Alessandro Manfredini, chairperson presso AIPSA e Group Security & Cyber Defence presso A2A, e Francesco di Maio, Head, Board Member di AIPSA e Corporate Security Department – ENAV Italian Air Navigation Services Provider, spiegano come affrontare le esigenze di sicurezza informatica, non solo nelle infrastrutture critiche alla luce delle recenti normative europee, ma soprattutto come introdurre e applicare prassi base e buonsenso operativo per non ingessare i processi ed evolvere continuamente imparando dai propri nemici.
Indice degli argomenti
Spunti di riflessione sulle norme e loro applicazione pratica
Il settore della Cyber security è da qualche anno al centro di profondi cambiamenti sia nel panorama della minaccia in continuo aumento, sia in relazione ai numerosi cambiamenti normativi europei ed italiani, finalizzati ad incrementare un’impostazione strutturata nella difesa informatica da parte delle organizzazioni che fino ad oggi ne avevano sottostimato l’importanza.
Come conseguenza, ne era risultata insufficiente l’applicazione pratica, avvantaggiando di fatto, una serie di gruppi antagonisti motivati non solo da cyber crime o attivismo, ma anche da motivi geopolitici e di supremazia digitale.
In Italia la legge sul Perimetro Nazionale di Sicurezza Cibernetica D.L.105 del 2019 – Legge 133/2019 con i suoi decreti attuativi ed in Europa la recente revisione delle norme di cyber security con la pubblicazione della Direttiva NIS 2, e l’emissione ex-novo del Regolamento Dora e della Direttiva CER sulle Critical Entities (Gazzetta Ufficiale europea) non lasciano spazio alle improvvisazioni, né alle implementazioni di facciata, perché il requisito della resilienza da raggiungere non può essere mistificato.
Proteggere le password, non solo gestirle: è questa la sfida di CIO e CISO
Abbiamo chiesto quindi ad Alessandro Manfredini e a Francesco di Maio, rispettivamente presidente e vice dell’Associazione Italiana Professionisti Security Aziendale (AIPSA) di indicare le macro aree di intervento prioritarie su cui ogni CISO dovrebbe riflettere.
Francesco di Maio chiarisce che “il primo aspetto su cui riflettere, per chiunque si occupi di sicurezza come azienda di tipo critical entity (normate dalla la Direttiva 2022/2557 nota come Direttiva Critical Entity Resilience- CER) è che troppa normazione può avere effetti negativi su chi operativamente deve bilanciare la sicurezza in tutte le sue componenti (safety, security, data protection) e le operation del business aziendale”.
“Ad esempio, in ENAV si assiste da molto tempo agli obblighi nel rispetto di norme che sono principalmente legate alla salute e sicurezza di chi lavora, da cui, la sicurezza del personale e dei viaggiatori è una necessità fondamentale: la cosiddetta “Duty of Care” per ENAV rappresenta un valore fondamentale”.
“Se mai la sicurezza cyber sia stata sottostimata in termini di rischio alle persone come causa diretta, oggi la sicurezza delle informazioni è un dominio di controllo che ha nella “segregation of duties” (la segregazione dei compiti n.d.r.), un mantra”.
“Purtroppo, una normazione troppo stringente o eccessivamente sanzionatoria comporta un ostacolo per i dipartimenti di sicurezza che sono spesso percepiti dal resto dell’azienda come un ostacolo e come il dipartimento “del NO”. Ad esempio, il processo di procurement al vaglio del CVCN allunga lo scrutinio vincolato e rende ingessato il processo oltre ad aumentare i costi di analisi e di fornitura”.
“In generale quando l’Europa vede un problema imposta un regolamento implementativo, ma a volte non considera le conseguenze operative per chi poi deve metterlo in pratica.
Un ulteriore esempio è la supply chain government che sarebbe fondamentale, ma in pratica la sola forza contrattuale non permette all’organizzazione di imporre prassi di sicurezza ai suoi fornitori. Chi scrive quelle norme a volte non conosce o non si rende conto degli equilibri di business del libero mercato.
In una logica complessiva la compliance ha delle leve significative ed efficaci, ma sarebbe utile avere anche strumenti per far si che la compliance “sia reale e non cartolare”. Il modello con soli obblighi porta rischi ulteriori; avere solo modelli astratti, ma poco applicabili, non aiuta le aziende”.
Alessandro Manfredini oltre ad essere in completo accordo con quanto sopra spiegato, aggiunge una domanda aperta: “Siamo certi che questa impostazione europea ci faccia perseguire l’obiettivo finale di aumento della resilienza, e della cyberdefence?
