Il rischio legato all’accadimento di un attacco informatico nella propria organizzazione è sempre più un evento certo. Se infatti il rischio è una misura di probabilità (con range misurabile fra 0 e 1 n.d.r.) allora, data l’incidenza e crescita degli attacchi su scala mondiale, verso qualsiasi tipo di entità e organizzazione pubblica o privata, questo valore di probabilità si sta avvicinando sempre di più al valore “uno”, ovvero rappresenta un evento che senza dubbio accadrà e quindi le aziende e imprese non possono più sottostimare il rischio di security come “qualcosa che alla mia azienda non può capitare” o come un evento che “figurati se arriva proprio a me e alla mia azienda!”.
Purtroppo, nella maggior parte dei casi la compromissione della sicurezza informatica è probabilmente già avvenuta e semplicemente non se ne ha consapevolezza. A peggiorare la situazione ha influito anche la recente emergenza pandemica, durante la quale il ricorso allo smart working ha causato una dilatazione della superficie di attacco con la conseguente aumentata esposizione al rischio.
Ma se oggi la valutazione e gestione del processo del rischio sono requisiti imposti anche dalle normative (NIS, GDPR, Perimetro Nazionale di Sicurezza Cibernetica), diminuire il valore dello stesso è possibile, mediante l’introduzione di misure di sicurezza e controlli di cui appurare l’efficacia, ovvero capaci di riportare il valore del rischio ad un livello residuo accettabile per il management e/o tale da poterlo trasferire mediante assicurazione.
Gli effetti della cronica sottostima del rischio security
La crescente digitalizzazione e connettività richiede alle aziende di investire per restare competitive ma ancora troppo spesso non si investe abbastanza in valutazione e gestione del rischio e soprattutto nella introduzione di misure di protezione veramente efficaci. Questa abitudine negli esigui investimenti in sicurezza informatica, specialmente per le PMI, dipende da budget spesso insufficienti, ma anche da una mancanza di quelle competenze in azienda che possano indirizzare le scelte sugli strumenti di sicurezza da adottare e sulle prassi di Governance della security (organizzative e procedurali) da impostare. Eppure, ad una analisi approfondita, questa condizione di perenne mancanza evidenzia una cronica sottostima del rischio di security ed una conseguente carenza di prioritizzazione di tutte le attività che potrebbero contribuire a valutare e a minimizzare il rischio. Con il risultato che, ad ogni nuovo report sulla minaccia e sullo stato della security in Italia, sembra che gli attaccanti siano sempre un passo avanti a tutti. Le conseguenze sono sotto gli occhi di tutti. Si sono verificati casi di PMI in cui la completa o parziale impreparazione al rischio security ha causato un impatto serio e rovinoso con indisponibilità di servizi della catena produttiva e impatti di perdite economiche o sulla reputazione aziendale fino allo scenario peggiore in cui le aziende coinvolte hanno preferito pagare gli attaccanti pur di non far emergere in cronaca il danno subìto.
Casi eccellenti e balzati alle prime pagine di cronaca riguardano principalmente le Corporate perché esse “fanno più notizia” indipendentemente dalle effettive misure di protezione adottate; tra queste: Enel, Campari, Geox, Luxottica, la Bonfiglioli di Bologna, il gruppo veneto Carraro, la Zambon (farmaceutica italiana) ma anche Tiscali, Ho.Mobile, (inizio 2021). Il caso della Maschio Gaspardo di Padova è rappresentativo degli stop produttivi (2017), ma anche quello dell’azienda Bellunese del Gruppo Epta (2019). Ma pur se le PMI non sperimentano il chiasso mediatico, certamente condividono con le grandi l’interruzione forzata delle attività e il disservizio.
Passare all’azione per mitigare il rischio security
Secondo le previsioni di Gartner a livello globale la spesa mondiale per la sicurezza delle informazioni, la tecnologia e i servizi di gestione del rischio crescerà del 12,4% per raggiungere 150,4 miliardi di dollari nel 2021 con una spesa per la sicurezza e la gestione del rischio che è cresciuta del 6,4% nel 2020. E in Italia? Secondo la ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano il 40% delle grandi imprese ha aumentato il budget in cybersecurity, mentre il 19% li ha diminuiti a causa delle difficoltà riscontrate durante la pandemia. Le PMI sono state caratterizzate da una grande “fatica” nel centrare i propri obiettivi di sicurezza: il 22% aveva previsto investimenti in sicurezza per il 2021, il 20% li aveva previsti, ma ha successivamente ridotto il budget a causa dell’emergenza; un terzo non ha un budget da dedicare (32%) e oltre un quarto delle aziende intervistate non si è dichiarata interessata all’argomento.
