Al giorno d’oggi progettare o appoggiarsi su una infrastruttura informatica sicura significa disegnare un sistema e dei processi in grado di recepire velocemente (se non dinamicamente) gli aggiornamenti di sicurezza messi a disposizione, essere in grado di testarli e rilasciarli perché sempre più la battaglia col cyber crime si gioca su vulnerabilità e attacchi zero-day.
D’altronde, nel campo della cyber insurance si indaga già in fase assuntiva per capire se i sistemi hanno adeguate procedure di aggiornamento, con che periodicità e se tali procedure siano automatiche.
Per ora è quasi sempre un esercizio volto a valutare l’entità del rischio, perché se oggi può essere una leggerezza, con il tempo diverrà anche insostenibile: se non aggiorni i sistemi non ti proteggo.
Indice degli argomenti
Combattere nuove minacce ridisegnando l’architettura di sicurezza
Hai aggiornato l’antivirus? Hai configurato il firewall? Usi un proxy per Internet? Fino a qualche anno fa, queste erano le domande che un consulente di sicurezza avrebbe potuto fare al responsabile IT di qualunque azienda preoccupato di un attacco da virus informatico.
Da allora le cose sono un po’ cambiate: gli aggiornamenti di sicurezza dei sistemi sono diventati settimanali, quelli degli antivirus giornalieri, ma l’architettura di sicurezza in sé è stata completamente ridisegnata. Nell’era dei ransomware e dei cryptolocker, oggi parliamo di endpoint protection, dove il passaggio e l’integrazione con il cloud ha reso la sicurezza un elemento che si estende al di fuori dell’azienda e pertanto va gestita in quest’ottica.
Il 2017 è stato segnato da un deciso incremento degli attacchi informatici. Tra questi, quello ad aver destato maggiori preoccupazioni è stato l’attacco simultaneo avvenuto tra maggio e giugno 2017 ad opera di WannaCry, che ha interessato molte aziende e che si è protratto fino al maggio 2018 quando è stata colpita la Boeing: oltre un anno dopo il rilascio delle patch di sicurezza il ransomware continua a colpire.
Aggiornare i sistemi informatici è fondamentale
L’esempio di WannaCry, purtroppo, non è l’unico malware che ha continuato a propagarsi indisturbato trovando terreno fertile nei sistemi non aggiornati. Le patch di sicurezza, purtroppo, vengono inesorabilmente ignorate. È notizia di questi giorni, ad esempio, il rilascio da parte di Oracle e SAP di importanti aggiornamenti di sicurezza, con l’invito ad una immediata installazione sui sitemi vulnerabili. Ciononostante, sono state individuate ben 17.000 installazioni, 3.000 aziende, almeno 10.000 server e una serie di università ed enti governativi che non avevano installato tali patch, né adottato altre misure di sicurezza raccomandate.
Addirittura l’US-CERT, il Computer Emergency Readiness Team americano, ha lanciato l’allarme sull’elevato rischio di sottrazione di dati sensibili come dati finanziari, brevetti o numeri di carte di credito gestiti attraverso software affetti da vulnerabilità vecchie anche di dieci anni e mai corrette che i criminali informatici potrebbero sfruttare per acquisire l’accesso ai sistemi SAP e Oracle e riuscire a controllarli anche da remoto senza lasciare tracce visibili.
È auspicabile, quindi, che nei prossimi mesi venga rilasciata una qualche linea guida legislativa per iniziare a identificare la sicurezza dei sistemi informatici come un elemento dapprima di distinzione e poi come prerequisito, come già è avvenuto per il GDPR nella Pubblica Amministrazione: o sei compliant oppure potresti essere estromesso da una gara.
Ovviamente le architetture di sicurezza devono evolvere di conseguenza: DMZ, Guest LAN in Wi-Fi, ambienti virtuali e sandbox sono solo alcune delle evoluzioni architetturali introdotte negli ultimi anni, ma altre ne arriveranno.
Sempre più aziende si stanno aprendo all’e-commerce ed hanno una presenza che ormai valica i confini nazionali: tutto questo va protetto adeguatamente, la cyber security aziendale va adeguata e tenuta sempre aggiornata in base alle evoluzioni del business.
