021 nella componente software. «I principali segmenti che stanno trainando la crescita nell’area software sono oggi quelli delle soluzioni di gestione delle identità e degli accessi, incluse quelle di autenticazione avanzata e di network security» – spiega Pandolfi di IDC Italia. «Tassi di crescita importanti si registrano anche nell’ambito delle soluzioni di analytics, intelligence e orchestration – SIEM, threat intelligence, threat hunting, network intelligence – e nelle piattaforme di endpoint protection e di endpoint detection e response». Oltre alla componente software, aumenta anche la spesa delle aziende nell’ambito dei servizi di security nel 2021 cresciuta dell’8% e che – secondo le stime IDC nel 2022 – supererà quota 9%. Trainata dalla crescita dal segmento dei Managed Security Services, particolarmente strategici per lo svolgimento delle operations di security log correlation, monitoring, alert generation, incident response support, incident containment e remote security management. «La nuova generazione dei servizi gestiti di sicurezza si focalizzerà sulle funzionalità di rilevamento e risposta, note come MSS 3.0, ed è qui che tali servizi faranno la vera differenza per supportare le aziende nei loro percorsi di innovazione e per superare le principali sfide del mercato» – spiega Pandolfi. La domanda di resilienza e continuità operativa spinge anche la crescita del cloud. Alimentata altresì dalla domanda di supportare il lavoro ibrido. Secondo molti esperti, aziende e organizzazioni dovranno migliorare la resilienza dei servizi cloud acquistati, come step evolutivo per il prossimo futuro. Un tema sul quale i vendor cloud a loro volta saranno sempre più in competizione. «L’erogazione delle soluzioni di sicurezza in modalità cloud as a Service sarà un fattore strategico per i vendor» – conferma Pandolfi. Una modalità di accesso, in forte crescita che registra un significativo interesse anche da parte delle aziende italiane. Tendenza confermata – secondo i dati IDC –dalla spesa in soluzioni di security as a Service, cresciuta lo scorso anno del 19 per cento.
«I benefici delle soluzioni cloud di sicurezza sono numerosi e saranno strategici per supportare le aziende nei loro percorsi di trasformazione digitale, come il lavoro ibrido, l’offerta di prodotti e servizi innovativi, la gestione di processi e operations connesse. Queste piattaforme – continua Pandolfi – consentono infatti un miglior supporto per la forza lavoro distribuita sul territorio, ma anche implementazioni semplificate, scalabilità e modulabilità in base alle esigenze di protezione e alle dimensioni delle aziende. Le soluzioni di sicurezza in cloud, in molti casi, possono essere installate da personale IT non specializzato in security. E inoltre, sono spesso piattaforme integrate, in grado di rilevare ed elaborare gli incident in maniera automatica riducendo quindi le attività manuali, e di abilitare una migliore visibilità e monitoraggio dell’ambiente IT in quanto studiate anche per infrastrutture ibride». L’atteggiamento verso la cybersecurity sta cambiando in fretta. «L’obiettivo delle aziende è di perseguire una strategia di resilienza digitale» – afferma Pandolfi. «Una strategia di cybersecurity focalizzata sulla resilienza è in grado di conferire capacità di reazione tempestiva e di mantenimento dell’operatività aziendale, anche dopo aver ricevuto un attacco».
SUPPLY CHAIN A RISCHIO
Globalizzazione e digitalizzazione rendono aziende e organizzazioni sempre più vulnerabili agli attacchi alla supply chain. Vulnerabilità direttamente proporzionale anche alla dipendenza da un numero crescente di fornitori esterni. Una situazione che alimenta il timore di blocchi improvvisi dell’operatività. In base ai dati di una delle ultime rilevazioni di IDC Italia, la gestione del rischio delle terze parti sarà una priorità per quasi il 50% delle aziende italiane. «Questo è indice di una fortissima consapevolezza della rischiosità delle catene di approvvigionamento e in generale della necessità di dover prestare massima attenzione della sicurezza lungo la supply chain e all’affidabilità dei fornitori» – conferma Pandolfi. «Le aziende dovranno affidarsi a fornitori trasparenti, disposti a condividere scelte strategiche, dati e informazioni relative ai propri sistemi di sicurezza, per aumentare la visibilità sui reali rischi. Inoltre, per avere una valutazione completa del rischio lungo la supply chain, sono necessarie soluzioni integrate e integrabili, in grado di elaborare un’enorme quantità di dati e di intraprendere azioni di remediation continue, su un perimetro che include tutti i sistemi, le reti e i punti di accesso alle risorse di tutti i player coinvolti. Se è vero che la consapevolezza su questo ambito è in aumento è anche vero che i responsabili aziendali in molti casi sottovalutano il rischio cyber che deriva dai rapporti con terze parti. Quindi – conclude Pandolfi – bisogna definire requisiti specifici già in fase di procurement».