I dati dei report, che periodicamente sono emessi da vendor e associazioni di sicurezza, tracciano il quadro di una minaccia sempre più crescente, con incrementi legati non solo a fenomeni di cyber crime ma anche ad attori statuali che si contrappongono in una logica geopolitica ed economica di predominio. Anche dal World Economic Forum è arrivato il monito: “prepararci a una cyber pandemia globale simile al Covid, che si diffonderà più velocemente e più a lungo di un virus biologico, con un impatto economico pari o superiore.”, quasi una doppia pandemia, biologica e informatica.
Già oggi la preoccupazione è alta: secondo uno studio Trend Micro, uno su tre responsabili della cybersecurity italiani è preoccupato da una superficie crescente di attacco costituita dall’espansione delle aree digitali. E, in effetti, secondo il report Check Point i cyber attacchi verso le reti aziendali sono in aumento del 50% rispetto all’anno precedente, dato confermato anche dal report degli F5Labs, “Application Protection Report 2022”, secondo cui cresce l’incidenza del malware nelle violazioni dei dati.
Fra i diversi report anche quello del Cefriel, il centro d’innovazione del politecnico di Milano attivo da 30 anni a supporto della digitalizzazione delle aziende, che ha pubblicato un white paper sul tema della cyber security per rispondere con metodo alla preoccupazione crescente e dettando linee di indirizzo strutturate. Ne abbiamo intervistato il CEO e Direttore Scientifico, Alfonso Fuggetta.
Come si impara la cyber security: ecco le nozioni di base necessarie
Indice degli argomenti
Le evidenze dagli ultimi report di security
Dalle analisi della minaccia svolte da Check Point lo scorso anno, i cyber attacchi, in forma di ransomware e andati a buon fine, sono costati globalmente 6.000 miliardi di dollari a causa di perdita di produttività, data leak e danni alla reputazione.
Similmente, la pandemia di Covid ha causato un costo di trilioni di dollari, fra lockdown e stravolgimenti della supply chain; ad aggravare la situazione il remote working è diventato la norma per la maggior parte degli impiegati (McKinsey ha stimato come la forza lavoro da remoto sia aumentata di 4-5 volte rispetto ai livelli pre-pandemia) e la superficie di attacco si è allargata in modo notevole, vanificando i “perimetri di sicurezza” aziendali, tanto che nel giro di poche settimane dall’avvio del remote working, le vulnerabilità di sicurezza della rete, del cloud, dei dispositivi e degli accessi, che sono state sfruttate per destabilizzare ospedali, banche e governi, tra gli altri.
Nel 2021, Check Point Research ha registrato un aumento del 40% dei cyberattacchi, con un’organizzazione su 61 colpita da ransomware ogni settimana in tutto il mondo.
I malware sempre più protagonisti
Anche secondo l’Application Protection Report 2022 cresce l’incidenza del malware nelle violazioni dei dati: i malware, in buona sostanza, rappresentano il 30% delle cause note nelle violazioni dei dati negli Stati Uniti, con una incidenza del 6,6% nel 2019 e del 17,4% nel 2020 mentre i ransomware continuano a crescere in incidenza e frequenza.
Entrambi i tipi software malevolo hanno fatto un uso massiccio di metodi di esfiltrazione per rimuovere i dati dagli ambienti delle vittime e il formjacking (sottrazione di informazioni bancarie degli acquirenti direttamente dai siti di acquisti online n.d.r.) si conferma come la forma di exploit Web più diffusa che punta maggiormente le aziende retail o quelle che effettuano pagamenti online.
Gli attacchi rivolti contro i sistemi di autenticazione per gli utenti sono la causa più frequente di violazioni e colpiscono maggiormente le aziende del settore finance e le assicurazioni, la sanità e i servizi sociali, professionali, scientifici e tecnici. I tassi elevati di compromissione della posta elettronica aziendale (24% di tutte le violazioni), uniti a livelli bassi di segnalazione per attacchi di phishing e di credential stuffing, suggeriscono che questa tipologia di attacco sia ancora sottostimata.
