I dati dell’ultimo Rapporto Clusit uscito ad ottobre e relativo al primo semestre 2021 confermano la tendenza al rialzo degli attacchi informatici, iniziata nel 2020, soprattutto quelli motivati da cybercrime e information warfare. Nonostante queste evidenze, frutto di analisi su reali e frequenti eventi incidente, ancora tante aziende italiane, su questi temi, stentano ad essere pienamente consapevoli dei rischi di sicurezza informatica. La cronica sottovalutazione dei rischi digitali scaturisce dalla falsa convinzione di non essere di interesse come target o dalla falsa percezione di saper affrontare e risolvere un incidente informatico se dovesse presentarsi l’evento. Dalle evidenze del Clusit sui successi degli attaccanti è chiaro come questa sia una falsa sicurezza.
Per proteggere la propria azienda e per prepararsi correttamente ad un evento incidente è necessario capire il rischio informatico e affrontarlo in modo efficace. Gli interventi di protezione e di prevenzione contribuiscono a rendere l’organizzazione più preparata ma non sempre immune, tanto che anche il processo di incident handling deve essere predisposto e testato accuratamente. Se impostato nel modo giusto anche l’eventuale evento incidente permette di restare operativi sotto attacco e di minimizzare le perdite. Ma la buona regola della rivalutazione periodica nella postura di sicurezza non dovrebbe mai essere dimenticata.
Indice degli argomenti
La percezione distorta sulla sicurezza informatica
L’evoluzione tecnologica e il progressivo incremento delle prestazioni hanno contribuito alla diffusione pervasiva delle tecnologie digitali, oggi accessibili alla maggioranza della popolazione. Anche le differenze di prodotto fra diversi vendor si sono uniformate tanto che oggi i prodotti hanno prestazioni simili. Ad esempio, tutti i firewall fanno lo stesso mestiere e più o meno nello stesso modo.
Nel tempo, tuttavia, non è cambiata molto la preparazione dell’essere umano ancora soggetto ad errori e debolezze; tanto che il vettore di attacco più efficace è il phishing. Questo vuol dire che la cultura delle persone in tema di sicurezza e rischio informatico ancora è insufficiente. Alcune azioni banali si compiono con eccessiva leggerezza, indistintamente se in ambito personale o lavorativo con il risultato di facilitare gli attaccanti.
Molte aziende, inoltre, non hanno un adeguato livello di percezione del rischio informatico e delle conseguenze che ne derivano e spesso ancora commentano: “non abbiamo mai avuto problemi del genere e non vedo perché dovremmo averli…”. Ma soprattutto per tante aziende la spesa per la sicurezza informatica è sempre stata considerata come una piccola parte della spesa IT con tutte le erronee conseguenze che ne derivano.
Le aziende sottovalutano maggiormente, i rischi, causati da convinzioni personali e non oggettive: la convinzione di essere al sicuro dopo aver comprato tanta tecnologia, la sicurezza percepita come un costo o un problema fastidioso, che non è necessario affrontare (incuria). Tutti questi casi sono anche accomunati dall’errato concetto per cui la sicurezza informatica è un problema tecnologico, che resta confinato all’interno dei computer e per il quale se esiste un problema, basta chiamare l’esperto che lo risolverà ma, nel frattempo, ognuno torna alla propria vita, che non è impattata da quanto avviene nella dimensione digitale.
Ne abbiamo parlato con Domenico Caldarelli, Cyber Security Specialist di ITI Sistemi che ha commentato: “Ovviamente questo concetto è completamente sbagliato poiché oggi si è tutti connessi e fortemente legati ai propri singoli dati. Fare pochi investimenti sul tema della sicurezza, dal punto di vista tecnologico, vuol dire avere infrastrutture obsolete che non possono garantire gli standard di sicurezza adeguati e dal punto di vista culturale significa dipendenti impreparati, che nell’insieme rendono le aziende inermi di fronte a situazioni difficili. In generale le persone, e le aziende con esse, sottovalutano la capacità che ha un attacco informatico di impattare e colpire al di fuori dal contesto tecnologico; un attacco mirato al core business di un’azienda provoca la fuoriuscita o la perdita di dati, il blocco dei reparti e delle funzioni produttive, scatena crisi gestionali e porta a danni economici che possono arrivare a causare licenziamenti, e la chiusura dell’attività colpita, uscendo fuori dal perimetro informatico e danneggiando la vita delle persone nel mondo reale”.
Come impostare la protezione nel modo corretto
In termini preventivi è fondamentale introdurre nelle aziende metodologie avanzate di analisi costante del rischio cyber e della reputazione digitale, sia guardando internamente all’organizzazione sia eseguendo una valutazione dei principali collaboratori e delle terze parti. Queste prassi consentono di capire l’entità del rischio informatico aziendale evitando eventuali “punti ciechi” in azienda e presso i fornitori. I rating di sicurezza utilizzano una raccolta standardizzata di criteri ed eventuali strumenti ad hoc. Sommando i diversi fattori di rischio, è possibile calcolare un punteggio quantitativo aziendale e per ogni singolo fornitore con l’obiettivo di uniformarli ad un valore accettabile.
