Nel mondo produttivo e in quello dei servizi si è assistito alla digitalizzazione delle operazioni. In ogni dove, ormai esiste un nodo IP connesso in rete ad altri nodi. Un ambiente a rischio di attacchi cyber in grado di recare grave danno all’operatività delle aziende. Organismi internazionali comunicano e rilasciano dati che danno il senso di quanto sia allarmante. Il rimedio: considerare la cybersecurity come un asset al quale non può rinunciare.
In un mercato digitale, tutti devono essere in grado di operare in modalità aperta e connessa. Per continuare a crescere un’azienda ha bisogno che i dati circolino in maniera sicura sia fuori che dentro i tradizionali perimetri di rete. Lo scambio di dati tra l’azienda, i suoi clienti, i fornitori, il personale è ormai sempre più frequente, continuo e costante. Connettività, digitalizzazione, innovazione sono importanti fattori di crescita, ma allo stesso tempo, espongono le aziende a tutta una serie di rischi dall’esterno. La sicurezza informatica non va dunque considerata un costo superfluo, ma, al contrario, una precondizione indispensabile per consentire la continuità operativa di ogni azienda.
Il mondo manifatturiero è in evoluzione e si deve approcciare cum grano salis alla cosiddetta Internet delle Cose (Internet of Things), un ambito in cui convergono la miniaturizzazione e specializzazione dei dispositivi digitali e l’interazione sempre più massiccia tra questi oggetti “intelligenti e connessi”.
La gestione di dispositivi IoT, incluso l’aggiornamento del software alla base del loro funzionamento, diventa fondamentale per la sicurezza del sistema e di tutto ciò che a esso è correlato. Infatti, l’aggiornamento del software oltre al rilascio di nuove funzionalità, consente anche di risolvere dei problemi di sicurezza attraverso l’introduzione di nuovo codice atto a rispondere alla variazione operativa degli attacchi intrusivi.
Per elaborare le strategie per la difesa informatica, gli esperti della sicurezza devono per prima cosa conoscere a fondo la propria azienda. Le infrastrutture di rete e le intranet sono cresciute e si sono estese aggiungendo sempre più dispositivi, funzionalità e tecnologie; l’architettura digitale di un’azienda di una certa dimensione è solitamente molto complessa. Gli addetti IT alla sicurezza spesso non hanno visibilità di tutti i sistemi sotto il loro controllo e si concentrano solo su quelli su cui ci sono problemi noti che richiedono soluzione. È però quasi impossibile predire le metodologie e le tecniche di attacco che sono in continua e costante evoluzione. È quindi necessaria una visione d’insieme degli eventi per capire dove concentrare l’attenzione e stabilire in tempo reale le priorità per la Cyber Defense.
Per quanto riguarda il quadro normativo italiano, fin dagli anni novanta è stato introdotto il cosiddetto crimine informatico, al fine di rendere perseguibili i reati commessi sulla rete. Negli anni duemila c’è stata una sempre più crescente consapevolezza da parte delle autorità dei rischi derivanti dalla minaccia cibernetica e della necessità di dotarsi di strumenti adeguati per affrontarla. A partire dal 2011, l’Italia ha cominciato ad adeguare il quadro normativo nazionale alle nuove esigenze di cybersecurity, sempre più rilevanti al fine di proteggere la sicurezza e la crescita economica del paese.
Il 2013 ha segnato una svolta nella trattazione italiana della cybersecurity, introducendo importanti documenti nel quadro normativo nazionale. Inoltre, nello stesso anno, il centro di ricerca di Cyber Intelligence and Information Security (CIS) dell’Università Sapienza di Roma ha elaborato il documento: 2013 Italian Report on Cyber Security: Critical Infrastructure and Other Sensitive Sectors Readiness, in collaborazione con il Dipartimento Informazione per la Sicurezza (DIS) dal quale si evince una scarsa consapevolezza di quanto potenzialmente si possa già essere obiettivi sensibili ad attacchi cyber che potrebbero causare notevoli perdite in termini economici e tecnologici.
Per poter definire meglio il quadro nazionale il Rapporto propone anche un indice di cyber security readiness composto da quattro indicatori: l’indice di consapevolezza, l’indice delle politiche adottate, l’indice delle capacità di difesa e l’indice di indipendenza dall’esterno. I risultati mostrano come le aziende di servizi siano meglio preparate rispetto agli altri settori mentre la Pubblica Amministrazione resta il fanalino di coda.