Cyber insurance: l’importanza di una revisione annuale
A livello assicurativo, per le polizze cyber, oggi è consigliabile una revisione annuale delle condizioni di polizza per verificare i cambiamenti architetturali implementati in materia di sicurezza. Anche perché il livello di automazione industriale e di processo può variare significativamente e nella polizza tutto ciò che non è esplicitamente nominato verrebbe automaticamente escluso. È chiaro, pertanto, che procedere ad una revisione annuale delle condizioni è di mutuo interesse per l’assicurato e la compagnia di assicurazione, per poter prendere atto dei cambiamenti tecnologici e delle soluzioni di protezione corrispondenti.
Altri sono i vantaggi derivanti dallo “svecchiamento” di una polizza: in generale le compagnie di assicurazioni aggiornano i loro prodotti quando ci sono cambiamenti normativi, ma oggi ci sono motivi in più per farlo. Alcune polizze sono state arricchite includendo elementi legati alla cyber security e via via lo sarà sempre più data la pervasività della tecnologia in tutti gli aspetti della nostra vita: salute, tempo libero, viaggi e mobilità ma anche vita sociale e business ovviamente.
Sarebbe anacronistico per gli assicuratori ignorare l’esistenza di questi cambiamenti ed è un sacrosanto diritto per gli assicurati chiedere una revisione delle condizioni di polizza, per incorporare anche quegli elementi cyber che sono entrati a fare parte della propria vita: che sia un dispositivo IoT o un dispositivo di allarme collegato alle forze dell’ordine o di un antifurto satellitare.
L’impatto delle normative privacy sulla cyber insurance
È necessario segnalare anche i mutamenti sostanziali nelle recentissime polizze cyber, trasformazioni importanti su cui vale la pena soffermarsi. L’introduzione ad esempio di un sistema di log e monitoraggio: agisce in due modi per la prevenzione immediata, provvede all’inoltro automatico di un alert in caso di sospetto data o system breach e tenendo traccia dell’evento ai fini forensi, così da permettere una risposta tempestiva e atta a contenere le conseguenze di un attacco. Il tutto gestito da un provider terzo, rispetto alla compagnia di assicurazioni, che pertanto non avrà alcun accesso diretto alle informazioni, nel pieno rispetto della privacy e della copertura assicurativa.
Non solo, il sistema di monitoraggio permetterà agli operatori di poter analizzare gli eventi e indicare alle compagnie di assicurazione come costruire nuovi modelli di rischio, contribuendo a migliorare i sistemi di risposta, ovvero i servizi complementari offerti in polizza: in due parole, un servizio migliore al cliente.
L’anello debole della catena di sicurezza: l’uomo
Ma qualunque soluzione tecnica e di prevenzione per rinforzare la sicurezza informatica e per proteggere in caso di attacco, non può prescindere dall’anello debole della catena: il fattore umano.
Ancora oggi gli attacchi esterni non arrivano al 30% degli attacchi totali occorsi.
Ciò non vuole dire che non bisogna proteggersi, ma che all’interno delle aziende c’è ancora molto lavoro da fare, soprattutto a livello informativo e formativo: aggiornare la base utenti su come proteggere i dati e le informazioni.
Un altro 30% è riconducibile all’accesso diretto a dispositivi contenenti informazioni elettroniche (PC portatili, laptop, tablet, chiavette USB, smart card e dispositivi mobili in genere) che vengono sottratti o dimenticati in luoghi non sicuri o non sufficientemente protetti, per incuranza, superficialità ma banalmente perché si considera sicura la propria password e i dati spesso non sono criptati, perché manca questa informazione.
Il restante 40% degli attacchi è riconducibile al comportamento delle persone che non rispettano le privacy policies oppure le stesse non sono adeguate (8%), non sono state testate, o peggio non sono state comunicate ed opportunamente trasmesse.
Si sta investendo tanto sul GDPR ma se la base utente non riesce o non può o non vuole metterla in pratica, è un esercizio inutile.
All’interno di questo 40% vi è una parte di fughe di dati causate da errori umani (15%) ed errori software (3%). I programmatori sono anch’essi uomini, possono sbagliare e anche coloro che conoscono le procedure possono sbagliare a metterle in pratica. È pertanto necessario controllare e rivedere ciclicamente le procedure ed aggiornarle qualora ci si accorga che contengono errori e buchi logici.
Una parte minoritaria all’interno di questo 40%, ma significativa (15%), è infine rappresentata da chi infrange, sapendo di farlo, le procedure di sicurezza. E forse qui varrebbe la pena di informarlo sulle conseguenze penali di tale comportamento.
In conclusione, ancora una volta il GDPR ha acceso una nuova luce sul significato di aggiornamento ed informazione che deve essere costante e professionale.