Se vogliamo creare una baseline di sicurezza, aumentare l’infosharing, reagire in modo tempestivo, e aumentare il trust tra operatori come obiettivo finale, allora è necessario riflettere e domandarsi se questi strumenti normativi europei siano sulle scrivanie giuste”.
“I requisiti di compliance – continua Manfredini – schiacciano solo gli operatori privati che gestiscono infrastrutture critiche, come A2A e similari, ma che già da soli avevano processi e organizzazioni rivolte alla resilienza. Queste norme non gravano sulle PMI che sono invece alla base del PIL del Bel Paese (la NIS2 impone obblighi alle medie imprese con giro d’affari entro un certo valore. Al di sotto non ci sono obblighi n.d.r.)”.
“La proposta che faccio come presidente AIPSA, è quella di prevedere per la cyber security un percorso graduale che mutui da esperienze già fatte nella “safety” in cui l’obiettivo è salvare vite. Nella cyber security similmente si dovrebbe raggiungere l’obiettivo per le imprese di sviluppare la capacità di restare “vive sul mercato” (un ransomware può comportare la chiusura aziendale sia se il mandante agisce per concorrenza sleale o per motivazioni geopolitiche collegate a fattori economici di espansionismo n.d.r.).
È necessario rendere le piccole imprese “Accountable” (responsabili n.d.r.) di quello che fanno e non solo per compliance. Il nostro sistema industriale è ancora un po’ debole e soggetto alla conquista di investitori che sono intenzionati a comprare “a saldo” e invece sarebbe più efficace se fosse un mercato attrattivo per investimenti rivolti alla crescita.
Quindi, sarebbero utili linee guida ampie per mettere a terra soluzioni proporzionate e adeguate e considerare anche l’obbligatorietà della cyber security come è stato fatto per la safety pensando ad un modello “make or buy” per l’implementazione”.
L’approccio adeguato alle minacce pressanti e crescenti
Gli attacchi digitali non lasciano tregua a nessuna organizzazione: il periodo pandemico e la guerra Russo/Ucraina hanno peggiorato molto il contesto e lo scenario della minaccia digitale tanto che la relazione dell’Intelligence italiana emessa quest’anno, evidenzia un aumento degli attacchi con prevalenza nelle “infrastrutture informatiche riferibili a soggetti privati (56%, in crescita di 32 punti percentuali rispetto al 2021), con particolare attenzione verso i settori delle infrastrutture digitali/servizi IT (22%, in aumento di 16 punti percentuali), dei trasporti (18%, stabile rispetto all’anno precedente) e del bancario (12%, in aumento di 5 punti percentuali rispetto al 2021)”.
“Le azioni in danno di obiettivi pubblici (43%, in calo di 26 punti percentuali) hanno riguardato perlopiù le Amministrazioni Centrali dello Stato (62% del totale, valore in aumento di 6 punti percentuali rispetto all’anno precedente) e infrastrutture IT riferibili a enti locali e strutture sanitarie (per un complessivo 20% sul totale)”.
Molteplici sono state le operazioni di “offensive tese a inibire l’erogazione di servizi, attraverso il ricorso ad armi digitali in grado di eliminare dati e programmi presenti nei sistemi dei dispositivi target, rendendoli inutilizzabili (circa il 31% del totale, in aumento di 30 punti percentuali rispetto all’anno precedente)”.
La relazione ha sottolineato aumenti sia nell’uso di domini malevoli, sia di malware: “Si è confermato anche per il 2022 il ricorso da parte dei principali attori della minaccia alla registrazione di domini malevoli (circa il 41%, in aumento di 5 punti percentuali rispetto al 2021)…(omissis) e l’ incremento nell’impiego di malware da parte di attori di matrice criminale (prevalentemente ransomware, al 28% del totale, in aumento di oltre 15 punti percentuali rispetto all’anno precedente)”.
Per tenere conto dei rischi digitali sempre più in agguato verso ogni tipo di organizzazione a fronte di una minaccia progressivamente insistente e dei rischi di compliance che incombono in forza della normativa ormai in vigore, abbiamo chiesto ad Alessandro Manfredini e a Francesco di Maio dove intervenire “chirurgicamente”.
Per Francesco di Maio “è cruciale la gestione della minaccia nel minor tempo possibile, che si traduce nell’obiettivo di minimizzare il Mean Time To Response (MTTR). I bollettini di infosharing del CSIRT e CNAIPIC a volte arrivano con qualche giorno di ritardo, mentre ai professionisti di security occorrono praticamente in tempo reale. Come AIPSA ci siamo dati un mezzo di comunicazione per informazione alla community per essere immediatamente allineati su un layer di protezione”.
