Nicola Sotira, head del CERT di Poste Italiane, e Matteo Macina, direttore della cyber security di TIM spiegano come si affrontano le esigenze di sicurezza informatica per bilanciare tre obiettivi: mantenere operativo il core business aziendale, rispettare i regolamenti europei in materia di cyber security e privacy, assolvere alle esigenze di sicurezza digitale difendendosi da antagonisti digitali sempre più determinati.
Indice degli argomenti
La cyber security alla base della strategia della Digital Europe
L’Unione Europea si è mossa a vari livelli per promuovere la resilienza informatica, salvaguardare le infrastrutture delle comunicazioni digitali ed i dati che vi transitano con il fine ultimo di proteggere la società e l’economia online.
La strategia di cyber security presentata a fine 2020 (EU Cybersecurity Strategy) si concentra sulla creazione di capacità collettive (a livello di stati dell’unione e delle singole organizzazioni pubbliche e private n.d.r.) per rispondere ai principali attacchi informatici e sulla collaborazione con partner di tutto il mondo per garantire la sicurezza e la stabilità internazionali nel cyberspazio.
Per favorire questi obiettivi sono state pubblicate a fine 2022 la Direttiva (UE) 2022/2555 (nota come Direttiva NIS2), il nuovo Regolamento 2022/2554, Digital Operational Resilience Act, ovvero il Regolamento DORA e la Direttiva 2022/2557 nota come Direttiva Critical Entity Resilience (CER).
Lo scenario digitale denso di minacce
In un contesto globale in cui gli allarmi sembrano sempre essere maggiori delle belle notizie, l’Italia possiede un primato poco esemplare: continua a essere tra i Paesi più colpiti al mondo dai cybercriminali.
Nel 2022 l’aumento degli attacchi malware del 300% rispetto all’anno precedente ha collocato l’Italia al quarto posto della classifica mondiale e al primo in Europa. Il dato emerge da” Rethinking Tactics: 2022 Annual Cybersecurity Report”, il report di Trend Micro Research sulle minacce informatiche che hanno colpito nel corso dell’anno passato.
Anche il Security Report del 2023 di Check Point Technologies evidenzia un anno particolarmente impegnativo per la sicurezza informatica a causa del conflitto russo-ucraino.
Secondo questo report per ogni organizzazione gli attacchi informatici sono aumentati del 38% rispetto all’anno precedente, con una media di 1.168 attacchi settimanali. I settori di “education” e “research” rimangono i settori più bersagliati, seguiti dal settore “healthcare” che ha registrato un aumento del 74% rispetto all’anno precedente.
In un contesto così critico dovendo considerare i rischi degli attacchi informatici ed essendo obbligati alla compliance normativa delle direttive europee sopraccitate abbiamo chiesto ai due C-level di due delle maggiori organizzazioni nazionali italiane, quali siano le macroaree di intervento e/o di correttivo ad una roadmap di security sempre più impegnativa.
“Poste italiane – spiega Nicola Sotira – ha già una organizzazione consolidata per la security basata su un approccio multirischio in cui la security è applicata ‘by-design’. Ogni nuovo progetto/prodotto della ‘fabbrica digitale’ già ingloba nella sua progettazione elementi di sicurezza informatica.
Le nuove normative richiedono review dei domini dei processi di sicurezza per mapparli sugli aggiornamenti delle normative ma Poste Italiane è già rispondente da tempo alle normative emesse dalla Banca d’Italia (Circolare 285 n.d.r.) che aveva già posto una grande attenzione alla continuità operativa anche prima del periodo pandemico.
È in effetti comprensibile che se le attività di business si digitalizzano, allora la caratteristica della continuità operativa diventa immediatamente un tema cruciale per fornire servizi al cittadino in modalità h24 e 7×7 su 365 giorni all’anno. Non si tratta più di fare solo compliance ma di un vero e proprio tema di servizio al cittadino”.
Direttiva NIS 2: la sicurezza delle infrastrutture critiche, tra normativa e buone prassi
Per Matteo Macina l’evoluzione normativa negli ultimi anni ha visto un’accelerazione, sia a livello europeo che nazionale, che giudica positivamente, perché dimostra una sempre maggiore attenzione e consapevolezza da parte del legislatore alla materia cibernetica e una crescente urgenza nel fornire norme che siano adeguate allo scenario di minaccia e ne sottolinea un ulteriore vantaggio: quello di indirizzare il miglioramento continuo di quanto già regolamentato.
“Come TIM – aggiunge Macina – disponiamo da diversi anni di un framework integrato di cyber security ispirato ai principali standard e cornici internazionali (ad es. ISO27k, NIST …). È per noi un grande vantaggio: ci consente di essere resilienti alle evoluzioni normative e ci permette di focalizzarci e indirizzarci di volta in volta sulle differenze puntuali e specifiche.
Quando cambia il framework normativo, vengono svolte tutte le verifiche sotto il profilo organizzativo, procedurale, processivo, tecnico e operativo per verificare il livello di conformità con la norma nuova o modificata, per poi indirizzare il piano delle azioni necessarie per garantire l’aderenza a quanto richiesto dal legislatore.
