L’ENISA, l’ente chiave per la cybersicurezza dell’Unione Europea, ha pubblicato una coppia di documenti con cui interviene – dopo anni dalle ultime pubblicazioni analoghe – nel segnalare alle PMI le necessarie misure di sicurezza per affrontare la cyber security, oggi.
Una sicurezza immersa completamente in un mondo digitalizzato, più o meno forzatamente, nell’era Covid19, di cui molti criminali si sono avvantaggiati, con picchi di violazioni sempre più impressionanti (si veda anche quanto emerge dall’ultimo rapporto Clusit per lo scenario italiano).
Si comprende come l’ENISA abbia voluto aggiornare la platea, forte e rispettosa del proprio ruolo di indirizzo, rivolgendosi alle imprese che con più difficoltà sanno come proteggersi: l’esito sono due documenti, quello vero e proprio di analisi e una breve infografica di accompagnamento ove sono riassunti i dodici maggiori punti di attenzione alla sicurezza che emergono dal primo documento. Vediamo di che si tratta.
Indice degli argomenti
L’ENISA e l’attenzione alle PMI
Ricordiamo anzitutto che l’ENISA ha da tempo un occhio di riguardo per le PMI, tra le importanti linee guida pregresse troviamo quelle dedicate alla sicurezza dei dati personali, una Cloud Security Guide, l’analisi degli standard in tema di sicurezza e privacy e, soprattutto, l’Handbook on Security of Personal Data Processing del 2018, indicato più volte dalle varie autorità di controllo come benchmark per la valutazione dei rischi e il loro fronteggiamento.
Nel nuovo studio, l’Ente parte da un’analisi circa la situazione dettata dalla pandemia: le PMI hanno dovuto adottare, più o meno attentamente, misure di continuità aziendale come i servizi cloud, l’aggiornamento dei loro servizi Internet e dei loro siti web, la possibilità per il personale di lavorare da remoto.
Ciò ha esasperato l’esposizione informatica e la possibile perdita/violazione dei dati, personali e non: vi è stato un marcato aumento di attacchi via e-mail, attacchi di phishing, truffe e malware legati alla crisi pandemica, oltre a un allarmante aumento nel numero di episodi rivolti a settori specifici già sotto pressione – ospedali, operatori sanitari e strutture di ricerca medica.
Le PMI ora hanno sempre più personale che lavora da remoto, hanno dovuto implementare i propri sistemi piuttosto rapidamente – a scapito della sicurezza – per continuare la propria attività, spesso senza adeguare le difese IT. Le piccole e medie imprese offrono ai criminali un buon rapporto valore/rischio, afferma l’ENISA: molte PMI forniscono servizi a organizzazioni più grandi e possono consentire di attaccare le organizzazioni più grandi attraverso la supply chain.
L’ENISA ha così prodotto una ricerca sul campo, onde comprendere le principali esigenze e criticità delle aziende in questo periodo, per poi fornire un bullet point di misure e punti di attenzione tarati sui risultati concreti.
Un documento rivolto sia alle imprese, che possono fare tesoro di quanto segnalato, che ai governi degli Stati membri dell’Unione, onde provvedere con misure che aiutino il comparto a proteggere le proprie strutture che sono, in definitiva, anelli della struttura generale dell’infrastruttura IT dei Paesi stessi.
Alcune delle sfide poste alle imprese medio-piccole, infatti, possono essere affrontate efficacemente con un debito sostegno da parte statale.
Misure di pseudonimizzazione, applicazioni pratiche per la protezione dei dati personali
I risultati della ricerca
Partiamo dalla ricerca, svolta tramite varie modalità (interviste, indagini, consulto di esperti). Come detto, non mancano i punti che svelano criticità anche di sistema: le maggiori sfide risultano essere anzitutto informative-culturali (la scarsa consapevolezza delle minacce alla loro attività, derivanti dalla scarsa sicurezza), i costi di attuazione delle misure di contrasto (spesso combinati con la mancanza di un budget dedicato), la disponibilità di specialisti della cybersicurezza per questi soggetti, la mancanza di linee guida adeguate rivolte al settore delle PMI e uno scarso sostegno interno alla gestione di tali tematiche.
