Quanto è importante una Cyber Security efficiente?
L’evolversi della tecnologia apre a scenari dalle possibilità esponenzialmente grandiose, ma nelle mani sbagliate qualsiasi cosa può diventare pericolosa, soprattutto se parliamo di mondo IT. Sebbene l’Europa sia stata artefice di enormi miglioramenti in ambito Cyber Security, anche la cyber criminalità non rimane indietro, mutando modus operandi, variando nella tipologia di target e aumentando i rischi non solo per le aziende, ma anche per i singoli.
Un furto di dati non si estingue più in un classico ricatto di “dare per riavere”, l’oggi ci presenta una realtà sempre più preoccupante, dove non ci si limita a coinvolgere il brand in sé mettendo a rischio la reputation aziendale, ma dove rimane implicata la vita stessa dei singoli cittadini.
In questo presente fatto di disservizi dovuti a cyber attacchi, che preoccupano per la loro costanza e quotidianità, l’Italia non riesce a rimanere al passo degli eventi, con magri investimenti nel settore della Cyber Security, di cui vengono pagate giornalmente le conseguenze. Non sono di certo una novità le notizie degli ultimi giorni riguardo molteplici attacchi hacker, che hanno destabilizzato intere regioni italiane.
In occasione della ventesima campagna del Safer Security Day, abbiamo intervistato Enrico Caiazza, CTO di Sync Security, la realtà cyber security di Sync Lab, per confrontarci sulla situazione attuale e sui limiti che ancora ostacolano un corretto sviluppo della disciplina.
Nell’ultimo periodo i media stanno riportando notizie di attacchi hacker in corso anche qui in Italia. Viene spontaneo chiederci come sia gestita la Cyber Security italiana e come mai ci troviamo così tanto in difficoltà di fronte a questi attacchi.
Partiamo da un dato. È impossibile non registrare un significativo miglioramento sul piano della sicurezza IT aziendale, non solo in Europa, ma anche in Italia. Questo grazie alla spinta di iniziative europee (come l’attuazione del GDPR Reg. EU 2016/679), ma anche al lavoro dei singoli governi, è quindi oggettivo notificare un aumento della presa di coscienza sul tema Cyber Security. D’altra parte, inevitabilmente, possiamo anche osservare un aumento dei crimini informatici, rispetto ai quali il livello medio italiano in fatto di sicurezza di reti e sistemi risulta ancora arretrato.
Le cause vanno da ricercare nei deboli investimenti mossi a tutela delle singole reti aziendali, nell’assenza di un budget dedicato e di team specializzati. Basti pensare che ancora oggi molte aziende conferiscono le responsabilità di sicurezza alle stesse persone che gestiscono la parte IT e non a specialisti del settore.
Quindi IT e Cyber Security vanno gestite diversamente…
Non c’è altra strada. Bisogna ricordare che la sicurezza delle reti è un tema altamente pervasivo ed è proprio per questo che va affrontata a 360°, con un approccio sistemico e olistico. La Cyber Security è un processo e non solo un prodotto.
Un altro dato importante da riportare è che in Italia si percepisce una netta spaccatura tra le abitudini di grandi e piccole aziende. Ritiene che, rispetto alle grandi, le PMI non investano abbastanza?
Più che di scarsi investimenti, che ne sono la conseguenza, parliamo soprattutto di una mancanza di consapevolezza che spinge soprattutto le piccole imprese a non fare il passo necessario. Alle volte mancano addirittura gli strumenti metodologici e tecnologici per rendersi conto di aver subito un attacco!
Ciò che dobbiamo comprendere è che mentre in passato il crimine informatico agiva in maniera sistematica e più mirata, perché gli strumenti criminali informatici erano nelle mani di pochi, oggi gli attacchi si basano anche sulla facilità con la quale un target può essere “bucato”.
Nella sua esperienza, essendo Sync Security un riferimento per alcune grandi realtà del settore, crede che le cose stiano cambiando?
Ci sono aziende disposte a investire, aziende che investono male e aziende che, non sapendo cosa fare, non investono nulla nella sicurezza informatica. E questo è un fattore complesso da scardinare.
Sicuramente un fattore primario, che vede ad oggi molte PMI con un livello di sicurezza non adeguato, lo gioca proprio l’elevato costo che un servizio di Cyber Security richiede, a causa dell’elevata specializzazione e della carenza di competenze
Ma quali sono i rischi che corre in questo momento storico un’azienda non adeguatamente protetta? Nelle notizie degli ultimi giorni si è molto sentito parlare di ransonmware, ad esempio.
E a buon ragione. I ransonmware sono diventati “il terrore” di tutte le aziende. Negli ultimi anni hanno registrato una curva esponenziale di casi, oltre a un’evoluzione preoccupante: al giorno d'oggi, l’oggetto del ricatto non è più la restituzione dei dati (anche perché gran parte delle aziende si è dotata di sistemi di backup), ma la pubblicazione dei dati aziendali, con conseguenti ripercussioni in termini di brand reputation e violazione della privacy. Negli ultimi tempi purtroppo si è vista anche una preoccupante diversificazione del “business” dei ransomware che sono evoluti verso scenari a dir poco scabrosi. Parliamo ad esempio dei killware.