Per quanto riguarda il 2016, il Rapporto CLUSIT sulla cybersecurity evidenzia che il crimine informatico continua la sua inesorabile crescita, il numero di attacchi registrato è il più alto dell’ultimo quinquennio, circa 1.012 nel 2015 (contro gli 873 del 2014). Una crescita del 30% nel 2015 rispetto all’anno precedente delle attività riconducibili al crimine informatico in Italia. Il rapporto segnala inoltre un incremento significativo degli attacchi ai servizi online e Cloud +81% rispetto al 2014, così come in aumento sono gli attacchi alle piattaforme di blogging e gaming che registrano un +79% rispetto all’anno precedente.
Tra i settori che hanno registrato il maggior numero di attacchi, l’Automotive (+67%) e la Ricerca ed Educazione (+50%), tutti riconducibili per lo più ad attività di spionaggio. Il Rapporto include anche un capitolo che introduce l’evoluzione dell’ecosistema criminale nel Dark Web, la parte nascosta del web che è il luogo in cui altri attori beneficiano di condizioni di pseudo-anonimato e che vede la presenza di hacktivists e soprattutto di terroristi industriali.
Una delle soluzioni per contenere il rischio di “invasione” è la cosiddetta Cyber Resilience, ovvero la costante analisi della capacità di resistenza di fronte alle minacce e la tensione nel cercare di recuperare lo status quo precedente all’evento emergenziale, adattandosi alla nuova condizione e trovando eventualmente modalità alternative di comportamento, di operatività e di funzionamento del business.
La forte connessione tra il mondo del cyber e della resilienza è emersa in un sondaggio condotto da Marsh in collaborazione con DRII (Disaster Recovery Institute International). I risultati evidenziano che la resilienza dei sistemi informativi gioca un ruolo fondamentale nel raggiungimento degli obiettivi di business, e il loro malfunzionamento può avere un impatto importante sulla reputazione aziendale.
A questo proposito, i membri del CRO Forum, un gruppo di ricerca che riunisce i Chief Risk Officer di grandi imprese multinazionali, hanno individuato quattro pilastri su cui una struttura di Cyber Resilience dovrebbe fondarsi.
Il primo è la preparazione, ovvero una fase che prevede l’individuazione degli asset fondamentali dell’impresa, la capacità di affrontare diversi livelli di rischio, lo stabilire un corretto risk appetite e l’integrazione del risk management nella struttura aziendale.
Il secondo pilastro è la protezione, per raggiungere la quale è necessario garantire l’immediatezza della reazione ad un evento avverso e fare in modo che sia uno schema solido e ripetibile, condurre attente valutazioni delle minacce, potenziare la gestione sinistri e promuovere l’educazione e la formazione del personale, se possibile anche con esercizi di simulazione.
La terza fase è quella di analisi, promuovendo lo sviluppo e l’aggiornamento continuo delle capacità di monitoraggio e rilevamento di anomalie e minacce.
A cui segue la fase di sviluppo, attraverso la creazione di un database completo degli incidenti, una “memoria storica” dell’azienda che sia da supporto all’attività formativa e consenta di affrontare con maggiore esperienza gli accadimenti futuri.
Anche il comparto assicurativo sta maturando specifici prodotti assicurativi legati alla cyber security. Le imprese devono essere in grado di gestire i rischi: pesarli, mitigarli ed eventualmente trasferirli. Aiutare le aziende nella valutazione dei rischi è in genere un’attività per consulenti, più o meno specializzati. Un caso a parte è il rischio legato alla sicurezza digitale delle informazioni, che può rovinosamente influire sul futuro e la sopravvivenza stessa dell’azienda, per cui la capacità di capire, valutare e rimediare a questi rischi diventa cruciale.
Le polizze cyber-risk esistono già da alcuni anni, per usufruirne, le aziende devono attivare un percorso integrato di gestione del rischio ed includere l’ambito cyber. La copertura assicurativa di tali rischi è infatti l’ultimo tassello di un processo strutturato, che parte con l’analisi della realtà specifica dell’azienda: tipo di business che conduce, tipo di attività che implementa, mercato di riferimento, fino alle caratteristiche dell’infrastruttura tecnologica.