Oltre l’85% delle aziende interpellate per la ricerca ha dichiarato che i problemi di sicurezza informatica subiti avrebbero un grave impatto negativo sulla loro attività, mentre il 57% ha dichiarato che molto probabilmente potrebbero arrivare alla chiusura in conseguenza a tali gravi incidenti.
Stante ciò, imperversa nelle PMI la falsa sicurezza che i controlli sulla sicurezza inclusi nei software e servizi IT che hanno acquistato saranno sufficienti e che non saranno necessari ulteriori controlli di sicurezza da parte loro, a meno che non siano imposti dalla normativa.
Mentre il 36% degli intervistati ha riferito di aver subito un incidente di security negli ultimi 5 anni, l’8% degli stessi intervistati ha dichiarato di aver subito un incidente di sicurezza informatica dall’inizio della crisi pandemica; il che indica un forte aumento degli incidenti durante il breve lasso di tempo dall’inizio della crisi.
In definitiva, la ricerca ha accertato che:
- vi è stato aumento della dipendenza dai servizi della società dell’informazione;
- la maggior parte delle PMI (più dell’80%) tratta informazioni “critiche” (ovvero la cui violazione può comportare gravi ripercussioni legali e lesioni ai diritti degli interessati), rendendo la sicurezza informatica una priorità;
- la maggior parte delle PMI utilizza alcuni controlli di sicurezza di base – come la protezione antivirus degli endpoint, i backup, i firewall e vengono eseguiti aggiornamenti software sistematici; tuttavia un numero inferiore e fin troppo basso di PMI esegue corsi di sensibilizzazione in materia di sicurezza e utilizza sistemi di logging e alerting;
- vi è un esteso utilizzo del cloud per vari servizi informativi e strumenti di accesso remoto di vario tipo, funzionalità e livelli di sicurezza; difatti il 25% ha dichiarato di aver utilizzato un qualche tipo di accesso remoto prima della pandemia, mentre durante la pandemia ha fatto esteso ricorso a servizi cloud che consentono almeno l’accesso e l’uso di e-mail, l’elaborazione di file e la comunicazione a distanza;
- phishing, malware e attacchi web-based sono le cause più comuni di incidenti di sicurezza sperimentati dagli intervistati;
- criticità comuni a tutti sembrano essere la consapevolezza e l’impegno della gestione della sicurezza, a loro volta legati al budget, all’allocazione delle risorse e all’effettiva attuazione delle pratiche di sicurezza informatica.
Le sfide che, alla luce di quanto sopra, emergono per le PMI sono le seguenti:
- scarsa consapevolezza della sicurezza informatica tra il personale;
- protezione inadeguata delle informazioni “critiche”;
- mancanza di budget adeguati;
- mancanza di specialisti o capacità adeguate in materia di cybersicurezza;
- mancanza di adeguate linee guida in materia di cybersicurezza specifiche per le PMI; circa tale aspetto, la ricerca segnala che alcune linee guida in realtà esistono ma vengono criticate sotto vari profili: una certa genericità o astrattezza, una troppo elevata expertise necessaria per la loro applicazione, spesso persino per l’obsolescenza rispetto allo scenario attuale – anche l’ISO/IEC 27001 viene menzionata e ritenuta nella sua complessità troppo vincolata dall’apporto di esperti esterni;
- lo “shadow IT”, ovvero lo spostamento del lavoro in un ambiente ICT fuori dal controllo delle aziende, stante l’utilizzo di dispositivi e reti non aziendali per connettersi e utilizzare i dati aziendali;
- scarso supporto della direzione aziendale.
Le misure di sicurezza raccomandate alle PMI
Il frutto del lavoro dell’analisi di quanto sopra, da parte dell’ENISA, è una serie di raccomandazioni per tutelare maggiormente la sicurezza delle PMI. Molte delle misure indicate sono organizzative o attuabili senza gravosi investimenti e farebbero già una grande differenza se correttamente implementate.
La suddivisione praticata dall’ente aiuta a comprendere questo aspetto (solo una classe è improntata sulle misure tecniche!), suddividendo in tre macro-categorie la lista complessiva.
Qui ci limitiamo a una elencazione, lasciando a chi legge la possibilità di approfondire i singoli aspetti direttamente tramite la pubblicazione ENISA.
