I dati emersi dal terzo monitoraggio realizzato da AgID sull’utilizzo del protocollo HTTPS e sullo stato di aggiornamento dei Content Management System (CMS) sui siti della Pubblica Amministrazione, hanno evidenziato un aumento dei siti internet della PA che hanno configurato correttamente il protocollo. Si è, infatti, passati da 4.149 a 9.022, con una repentina diminuzione dei siti che ancora utilizzano l’HTTP non sicuro, scendendo a quota 223.
Si tratta di un notevole incremento rispetto al precedente monitoraggio, a conferma del fatto che il livello di sicurezza continua ad aumentare. Ma il lavoro da fare è ancora tanto.
Indice degli argomenti
Migliora la sicurezza dei siti della PA
Il monitoraggio, previsto dal Piano Triennale per l’informatica nella PA, ha coinvolto 21.700 portali istituzionali, di cui 18.096 correttamente raggiungibili. Tra questi, per 9.108 siti è stato possibile procedere anche al rilevamento della versione del CMS utilizzato.
Nella rilevazione del 2022, è stato riscontrato un aumento del 47% dei siti della Pubblica Amministrazione che si possono ritenere sicuri, con l’11% di siti che già utilizzano il protocollo HTTPS. Quelli che invece non utilizzano il protocollo, che vengono considerati “irrecuperabili”, rappresentano solo l’1% del totale, scendendo a 223 rispetto ai 340 dell’anno precedente.
Situazione ancora critica nel settore finanziario
Oltre alla PA, anche il settore finanziario ha riscontrato vulnerabilità nella sicurezza informatica. Negli ultimi anni, a seguito della pandemia da Covid-19, molte aziende hanno iniziato ad adottare lo smart working. che ha portato nuovi rischi e vulnerabilità per la sicurezza, comportando un aumento del 300% degli attacchi informatici solo nel settore finanziario.
L’aumento degli attacchi di phishing, l’uso di dispositivi personali non sicuri, comprese le reti Wi-Fi personali, la scarsa gestione delle password e le distrazioni dei singoli dipendenti hanno fatto sì che le aziende e gli individui siano stati presi di mira con vari tentativi di attacco per sfruttare quelle vulnerabilità emerse da una sempre più diffusa interconnessione.
In uno studio del 2018 su 33 siti Web e servizi, i ricercatori dell’azienda di cyber security britannica Mitigate Cyber hanno scoperto che le banche e gli istituti finanziari erano i più vulnerabili agli attacchi informatici. Le azioni contro siti Web e applicazioni possono non solo portare a interruzioni dell’attività e potenziali lunghi tempi di inattività, ma comportano anche un rischio significativo a livello reputazionale sul mercato qualora tali aziende venissero violate.
La formazione sulla sicurezza informatica sarebbe un modo economico ed efficace per aiutare i dipendenti a proteggere i propri dispositivi e dati. Difatti, conducendo una formazione regolare ed efficace sulla sicurezza informatica, le organizzazioni potrebbero ridurre del 70% il numero di attacchi informatici che utilizzano, ad esempio, tecniche quali l’ingegneria sociale.
Serve ancora tanta formazione
Tuttavia, molte aziende non includono la formazione sulla cyber security nello sviluppo della forza lavoro e nella strategia di sicurezza. È stato rilevato che il 45% dei dipendenti non riceverebbe formazione sulla sicurezza informatica dai propri datori di lavoro e l’80% degli attacchi informatici sarebbe causato da un errore umano.
A causa della natura dei dati trattati dalle organizzazioni bancarie e finanziarie, questo settore è tenuto a uno standard elevato di elaborazione e gestione dei dati.
Proteggere la supply chain nel settore energetico
Un altro settore che negli ultimi anni ha visto aumentare notevolmente gli attacchi informatici è quello energetico. Un elemento particolarmente esposto sarebbero le catene di fornitura.
Secondo uno studio condotto nel 2021 da Security Link e dal Ponemon Institute, il 61% degli intervistati affermava che il programma di gestione delle terze parti delle rispettive organizzazioni non definiva o classificava i livelli di rischio. Inoltre, il 54% degli intervistati affermava che le proprie organizzazioni non disponevano di un inventario completo di tutte le terze parti con accesso alla rete, mentre il 65% degli enti non aveva identificato quelle con accesso ai dati più sensibili.