Se guardiamo ad esempio la modifica dell’obbligo di notifica senza indebito ritardo allo CSIRT Italia con una contrazione dei tempi richiesti che prevedono, in taluni casi, l’invio di un preallarme entro ventiquattr’ore da quando si viene a conoscenza dell’incidente significativo, è evidente che, come Gruppo TIM, stiamo procedendo a una revisione e adeguamento, ove necessario, delle procedure e dei processi di Incident Management, con l’obiettivo di garantire la tempestiva identificazione e segnalazione dell’evento avverso, in linea con le ulteriori normative di riferimento.
Oltre agli aspetti formali di conformità, è importante cogliere l’opportunità e i benefici di tali flussi informativi verso lo CSIRT, che potranno consentire di elevare il livello di sicurezza complessivo a livello Sistema Paese in modo tale che un evento avverso su un’organizzazione possa essere di aiuto e supporto perché lo stesso possa essere gestito in modalità proattiva affinché non si verifichi su ulteriori soggetti, contribuendo in tal senso all’aumento di resilienza dell’intero sistema di sicurezza nazionale”.
La pressione continua dei ransomware
Dal Security Report del 2023 si apprende come sia critico anche il versante dei ransomware aumentati in varietà e tipologia ed utilizzati anche da gruppi di attacco, più piccoli e agili nello sfruttare i tool collaborativi utilizzati nell’ambiente di lavoro ibrido.
Una specifica ricerca su tema dei ransomware evidenzia come il pagamento dei ransomware effettuato dal 10% delle organizzazioni che subisce un attacco ransomware, permetta di finanziare una media di altri nove attacchi similari (Fonte ricerca Trend Micro da titolo “What Decision Makers Need to Know About Ransomware Risk”).
Alla luce di queste evidenze chiediamo agli esperti se i recenti e sempre più frequenti attacchi ransomware li abbiano indotti ad introdurre azioni/implementazioni preventive specifiche.
Matteo Macina conferma come lo scenario di minaccia ransomware costituisca oggi una delle principali preoccupazioni per le grandi, medie e piccole organizzazioni e per la Pubblica Amministrazione perché si tratta di un fenomeno in crescita, come testimoniano anche i casi recenti.
La minaccia ransomware sta evolvendo da un approccio squisitamente “crime”, motivato da finalità economiche, verso interessi anche di “attori malevoli” evoluti che hanno invece come obiettivo la “business disruption”. In tal senso, anche un ransomware può arrivare a costituire una minaccia di tipo ibrido, ovvero un attacco cinetico con effetto “fisico”, il cui impatto può essere maggiormente significativo per le infrastrutture critiche che erogano servizi essenziali per il Paese, come possono essere energia e telecomunicazioni.
Partendo dalla assunzione che la cyber security non deve interessare solo gli addetti ai lavori, nel gruppo TIM, accanto ai tavoli di lavoro tecnici che hanno l’obiettivo di innalzare le difese attuate dalle soluzioni di sicurezza, sono state avviate attività progettuali che prevedono il coinvolgimento del top management.
Particolare attenzione è stata data alla fase di risposta nelle quarantott’ore successive alla eventuale compromissione da ransomware con la collaborazione di tutti i principali stakeholder necessari, dalle funzioni IT e Network alle funzioni Legal, HR e Comunicazione, per disporre di opportuni playbook operativi di gestione dell’emergenza, con la disponibilità di adeguati artefatti/template a supporto.
Nicola Sotira da parte sua chiarisce che rispetto al rischio di cyber security che, in generale, include anche il ransomware, la direzione scelta da Poste Italiane è stata indirizzata verso la conduzione di esercitazioni di tipo procedurale e table top includendo la misura delle azioni dei manager. Questo perché non si diventa target di attacco in un giorno, ma nemmeno esperti in un giorno.
Le esercitazioni di addestramento che coinvolgono i dipendenti, le campagne su teams e sui diversi ambienti sono predisposte ed eseguite anche per prevenire l’avvio degli attacchi di ransomware che passa quasi sempre a mezzo phishing. Ecco, quindi, che è stato rafforzato anche quel settore.
La frequenza delle esercitazioni è trimestrale per rafforzare la capacità di resilienza e la prontezza alla reazione. Sono stati rivisti i processi vulnerability management arricchendo le dotazioni con tecnologie che includono il “machine learning” al fine di stabilire priorità, in un’ottica di gestione più simile alle “operation”.
In sostanza ci si concentra su alcune misure di sicurezza e se ne prioritizzano altre nel breve periodo. Si sta lavorando molto sul monitoraggio passando a sistemi predittivi, basati su sistemi comportamentali per supportare la cosiddetta “anomaly detection” e infine ma non ultimo si sta sviluppando e consolidando la strategia per il Cloud per fruire delle sue “semplificazioni” di gestione mantenendo tutta la sicurezza necessaria.