Complessivamente, comunque, la ricerca evidenzia come a causa della pandemia la spesa in Cybersecurity abbia rallentato la sua crescita assestandosi a 1,37 miliardi di euro, ovvero un + 4% rispetto al 2020 (contro il +11% del 2019 rispetto al 2018); di questi il 52% riguarda soluzioni di security, mentre il 48% interessa l’ambito dei servizi.
Non si deve però investire alla cieca o secondo le tendenze del momento. Non è efficace pensare che uno o una manciata di qualsiasi tool di security operino come una “bacchetta magica” risolutiva di tutti i problemi. L’analisi di rischio security serve propriamente a individuare le aree più critiche in azienda per poter intervenire. Molte aziende riconoscono gli incidenti dannosi solo quando è troppo tardi e gli effetti possono a malapena essere mitigati o fermati. Invece è opportuno individuare e identificare le aree di maggiore criticità per l’azienda che devono essere protette, per poi introdurre misure di prevenzione, detection e remediation di incidente come elementi cruciali per sostenere la continuità di business (servizi o prodotti). In una parola è necessario operare perché l’azienda diventi resiliente.
Abbassare il rischio security legato al network
Un primo passo verso l’efficacia nella difesa dovrebbe essere applicato al network aziendale perché rappresenta il crocevia di tutte le informazioni digitali del sistema informativo aziendale. Le caratteristiche che rappresentano valide ed efficaci misure di contrasto alle minacce informatiche riguardano: capacità di monitoraggio continuo del network e attuazione automatica di contromisure ai vari livelli dell’infrastruttura di rete (in depth defence), capacità di intervento per prevenire e mitigare eventuali movimenti laterali degli attaccanti, monitorare e individuare eventuali azioni evasive che gli attaccanti possono eseguire in casi di attacco persistente nel network (minaccia APT), cattura di header di pacchetti per individuare contatti di C&C da parte di malware o codice malevoli che volessero iniziare ad operare per l’attacco. Quale che sia la soluzione è necessario che si aggiorni puntualmente o che impari dall’environment in cui si trova. Feature di Machine Learning (ML) possono infatti consentire un fine-tuning dei parametri di sensibilità̀ del device stesso rispetto al rapporto “tipo-minaccia/tipo-risposta” oppure, identificando anche le vulnerabilità del network o dei suoi device, possono abilitare una previsione di attacco con la conseguente predisposizione di azioni di recovery (Una sorta di VA passivo e quotidiano).
Roberto Camerinesi esperto di Cybersecurity di Cyberevolution, e detentore con i suoi colleghi del brevetto tutto italiano sul LECS (Last Electrical CyberSecurity), spiega che “è una buona prassi ispirarsi al modello DEFCON (acronimo di Defense Readiness Condition n.d.r.) degli Stati Uniti per le guerre termo-nucleari, in cui si hanno diversi livelli di allertamento e ad ognuno dovrebbero corrispondere azioni progressivamente stringenti e mirate al contrasto dell’avversario. La detection di un attacco informatico può avvenire in molti modi: sulla base di IOC, durante le fasi di Threat Hunting, analisi pattern noti o complementari, firme hash, ispezione anomalie di struttura nei pacchetti rete, anomalie statistiche basate sul timing, blacklist e molto altro, ed è necessario essere pronti e capaci, ma anche efficaci nell’attuazione di misure di contrasto e mitigazione della minaccia, fino ad arrivare nel caso peggiore ad attivare contromisure “definitive”, mediante l’interruzione del collegamento elettrico come attuazione del paradigma “stacca la spina e proteggi tutto”. Certamente il supporto di un motore ML a monte permette di ottimizzare sia le valutazioni di sicurezza, ovvero di postura della sicurezza, sia le azioni di contromisura da attuare per ottenere complessivamente un “ammortamento” del rischio security per l’azienda”.
Serve insomma un set di capacità e di strumenti appositi che operino insieme per salvaguardare la salute dell’azienda dal rischio di contagio da malware e dalle rovinose conseguenze. L’invito è quello di passare all’azione, valutare il rischio security e introdurre difese proattive, perché se non ora, “dopo”, l’attacco, potrebbe essere troppo tardi.