Per ciò che concerne le connessioni alle reti interne, circa il 63% degli intervistati affermava che la propria azienda non aveva visibilità sul livello di accesso e sulle autorizzazioni per gli utenti interni ed esterni. Infine, per ciò che riguarda i sistemi di monitoraggio, il 54% delle organizzazioni non verificava le pratiche di sicurezza e privacy delle terze parti. ()
Secondo un report dell’Atlantic Council del luglio 2022, i pericoli legati alle catene di fornitura sarebbero amplificati nel settore energetico in cui le infrastrutture sono costose e distribuite in località distanti tra loro. Anche se venissero scoperte delle vulnerabilità, la loro mitigazione potrebbe essere costosa e complessa.
Un altro problema è rappresentato dal numero elevato di terze parti. In base ad un’indagine di Deloitte del 2016, in media ogni azienda energetica possiede 3.647 fornitori attivi totali, 39 relazioni strategiche e 140 fornitori che rappresentavano l’80% delle spese esterne totali.
Gli aggressori che trovassero il core business difeso come sistemi di cybersecurity appropriati potrebbero prendere di mira un partner commerciale e/o un fornitore compromettendo la catena di approvvigionamento. In assenza di quadri di riferimento concreti e duraturi, le aziende sarebbero lasciate nell’incertezza per quanto riguarda gli standard sui dispositivi fisici, la sicurezza digitale e l’igiene informatica.
Importante raggiungere una postura comune di cyber security
Per far fronte a queste criticità, Rosa Kariger e Christophe Blassiau, rispettivamente Responsabile della sicurezza informatica di Iberdrola e Vicepresidente Senior e CISO di Schneider Electric, sostengono che le aziende dovrebbero creare metodologie di sicurezza per le terze parti che regolino il modo in cui coinvolgono i fornitori in una postura comune di cyber security.
Una volta avviata una collaborazione, durante tutto il periodo contrattuale e in occasione del rinnovo, un’impresa dovrebbe infatti creare opportunità per eseguire valutazioni continue sulla sicurezza informatica del fornitore (ad esempio, attraverso piattaforme di punteggio) e, se necessario, aggiornare i requisiti contrattuali.
Infine, le aziende dovrebbero monitorare le vulnerabilità dei loro prodotti durante l’intero ciclo di vita e allinearsi agli standard e alle normative più recenti per garantire un adeguato livello di protezione.
Rischi cyber: scarsa consapevolezza nel settore privato
Il problema della mancanza di consapevolezza di fronte ai rischi cyber riguarda altresì il settore privato. Nel 2017, l’International Information System Security Certification Consortium (ISC)2 aveva previsto che la carenza di professionisti della cybersicurezza a livello mondiale avrebbe raggiunto 1,8 milioni entro il 2022. Tuttavia, si stima che il numero attuale sia di circa 2,72 milioni. Il futuro appare ancora più incerto dato che circa la metà della forza lavoro complessiva dovrebbe andare in pensione nel prossimo decennio.
Lucia Milică, Membro del consiglio della rivista Forbes, individua nella maggiore inclusione di forza lavoro femminile una possibile soluzione a questa carenza. I pregiudizi nelle assunzioni e le disuguaglianze retributive, insieme alla mancanza di modelli di ruolo femminili, di leader e di opportunità di avanzamento, rappresentano i fattori principali che limitano le giovani professioniste dal perseguire una carriera nel campo della cybersecurity.
Per colmare tale divario, l’Executive Women’s Forum, organizzazione nata per promuovere la partecipazione femminile nella sicurezza informatica e nella gestione del rischio, offre programmi di tutoraggio, leadership e borse di studio per formare le donne che lavorano in questi settori. Altri enti, come CybHER, cercano di sviluppare l’interesse femminile a livello di istruzione primaria.
Altrettanto importante secondo la Milică sarebbe la diffusione della cultura della cyber security negli istituti scolastici.
Serve maggiore cooperazione tra pubblico e privato
Per garantire la cooperazione con il settore governativo, nell’ottobre 2022 l’Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA) del Dipartimento della Sicurezza Interna degli Stati Uniti d’America ha pubblicato un documento contenente alcuni obiettivi di prestazione in materia di sicurezza informatica (CPG) volontari e intersettoriali.
Il loro fine è quello di contribuire a stabilire un insieme comune di pratiche fondamentali di cybersecurity per le infrastrutture critiche e di aiutare le organizzazioni di piccole e medie dimensioni a sviluppare un settore di sicurezza informatica interno.
Questi indicatori sono stati elaborati sulla base delle linee guida esistenti in materia di cybersicurezza, nonché delle minacce reali e delle tattiche, tecniche e procedure (TTP) osservate dal CISA e dai suoi partner governativi e industriali.
I CPG non implicano obblighi di adozione in carico agli operatori e comprendono indicazioni di base per la mitigazione delle minacce.