Il Report F5Labs, basato principalmente sugli attacchi che hanno avuto successo e sull’analisi delle informazioni pubbliche sulle violazioni dei dati che le organizzazioni inviano agli organi giudiziari negli Stati Uniti, traccia una panoramica sullo scenario delle minacce informatiche documentandone l’evoluzione rispetto all’anno precedente, per chiarire la relazione tra le caratteristiche degli attacchi, gli obiettivi e il comportamento degli aggressori, in modo che i team di security possano ottimizzare le difese per adattarle e concentrarsi sulle minacce che colpiscono più spesso organizzazioni simili alla loro.
Il problema dell’estensione della superficie d’attacco
L’aumento della superficie di attacco è motivo di preoccupazione per il 66% dei responsabili di cyber security italiani. Il 36% ha ammesso che questa è “costantemente in crescita e confusa”, con solo il 53% in grado di definire a pieno i suoi confini. Il 42% ha addirittura sottolineato superfici digitali “fuori controllo” da possibili attacchi. Il 58% del campione ha infatti confessato di avere dei punti ciechi nell’infrastruttura IT che ostacolano la security, primi fra tutti gli ambienti cloud. In media, le aziende pensano di avere solo il 63% di visibilità sulla propria superficie di attacco con un peggioramento potenziale nei casi di aziende distribuite.
Infatti, il 64% delle aziende presenti in più Paesi ha affermato di avere più difficoltà nella gestione della superficie di attacco. Ciò nonostante, il 7% sta ancora mappando i propri sistemi manualmente e il 20% lo fa a livello regionale, e questo può creare ulteriori silos e lacune di visibilità.
I dati emergono da “MAPPING THE DIGITAL ATTACK SURFACE: Why global organisations are struggling to manage cyber risk“, l’ultima ricerca Trend Micro. Lo studio ha rivelato che il 54% delle organizzazioni non ritiene il proprio metodo di valutazione del rischio sufficientemente sofisticato: solo il 44% ha una procedura ben definita per valutare l’esposizione al rischio; il 22% rivede o aggiorna la propria superficie esposta solo mensilmente o meno frequentemente di quanto dovrebbe e sempre e solo il 22% esamina quotidianamente la propria esposizione ai rischi.
Quindi, aggiornare l’analisi della superficie di attacco in continuo cambiamento, è un obiettivo su cui le organizzazioni devono concentrarsi.
Il white paper del Cefriel
Anche il Cefriel, che dal 1988 promuove la collaborazione e la condivisione di conoscenze tra mondo della ricerca, tessuto economico e società nell’ambito digitale, si è mobilitato per alzare il livello di guardia e ha pubblicato il white paper “Cybersecurity sostenibile: come rendere la sicurezza informatica sostenibile nel tempo“, curato da Massimiliano Colombo, Enrico Frumento, Andrea Guerini e Mauro Lomazzi. Alfonso Fuggetta, Ceo e direttore scientifico del centro di innovazione digitale Cefriel in proposito sottolinea:
“La sicurezza informatica non è un prodotto da acquistare, ma un processo che coinvolge numerose aree aziendali e non più solamente la specifica area di Information Security. Non si tratta, quindi, semplicemente di acquisire e rendere operativo uno strumento informatico di difesa, ma di bilanciare la sicurezza con la reale capacità operativa delle imprese e delle PA; capacità che emerge da fattori di tempo, preparazione del personale, risorse e tecnologie a disposizione. La chiave è la sostenibilità della sicurezza informatica in termini di tecnologie, processi, persone e competenze”.
In particolare, il white paper suggerisce il modo di rendere tangibile la sostenibilità della cyber security nel tempo, bilanciando le misure di sicurezza e i processi legati alle reali capacità operative dell’organizzazione che dipendono dalla preparazione del personale, dalle risorse e dalle tecnologie a disposizione.
La sostenibilità della cyber security richiede una visione completa e interdisciplinare, collettiva e diffusa, rispetto a tutte le sue dimensioni che, sebbene sembrino eterogenee, sono correlate al “Total Cost of Ownership della cyber security”, un modello secondo cui prevedere processi adattati ai bisogni, razionalizzazione organizzativa, gestione e integrazione delle risorse umane, valorizzazione e acquisizione di competenze, allocazione ragionata delle risorse.