Raccomandazioni verso le persone
- Responsabilità in merito chiaramente identificate e assegnate a una determinata figura aziendale
- Impegno e leadership mostrati dal management nel sostenere la sicurezza
- “Buy-in” dei dipendenti, i quali devono ricevere una comunicazione efficace e una formazione adeguata sulla sicurezza informatica e sui protocolli da rispettare
- Consapevolezza e formazione dei dipendenti, quanto alle minacce e contromisure attuabili
- Policy di sicurezza informatica
- Gestione delle terze parti (vaglio preliminare, verifiche ecc.)
Raccomandazioni di processo
- Audit periodici
- Pianificazione e risposta agli incidenti di sicurezza
- Utilizzo di accessi centralizzati e corretta gestione delle password (preferite le passphrase, ad es. di tre parole casuali)
- Patch e aggiornamenti software regolari e automatizzati
- Protezione dei dati personali, ai sensi della normativa in materia (curiosamente, l’ENISA in merito cita una breve guida dell’autorità di controllo irlandese del 2020, piuttosto che una delle sue guide pregresse, forse perché più recenti)
Raccomandazioni tecniche
- Sicurezza delle reti (in particolare, tramite firewall)
- Antivirus su tutti i dispositivi ed endpoint
- Utilizzare strumenti di protezione della posta elettronica e della navigazione web – in abbinamento a formazione e consapevolezza
- Crittografia applicata a più livelli possibili (in particolare, utilizzando VPN per le connessioni)
- Monitoraggio della sicurezza, registrando l’attività dei sistemi anche per fini di manutenzione e risoluzione dei problemi, segnalando attività sospette
- Sicurezza fisica degli ambienti e dispositivi utilizzati
- Backup sicuri (soprattutto a tutela dagli attacchi ransomware), il più possibile separati, regolari, automatizzati e crittografati; in merito ENISA ricorda la “Regola 3-2-1”: conservare tre copie dei dati – archiviarle in due archivi/media diversi – avere almeno un backup esterno al perimetro logico-fisico aziendale.
A miglior specifica, l’ENISA come detto ha prodotto un’apposita infografica riassuntiva dei dodici punti fondamentali, utile anche per la formazione e consapevolezza interna alle aziende.
Contestualizzando il tutto al contesto pandemico, l’ente aggiunge alcune specifici suggerimenti più che attuali:
- rivedere le strutture di accesso remoto;
- rivedere i rapporti con i servizi cloud (richiamando anche le già citate linee guida ENISA per l’uso del cloud);
- implementare una corretta gestione dei dispositivi mobili;
- condurre un’adeguata formazione sulla consapevolezza circa i temi di sicurezza, specie quelli di maggiore allarme nel periodo pandemico;
- implementare siti web sicuri;
- condividere informazioni a livello nazionale e internazionale, specie sugli attacchi subiti, in particolare tramite gli ISAC (specificati nel seguente paragrafo).
Le iniziative richieste agli Stati dell’Unione
Infine il documento annota le raccomandazioni indirizzate agli Stati membri, onde supportare adeguatamente le PMI dei singoli Paesi:
- promuovere la cyber sicurezza in generale, ad es. tramite campagne congiunte con le associazioni di imprese onde sensibilizzare la collettività imprenditoriale sul tema;
- fornire linee guida e modelli mirati (qui a livello nazionale viene in mente il ruolo già svolto da AGID, oltre che dal Garante per la protezione dei dati personali);
- stilare norme di cybersicurezza incentrate sulle PMI (idem come sopra);
- rafforzare l’approccio risk-based con modelli adatti alle PMI (il documento menziona gli esempi di framework tedeschi e francesi in merito);
- rendere la sicurezza informatica accessibile, sia a livello di costi (ad es. con finanziamenti mirati, favorendo il pooling in comune tra le PMI ecc.) che di know-how (ad es. con l’accesso facilitato a linee guida e documenti specifici di supporto);
- promuovere la creazione di ISAC (ovvero centri di condivisione e analisi delle informazioni), anche tramite partenariato pubblico-privato.
Vedremo se in tempi di PNRR anche il nostro Paese riuscirà a far fruttare queste importanti indicazioni: come già detto in partenza la situazione è già caotica e critica, per cui ogni ritardo peserà in maniera decisiva.
Cyber security e PNRR: ecco perché può essere occasione di sviluppo per l’Italia