Il beneficio finale che le aziende possono trarre da questo tipo di copertura risiede fondamentalmente nella tutela finanziaria del bilancio d’impresa. Ad oggi, le maggiori richieste assicurative provengono da aziende molto grandi, con esposizione all’estero. In futuro si prevede che anche le piccole-medio imprese inizieranno a prendere coscienza dei propri rischi, soprattutto se fanno parte dell’indotto e della supply-chain delle grandi aziende.
A questo proposito, il Laboratorio Nazionale di Cybersecurity del CINI, ha presentato il Framework Nazionale per la Cybersecurity pensato e realizzato per aiutare le aziende nella valutazione del rischio cyber. Il Framework spiega come affrontare la cyber security con un approccio omogeneo, per ridurre i rischi legati alle minacce.
Il documento è basato su un altro strumento metodologico, il “Framework for Improving Critical Infrastructure Cybersecurity” emanato dal NIST (che opera per la prevenzione dei rischi alle infrastrutture critiche) ma ampliato e attualizzato per il contesto italiano per rappresentare una guida per la Piccola Media Impresa italiana volta a incrementare il livello di awareness sulla cyber security con raccomandazioni per il top management.
Frutto di mesi di lavoro di un team di esperti e accademici, il documento è stato poi oggetto di consultazione pubblica per un ulteriore raffinamento, correzione di eventuali errori e integrazione di suggerimenti e migliorie.
Il risultato è un documento condiviso con tutta la comunità di security italiana. I principali obiettivi del Framework sono semplificare, aumentare la consapevolezza e tutelare il patrimonio dell’azienda. Una qualsiasi PMI anche alle “prime armi” in materia di sicurezza può quindi implementare il framework autonomamente seguendo tabelle e relative linee guida di implementazione strutturate per categorie ad alta priorità. Senza bisogno di specifico background, si può valutare il livello di rischio esistente, avviando le decisioni per abbassare il livello di rischio fino al limite accettabile e contemporaneamente decidendo per il rafforzamento delle difese in azienda rispettando il profilo di rischio target. Sicuramente nella fase di lavoro dedicato alla protezione saranno necessari skill specifici di risk management e di security che devono essere erogati da esperti del settore.
Infine, l’istituzione di partnership pubblico-privato rappresenta una sfida importante per il futuro, dalla quale dipenderà il successo delle politiche adottate.
L’organizzazione di tavole rotonde di condivisione e scambio di informazioni tra istituzioni pubbliche e settore privato, nonché università e istituti di ricerca, dovrebbe rappresentare una priorità, sull’esempio di iniziative di altri paesi europei. La cybersecurity non è solo un’esigenza ma anche un’opportunità in termini di capacità industriali e ricerca. Per questo, il sistema di intelligence nazionale non può non valorizzare il ruolo dell’Università e dei think tank nazionali che operano attivamente in questi ambiti e si pongono come un’eccellenza – non sempre adeguatamente conosciuta – a livello mondiale.
Gli studi di settore, hanno altresì rilevato che la maggior parte degli attacchi a danno dei sistemi informatici viene effettuata grazie a una componente di fattore umano, sia questa consapevole o inconsapevole. In entrambi in casi è comunque decisiva per portare a termine un attacco con successo.
Anche un soggetto apparentemente marginale all’interno di un’organizzazione ma non dotato di adeguate protezioni di sicurezza, può essere utilizzato come base per portare attacchi al cuore dell’organizzazione stessa. Una volta sferrato l’attacco, può iniziare un pericoloso effetto domino in grado di interessare anche le organizzazioni collegate, anche se dotate di difese evolute. Le soluzioni tecnologiche, quindi, non possono da sole assicurare l’impenetrabilità di un sistema. Innanzitutto le organizzazioni devono definire e istituzionalizzare al loro interno una cultura della sicurezza informatica, in modo tale che siano scongiurati comportamenti, consapevoli o inconsapevoli, comunque inappropriati per la sicurezza.
In conclusione, il cyber crimine sarà uno degli elementi che interesseranno nel tempo le aziende, indipendentemente dalle loro dimensioni. Ogni azienda deve intraprendere la strada che la porti in ambiti più sicuri, pena l’interruzione delle attività e gravi ripercussioni nella capacità operativa.