“Occorre qualcosa di immediatamente gestibile, come una sorta di “lab” che crei le condizioni perché si risolvano i problemi rapidamente. Altrimenti potremmo trovarci in un paradosso, in cui a fronte di attaccanti avvantaggiati perché agiscono senza regole, con molte risorse, anche nel dark web, si insinua nelle potenziali vittime il pensiero/approccio del “vabbe’ poi ci penserò” a causa delle difficoltà di procedere con risorse limitate, vincoli normativi e di processo. Siamo davanti ad un elemento psicologico inabilitante, per cui si preferisce non fare nulla e assumersi il rischio di compliance”.
“Tuttavia, è un concetto da vincere, attraverso una normativa che deve essere a favore dei cittadini. Se la norma è percepita come ostile (norme persecutorie) l’obiettivo di sicurezza si allontana e questo aumenta il cybercrime sommerso. Se si verifica che la generica azienda, nella scelta fra il pagare le sanzioni o il ransomware, scelga il secondo caso, allora significa che il modello creato è nemico delle aziende e che percepiscono la loro scelta come il male minore”.
Per Alessandro Manfredini “minacce pressanti come il ransomware hanno presa facile perché manca l’applicazione delle prassi-base preventive: le reti sono piatte e senza segregazione/segmentazione, non si fa patching, non ci sono monitoraggi di spostamenti laterali. Si dovrebbe partire da check up digitale per capire lo stato di salute aziendale usando le occasioni dei ransomware come opportunità per effettuare reverse engineering, per “imparare dai propri nemici” (Citazione dagli insegnamenti di Plutarco n.d.r.) e migliorare nella difesa”.
Cyber security 2023-2027, gli otto scenari disegnati da Gartner
Misure “game changer” della sicurezza informatica
Per Francesco di Maio “le misure che possono davvero cambiare le forze in gioco passano per:
- Ainergia e collaborazione fattiva fra le imprese e il mondo accademico. Si deve colmare lo scollamento fra università e imprese, che rende difficili le assunzioni. Oggi ogni azienda si forma i candidati e quasi immediatamente il mercato “li ruba”. Potrebbe essere utile introdurre una formazione secondaria superiore specialistica (come si sta facendo con gli ITIS n.d.r.) ma anche favorire la circolarità delle risorse con contributi di tipo fiscale.
- Tema della sovranità digitale affrontato fino ad oggi in modo “elegiaco”; facendo una analisi onesta si potrebbe osservare che in Italia ci sono grandi system integrator, ma non produttori di tecnologie digitali veri e propri. In questo caso sarebbe utile ascoltare i fabbisogni delle imprese ed orientare la politica industriale in quel senso”.
Per Alessandro Manfredini “le buone pratiche passano per:
- Dare la giusta rilevanza alla funzione che si occupa di information security e di cyber security; ovvero la funzione del CISO, dovrebbe avere le stesse leve organizzative e decisionali e di budget, con un peso pari delle altre funzioni aziendali. Il CISO dovrebbe poter partecipare alle decisioni aziendali, perché la trasformazione digitale è un elemento cruciale e “core” dell’azienda. Quindi per cambiare passo, si suggerisce un’organizzazione aziendale con il CISO indipendente dalle operation IT e OT.
- Utile avere nei board conoscenza di alcune problematiche tecniche. I componenti dei board devono saper “guardare lontano”, avere una vision del futuro per così dire, ma dovrebbero avere anche una certa consapevolezza dei rischi di Cyber security per indirizzare le operation nell’implementazione lasciando fare poi ai manager operativi dell’organizzazione.
- Manca un certo “trust sulla segnalazione incidenti”: qualunque vittima diventa colpevole di non aver fatto qualcosa. Potrebbe essere utile anche una sorta di “customer orientation” verso chi denuncia e si trova davanti ufficiali e autorità che fanno sentire in colpa o in difficoltà. Purtroppo, come già detto, la troppa compliance non aiuta. In questi casi si dovrebbe partire dal presupposto di “non colpevolezza” e dall’assunto che “chi ha un ruolo lo fa” senza considerarlo a posteriori “incapace” o “non in grado” o “non intenzionato a fare”. Aggiunge Francesco Di Maio in questo senso, che nell’avionica a fronte di errori o problemi si adotta l’approccio della. “just culture” in cui, quando si verifica un problema o un errore di una persona, non la si colpevolizza, ma piuttosto si fa insieme debriefing e quella persona diventa essa stessa messaggero del modo con cui si evita il ripresentarsi del problema e così facendo si favorisce la crescita di tutti e per tutti”.