È necessaria, quindi, secondo il Cefriel, una visione strategica d’insieme, piuttosto che il perseguimento di singoli obiettivi nel breve periodo. Per rispondere a questi bisogni, Cefriel ha sistematizzato la propria esperienza all’interno del Sustainable Cybersecurity Playbook, un insieme di best practice e metodologie che guidano caso per caso le imprese e le PA nella riduzione del rischio cyber. “Abilitare”, “Promuovere” e “concretizzare l’innovazione” sono i pilastri di questo kit destinato alle imprese.
La cyber security sostenibile
Perché è necessario far capire a tutti che la cyber security può essere sostenibile invece della nota ed erronea considerazione che si tratti solo di un costo?
La cyber security può essere sostenibile (non costituendo solo un costo, bensì un investimento) perché nel panorama incerto di oggi, un’azienda che dimostra di aver messo in atto una strategia di cybersecurity seria ed efficace può ridurre sia la probabilità sia l’impatto di un attacco informatico, può suscitare maggiore fiducia attirando investitori e clienti, può adempiere più facilmente le nuove norme legislative in tema cyber, ad esempio la nuova direttiva NIS 2.
Nei fatti, gli attacchi informatici hanno raggiunto livelli di complessità e di impatto del tutto nuovi e hanno costretto le aziende e le pubbliche amministrazioni ad attivarsi per attenuare il rischio e far sì che la cyber security diventi sostenibile, non solo dal punto di vista ambientale ed economico, ma anche in termini di tecnologie applicate, di processi, persone e competenze. Le organizzazioni si trovano, oggi, a dover fronteggiare una questione centrale: come proteggere i dati, l’operatività e il proprio core business, governando gli investimenti in cyber security in accordo con una visione strategica. Investire in progetti che possano mettere al ripario il patrimonio informativo delle organizzazioni non può che essere considerato un investimento necessario.
La riduzione sostenibile dei rischi
Cosa si intende con riduzione sostenibile dei rischi?
Agire sui rischi, andando a ridurli in modo sostenibile, significa mettere in atto una continua verifica del proprio perimetro e la rapida applicazione delle contromisure necessarie a difenderlo. Il monitoraggio continuo misura l’esposizione al rischio, mentre le risposte applicate tempestivamente rispetto alle vulnerabilità riscontrate mantengono il livello di rischio complessivo al di sotto di una certa soglia di tolleranza.
La gestione dei rischi cyber, del resto, è una delle sfide che le imprese pubbliche e private devono affrontare. Identificare, comprendere e gestire in modo continuativo le nuove minacce alla sicurezza, per le aziende significa capirne i potenziali effetti anche in relazione all’adozione di tecnologie emergenti (si parla quindi di continuous security).
Occorre, però, considerare che il problema non sia solo di natura tecnologica, ma anche umana: una rilevante parte, spesso trascurata, dei problemi della cyber security è legata alla sicurezza dell’elemento umano. Oltre a mantenere il rischio cyber al di sotto della soglia di tolleranza, con adeguate scelte tecnologiche e di governance, occorre promuovere la cultura cyber in tutte le funzioni aziendali, anche quelle che solitamente non sono coinvolte nella cyber security.
Total Cost of Ownership della cyber security
In che modo l’attuazione di prassi di sicurezza informatica diventa veramente sostenibile nel tempo, ovvero come si arriva al Total Cost of Ownership della cyber security?
La sostenibilità duratura nel tempo poggia sulla capacità aziendale di applicare questo processo a diversi livelli. Spesso ci si concentra soltanto sulla tecnologia. La tecnologia è certamente centrale, ma accanto a questa vanno considerati diversi livelli: le decisioni del top management, la consapevolezza e la competenza delle persone, la destinazione delle risorse (umane ed economiche) e l’adeguamento dei processi agli scenari di rischio emergenti.
La cyber security diventa sostenibile se è rivolta alla riduzione del rischio cyber, minimizzando le frizioni per l’adozione delle contromisure a livello di governance, tecnologia, costi, processi e persone, comprese le competenze necessarie da acquisire, presidiare e mantenere.
Proprio a causa delle molteplici dimensioni appena menzionate, la sicurezza informatica non è un prodotto, ma un processo che coinvolge numerose aree aziendali, e non più solamente la specifica area di Information Security.
