Il 2020 verrà ricordato in tutto il mondo come l’anno dell’emergenza sanitaria Covid-19, ma non bisogna tuttavia trascurare gli ulteriori cambiamenti in atto nel panorama digitale e normativo che interessano la sicurezza informatica: l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, durante la Ricerca 2020, ha dedicato un approfondimento proprio a questo tema, andando a indagare i principali trend emergenti che stanno caratterizzando il mercato della cyber security e della data protection nell’anno in corso.
Diverse attività della nostra vita lavorativa e privata hanno subìto un radicale cambiamento. Nemmeno l’ambito della cyber security è rimasto immune all’impatto della pandemia. Le aziende sono pertanto chiamate a mettere in campo modelli adattativi, che permettano loro di gestire adeguatamente un nuovo scenario di rischio cyber.
Indice degli argomenti
Cyber security e data protection: panorama degli attacchi
Un trend che non conosce flessione è quello che caratterizza il panorama degli attacchi informatici. Oltre alla consueta e ormai inevitabile crescita degli attacchi, nel corso del 2020 si è assistito a un aumento rilevante delle minacce legate a tecniche di social engineering, che sfruttano l’elemento emozionale e la preoccupazione delle persone di fronte alla pandemia.
Le minacce di cyber security relative al Covid-19 rappresentano peraltro ad oggi la più grande coalescenza di attacchi informatici attorno a un unico tema mai osservata: si va in particolare dal furto delle credenziali alla compromissione delle e-mail aziendali (Business Email Compromise o BEC) al ransomware.
Un altro tema di rilievo è quello delle fake news: in Italia si è registrato, soprattutto nei mesi di marzo e aprile, un trend crescente di informazione e disinformazione sulla Covid-19, con notizie false circolanti in tema sanitario che nascondono al loro interno insidie offrendo dati sbagliati e allarmanti sulla pandemia.
Artificial Intelligence e cyber security
Nell’ambito della cyber security, l’Artificial Intelligence può giocare un doppio ruolo: può essere impiegata in ottica difensiva o offensiva, come strumento di protezione o strumento di attacco.
L’AI viene sempre più spesso impiegata dalle organizzazioni per prevedere e identificare minacce informatiche in ottica predittiva, monitorare eventuali anomalie e deviazioni di comportamento, rilevare frodi, prendere decisioni rilevanti nell’ambito della gestione della sicurezza (per esempio in caso di incidente o durante una situazione di crisi), in supporto all’uomo o addirittura al posto di esso.
Per contro, la tecnologia può essere sfruttata anche da malintenzionati per mettere in atto attacchi sempre più sofisticati, come per esempio la creazione di nuovi malware in grado di sviluppare comportamenti adattativi o lo sviluppo automatico di campagne di phishing efficaci.
L’uso dell’AI apre inoltre le porte a nuovi livelli di realismo e manipolazione della realtà: ne sono un esempio i sempre più diffusi deepfake, tecniche di sintesi di immagini o video, utilizzabili in ambito security per perpetrare attacchi di spear phishing o Business Email Compromise.
Cyber security e data protection: la Cloud Security
Con un sempre maggiore ricorso a infrastrutture, applicazioni e software fruiti as-a-Service, le sfide di sicurezza che le organizzazioni sono chiamate ad affrontare sono in costante evoluzione.
Gli ambienti Cloud sono oggetto di molte minacce che riguardano anche le reti aziendali tradizionali, amplificate però dal fatto che le risorse siano condivise. Considerando poi il sempre più diffuso approccio multi-Cloud, adottato dalle organizzazioni per poter fruire di diverse funzionalità da diversi provider scegliendo per ogni servizio quello che ritengono migliore, si inseriscono anche necessità di orchestrazione dal punto di vista della security.
L’uso di più Cloud aggiunge alcune dimensioni alla sicurezza delle applicazioni e dei dati, che impongono l’adozione di un approccio alla sicurezza adeguato: potrebbe per esempio rendersi necessario uno strumento di Identity & Access Management, in grado di fornire un accesso sicuro indipendentemente dal servizio Cloud utilizzato.