Cyber security, Italia nel mirino: serve un fronte comune per difendersi meglio
Best practice dall’esperienza day-by-day
Proprio in tema di Cloud Security, se la trasformazione digitale non si arresta e include progressivamente porzioni sempre più ampie del Cloud, anche la minaccia si sposta in quel perimetro tanto da preoccupare le organizzazioni che lo adottano.
Il 43% di loro crede che i rischi più significativi siano associati all’utilizzo del cloud pubblico, rispetto ad un ambiente on-premise e di conseguenza più della metà dei professionisti intervistati (60%) dichiara che quest’anno aumenterà il budget destinato alla sicurezza del cloud per intervenire principalmente su prevenzione di configurazioni errate (51%) e la protezione delle principali applicazioni cloud già in uso (48%).. (Fonte “edizione 2023 del Cloud Security report” pubblicato da Fortinet).
I cavalli di troia dei cyber criminali
Ma c’è da sottolineare che non tutto avviene sul Cloud. Infatti, secondo il report Akamai 193 milioni di attacchi malware sono rivolti ai consumatori EMEA e passando per questi privati come se fossero cavalli di troia, gli attaccanti puntano alle rispettive organizzazioni. Il dato emerge dalla ricerca, intitolata “Attack Superhighway: un esame approfondito del traffico DNS malevolo”, che analizza gli attacchi perpetrati ai danni di aziende e semplici consumatori.
Le vittime preferite sono i dispositivi personali dei singoli che prima sono derubati dei dati di carte di debito o credito al fine di sottrarre denaro o vendere le informazioni ad altri criminali, ma in un secondo momento possono anche essere veicolo di accesso alle organizzazioni di lavoro per vendere le credenziali di accesso ad altri criminali. Questi dati di accesso vengono poi utilizzati per assumere il controllo della rete di un’azienda ed eseguire attacchi di massa che possono causare gravi perdite finanziarie.
Sì, la compliance comporta sicurezza
Dunque, a fronte di normative europee che si sforzano di incidere operativamente e tenuto conto della progressiva furbizia ed evoluzione degli attacchi quali possono essere ulteriori accorgimenti di sicurezza da attuare giorno per giorno o da prevedere nei piani di sviluppo della cyber security?
Per Nicola Sotira è necessario tenere conto sia degli elementi adeguativi alle norme applicandoli in un’attività operativa di continuità di business. Questo perché la trasformazione digitale cambia la percezione del cliente che non fruisce dei servizi in orario di lavoro ma a qualsiasi ora ne abbia bisogno. A fronte di questa esigenza operativa, di questo cambio “user experience” (esigenze sui tempi di risposta dei sistemi e sulla comodità di accedere da dovunque e a qualunque ora), chi deve garantire la sicurezza digitale e la compliance ha il delicato compito di bilanciare tutti i fattori.
Se ci si chiede se la compliance comporti la sicurezza, è possibile rispondere in modo affermativo, specie per le direttive Europee di cui si sta parlando, ma è d’altra parte doveroso ricordare che la sicurezza non è costituita solo dalla compliance normativa. Ovvero è una condizione necessaria ma non sufficiente.
Matteo Macina rimarca come l’applicazione delle nuove norme in ambito cyber security in generale consentirà di incrementare il livello di cyber sicurezza e resilienza delle organizzazioni coinvolte. “Come Gruppo TIM – spiega – stiamo facendo un grande lavoro per sensibilizzare imprese e Pubblica Amministrazione affinché aumenti la consapevolezza verso la cybersecurity.
È necessario che pubblico e privato adottino soluzioni adeguate e per questo noi ci proponiamo sul mercato come il principale gruppo italiano per affrontare la sfida della transizione digitale. Tramite TIM Enterprise e Telsy, infatti, possiamo offrire ai nostri clienti, oltre alle tecnologie per la connettività, i migliori servizi per il cloud e per la cyber sicurezza.
In parallelo è necessario e opportuno creare un ecosistema che favorisca l’attenzione di tutti gli attori coinvolti: dalle istituzioni, in cui un ruolo cardine è dato dall’Agenzia per la Cybersicurezza Nazionale, alla Pubblica Amministrazione e alle organizzazioni private per arrivare a un concetto di ‘cyber security-by-law’, ovvero prevedere a livello legislativo degli standard di sicurezza minimi per tutti.
Nell’ambito delle normative di cui abbiamo avuto modo di parlare, particolare attenzione dovrà essere data alla centralità delle Piccole e Medie Imprese (PMI) che, sebbene al momento escluse dalla applicabilità di alcune di queste normative, sono il cuore pulsante del tessuto produttivo italiano, parte integrante della catena di valore con possibili ricadute anche sulle grandi imprese (IC, OSE, PA) e fortemente attenzionate da parte degli hacker.
In tal senso – conclude Macina – è necessario iniziare a pensare e pianificare strumenti di supporto alle PMI al fine di avviare processi di adeguamento della propria cybersecurity andando ad agevolare gli investimenti cyber specifici quali ad esempio cyber voucher o misure di de-fiscalizzazione”.