A livello di prassi di protezione un primo intervento necessario è quello legato alla consapevolezza e alla cultura della sicurezza in azienda evidenziando il livello della postura di sicurezza e tutti i rischi connessi: dal rischio di sottrazione di credenziali aziendali, al furto di dati, dal rischio di brand reputation rovinata, alla cifratura malevola dei sistemi informatici con conseguente blocco della produttività ed eventuale richiesta di riscatto.
Tutti i dipendenti dovrebbero essere formati sulla sicurezza informatica, per prepararli ad eventi fraudolenti anche al di fuori del contesto lavorativo.
La formazione sul phishing è molto importante per capire se una e-mail è una minaccia o meno, organizzando delle campagne esercitative; ma anche l’insegnamento della comunicazione sicura, evitando in primis di fornire le credenziali di un account e se strettamente necessario, farlo in conversazioni separate, possibilmente usando mezzi differenti (ad esempio: e-mail ed SMS).
È anche importante insegnare come abilitare, per tutte le utenze, l’autenticazione a più fattori. Su questi temi Mirko Raimondi e Giuseppe Catalano, Technical Managers, suggeriscono: “Parte del processo formativo potrebbe essere rappresentato da esercitazioni specifiche. Ad esempio, potrebbe essere interessante lasciare in giro delle pennette USB al cui interno inserire dei documenti malevoli, magari denominati “piano licenziamenti”, “stipendi” oppure “elenco_dipendenti_promozioni”, dopo aver messo in piedi un’infrastruttura capace di gestire questi eventi di finto incidente. Se un utente aprisse quel file, potrebbe essere rediretto su un portale interno nel quale sarebbe informato di aver fatto una cosa pericolosa. All’interno del portale potrebbero esserci dei video formativi su come comportarsi in questi casi. Successivamente sarebbe opportuno che un’azienda certificata si occupasse di verificare il livello di sicurezza. Oltre alla Security Awareness ogni azienda dovrebbe affidarsi ad un SOC H24 capace di servizi di Monitoring, Incident Detection & Reaction, dotato di soluzioni di MDR e capace di attuare azioni appropriate a valle di test di VA/PT”.
Niente panico in caso di attacco informatico
Se l’azienda si trova coinvolta in un incidente informatico è necessario attivare procedure e processi previsti per le situazioni di emergenza, coinvolgendo eventuali fornitori del servizio SOC se esternalizzato. Anche in questo caso una corretta formazione preventiva in azienda unita ad esercitazioni consente di mantenere la calma e di predisporsi alle analisi di Incident Response per una veloce disamina dell’attacco, minimizzazione degli effetti, contenimento del danno e impostazione di una remediation che eviti futuri simili accadimenti.
Se, invece, queste tematiche non sono ancora padroneggiate dal personale interno è opportuno, affidarsi ad esperti del settore ovvero ad aziende esperte in tema di Cyber Risk per risolvere il problema in tempi brevi.
Un accorgimento sempre valido che costituisce una best practice è la rivalutazione periodica della postura di sicurezza dell’azienda, ovvero l’aggiornamento periodico di tutte le informazioni relative all’assetto della sicurezza aziendale.
Ciò comporta un’attività di raccolta e analisi di tutte le informazioni scaturite da test di vulnerabilità e penetration test per impostare il patching e le manutenzioni, ma anche l’analisi di tutte le informazioni condivise e pubblicate, consapevolmente o involontariamente online, riguardo ad un’azienda, un prodotto, un fornitore, un professionista o un evento e che circolano sia su fonti pubbliche che sul Dark & Deep Web.
Il monitoraggio di queste informazioni consente di evidenziare gli eventuali attacchi informatici e i contenuti negativi che potrebbero condizionare la fiducia di clienti, investitori, organi di controllo e provocare ingenti perdite economiche. Gabriele Ellena, CTO di ITI Sistemi suggerisce di muoversi sulle tre direttrici di “cultura, protezione, controllo. L’insieme di questi tre concetti fornisce degli indicatori chiari su cosa rivalutare e come. Anche in questo caso, la valutazione fatta da esperti del settore aiuta ad identificare tutto ciò che serve e ciò che, invece, solitamente viene trascurato: le persone, il loro modo di rivolgersi al web, la gestione dei propri account sia personali che aziendali, i social, etc. Raggiungere il giusto livello di consapevolezza è il primo passo. Essere protetti da tecnologia valida e, soprattutto, correttamente configurata è il secondo sistema di difesa. Monitoraggio ed analisi sono alla base di una corretta gestione, sia ordinaria che straordinaria”.
Contributo editoriale sviluppato in collaborazione con ITI Sistemi