DevSecOps e security-by-design
La logica tradizionale di sviluppo delle applicazioni, in cui Sviluppo, Operations e Security lavorano come anime distinte generando continui ricircoli, sta diventando ormai obsoleta, a favore di metodologie sempre più agili come il DevSecOps.
Per rendere il processo più efficiente, garantire un elevato livello di protezione dei dati e spesso anche per soddisfare vincoli di compliance normativa, i requisiti di sicurezza devono essere integrati sin dalle prime fasi di sviluppo, seguendo il principio della security-by-design.
Nella pratica, si stanno diffondendo tool basati su Artificial Intelligence e Machine Learning, in grado di automatizzare test e controlli di sicurezza nelle diverse fasi dello sviluppo applicativo, per evitare rallentamenti nei flussi di lavoro.
È però necessario che gli strumenti tecnologici siano affiancati dall’introduzione di pratiche organizzative e meccanismi di collaborazione che supportino una maggiore cooperazione tra le diverse funzioni coinvolte, per favorire anche un cambiamento di approccio e mentalità.
Cyber security e data protection: nuovi meccanismi di autenticazione
Per stabilire che un utente sia effettivamente chi dice di essere e verificane l’identità nel mondo digitale, si fa sempre più spesso ricorso a meccanismi di autenticazione innovativi, basati su un approccio zero-trust, come l’autenticazione multi-fattore (MFA).
La logica che guida la MFA è quella di richiedere l’uso di più metodi di verifica, aggiungendo un livello di sicurezza agli accessi e alle transazioni degli utenti tramite la combinazione di diversi fattori indipendenti tra loro: qualcosa che so (password/PIN), qualcosa che ho (token, smartphone), qualcosa che sono o faccio (elemento biometrico).
Accanto allo sviluppo di nuovi meccanismi di autenticazione sta crescendo l’attenzione anche nei confronti della protezione degli accessi privilegiati. Si stanno diffondendo soluzioni di Privileged Access Management (PAM), che consentono di mettere in sicurezza, controllare, gestire e monitorare i cosiddetti privileged accounts, che godono di autorizzazioni per l’accesso a risorse aziendali particolarmente critiche.
IIoT e Industrial security
L’Internet of Things è un fenomeno ormai molto presente nel mondo B2C, con l’adozione da parte dei consumatori di oggetti indossabili, elettrodomestici “smart”, veicoli connessi e a guida autonoma o assistita. Ma la diffusione dei device IoT riguarda anche il mondo B2B, con particolare riferimento agli ambienti industriali e alle infrastrutture critiche.
L’interconnessione dei sistemi, spesso non originariamente progettati per essere connessi, e l’introduzione di sensori e dispositivi smart, che scambiano enormi moli di dati in real-time, introducono dal punto di vista della security nuovi potenziali punti di accesso per cyberattacchi sempre più frequenti e sofisticati, generando un esponenziale aumento della superficie di attacco.
È poi necessario considerare che un incidente di sicurezza che coinvolge dispositivi IoT o macchinari industriali connessi può avere potenziali ripercussioni anche nel mondo della sicurezza fisica: basti pensare a sistemi di automazione e controllo, telecontrollo, SCADA, comandi da remoto di impianti potenzialmente pericolosi per l’incolumità di persone o dell’ambiente.
Normative cyber security e data protection
In un’era volta alla digitalizzazione e al progresso tecnologico è necessario bilanciare saggiamente le opportunità offerte dalle nuove tecnologie con gli strumenti di tutela messi a disposizione dal framework normativo in materia di data protection.
L’Unione europea, come è noto, ha intensificato le sue attività emanando negli anni importanti normative come la direttiva NIS e il Cybersecurity Act.
L’Italia stessa, con l’adozione del “Perimetro sulla sicurezza informatica e nazionale”, ha ricoperto un ruolo da protagonista a livello normativo, regolamentare e organizzativo rispetto all’importante tema della sicurezza
Vi è poi sempre il GDPR che, grazie alle puntuali letture e indicazioni fornite dall’EDPB e dalle singole Autorità nazionali, sta fornendo risposte pronte ed efficaci per permettere la tutela della salute collettiva e, allo stesso tempo, il rispetto della protezione dei dati personali degli individui.
5G e reti avanzate
Lo sviluppo tecnologico di nuove reti ad alte prestazioni, come il 5G, offre l’opportunità per la nascita di servizi a valore, complessi e targettizzati: la nuova rete mobile consentirà la connessione di un numero molto elevato di device e potrà abilitare il paradigma dell’Edge Computing dove le applicazioni, l’attività di archiviazione e tutte le funzioni di controllo saranno obbligate a operare relativamente vicine agli end user e ai vari endpoint IoT.
La conseguenza di ciò, da un punto di vista della sicurezza, è l’inevitabile aumento della superficie di attacco.
Per mitigare tali minacce occorre innanzitutto adottare un approccio di security-by-design nella progettazione delle reti.
Parallelamente è necessario diffondere l’utilizzo di procedure di monitoraggio e valutazione dei rischi per la definizione di standard di sicurezza più elevati per i diversi fornitori di reti 5G.
Occorre infine favorire una stretta collaborazione tra il mondo delle imprese e le istituzioni, in modo tale da affiancare allo sviluppo della rete 5G, vista come strumento di crescita per l’economia, la protezione dei dati interni ai sistemi informativi aziendali.
Supply Chain Security
Nel mondo interconnesso di oggi, le aziende fanno affidamento su una vasta gamma di fornitori di beni e servizi necessari per raggiungere i loro obiettivi aziendali.
Da un punto di vista della sicurezza, non è più sufficiente pertanto mitigare i rischi cyber all’interno del proprio perimetro, ma è necessario concentrarsi anche sulla protezione dei sistemi e dei processi delle terze parti: gli attacchi Supply Chain si verificano infatti ogni volta che un malintenzionato riesce a violare i sistemi di un fornitore o di un partner di un’azienda per ottenere l’accesso ai dati della stessa.
Il numero di questi attacchi, che sfruttano l’anello più debole della catena (vendor, partner, clienti) per fare breccia all’interno dell’organizzazione, è in continuo aumento.
In aggiunta, la situazione di emergenza sanitaria contingente impone di ripensare l’approccio alla supply chain e di rivedere tutta la catena di fornitura, riformulando le stime del rischio cyber e puntando su filiere meno globali e più locali.
Contesto sempre più complesso e security sempre più strategica
Relativamente all’ambito della cyber security, questa prima metà del 2020 offre alcuni interessanti spunti. Il primo di questi è che la crescita del digitale non sembra arrestarsi ma, al contrario, la pandemia ha dato un’ulteriore spinta alla diffusione di tecnologie e processi digitali: la sicurezza informatica deve quindi rappresentare un pilastro su cui fondare ogni iniziativa di innovazione digitale portata avanti dalle organizzazioni, per evitare che le minacce legate al digitale siano superiori alle opportunità offerte.
Un secondo elemento è quello per cui la Covid-19 ha messo in luce la necessità, ancora più che in passato, di affrontare le sfide di sicurezza in contesti nuovi, anche fuori dai confini IT.
Il perimetro da difendere si allarga sempre di più e, ad esempio, diventa fondamentale garantire la sicurezza di ambienti di lavoro non “tradizionali” come l’abitazione personale utilizzata dai dipendenti in regime di smart working.
C’è poi un tema legato al tracciamento digitale e alla protezione dei dati: la scelta di affidarsi all’uso di nuove tecnologie, anche e soprattutto in relazione all’attuale momento emergenziale, quali app e braccialetti elettronici per il contenimento dei contagi, può costituire un vulnus in materia di sicurezza e, in particolare, aprire a nuovi rischi in materia di tutela dei dati degli utenti, che potrebbero essere compromessi da possibili attacchi informatici.