Che tipo di danni possono provocare questi malware?
Nel caso di un attacco ransomware i danni possono essere sia diretti che indiretti. Parliamo di blocco del servizio, perdita di produttività, svantaggio competitivo e conseguente perdita della clientela, danni dovuti ai costi di ripristino, al brand, oltre che legali e di proprietà intellettuale. Nel caso dei killware, invece, c’è un cambio di obiettivo, a favore di danni fisici alle persone, se non addirittura un attentato alla loro vita. È un concetto molto forte, ma di cui abbiamo già parlato qualche anno fa durante un convegno in ambito health: il rischio informatico inizia a intersecarsi anche con il rischio sanitario.
Consigliati da LinkedIn
Alla luce di queste informazioni e dei rischi possibili, un’azienda che volesse partire da zero, come dovrebbe approcciarsi al mondo della Cyber Security?
Ovviamente non possiamo fare un discorso parziale. Le aziende hanno necessità di un intervento a 360°, dunque è imprescindibile focalizzarsi su delle tematiche fondamentali.
Noi in Sync Security, ad esempio, ci assicuriamo innanzitutto che le basi siano attive e stabili: sicurezza perimetrale; difesa in profondità, least privilege, consapevolezza del perimetro esposto; controllo degli accessi fisici e non fisici alla rete e monitoraggio. Ma potrei andare ben oltre con la lista.
Possiamo considerare anche gli asset aziendali?
Chiaro, anzi, riteniamo che focalizzarsi sugli asset sia fondamentale: persone, organizzazione, processi, dati e naturalmente tecnologie.
Si dice che "Una catena è forte tanto quanto il suo anello più debole" e considerando che la maggior parte di incidenti di security è causata da errori umani, possiamo affermare che l’anello debole sia proprio l’operatore umano.
È necessario mettere in campo un grosso lavoro di sensibilizzazione per generare la cosiddetta cyber security awareness. In più, ormai con lo smart working e con le logiche della società moderna, vita lavorativa e privata tendono pericolosamente a mescolarsi, quindi è necessario lavorare ancor di più su questi temi con formazione e azioni mirate.
Spesso il tema della security si scontra con l’esigenza di garantire l’operatività quotidiana… si può parlare di una dicotomia della Cyber Security?
Questo è un tema chiave. Lavorare in maniera sicura ottimizza il lavoro ma inevitabilmente può gravare sulla usability, che è inversamente proporzionale. Questo perché la security è percepita come un’entità che pone dei blocchi e impedisce determinate azioni. Ma la Cyber Security è prima di tutto educazione alla sicurezza per lavorare in maniera protetta.
Genericamente si dice che “security is not usability”. Ecco, noi cerchiamo di supportare le aziende nell’identificazione del giusto trade-off tra security e usability, chiaramente il tutto è basato su un'attenta valutazione dei rischi incentrata non solo sulle minacce, ma anche sul budget disponibile e sul livello di accettazione del rischio che ogni cliente possiede e può permettersi in funzione del proprio business.
Alla base rimane la necessaria garanzia di un livello minimo di sicurezza, commisurato alle reali esigenze dell'azienda e lavorare congiuntamente per traguardare una corretta “postura cyber security”
L’utilizzo di AI e machine learning potrebbe avere impatti positivi sui limiti della Cyber Security?
Partendo dal presupposto che nulla può sostituire l'intuito e il sesto senso umano, personalmente credo che poter sfruttare la potenza di calcolo di reti di machine learning, in grado di elaborare milioni di dati e “imparare” dai comportamenti osservati sul campo, identificando in tempo reale possibili pattern di minaccia, sia un fattore che potrebbe sicuramente rendere la Cyber Security accessibile a una fetta maggiore di realtà aziendali, anche quelle più piccole.
Chiaramente un approccio di questo tipo riduce i costi e permette di ridurre anche i possibili errori umani.
In cosa speriamo per il futuro e qual è la strada che sta intraprendendo la Cyber Security?
La speranza è che l’evoluzione tecnologica permetta presto di rendere la Cyber Security un processo alla portata di tutte le aziende. Questo passa per un inevitabile processo di maturazione della sensibilità aziendale e per un processo di industrializzazione del settore Cyber Security, che potranno così garantire un elevato livello di qualità, ma scalando i costi e gli investimenti necessari.
L‘urgenza di nuove soluzioni è sempre più impellente, gli avvenimenti degli ultimi giorni ne sono la riprova. La Cyber Security è ad oggi una necessità urgente, sulla quale gli impieghi economici sono ridotti al minimo. Clusit parla di un investimento sulla sicurezza digitale in Italia ancora troppo basso rispetto alle reali necessità, soprattutto se confrontato con l’investimento medio a livello europeo.
Come emerso più volte, le competenze in Cyber Security sono ancora poche e dall’alto costo, e questa, oltre ad essere la causa di una sicurezza incrinata o assente, deve essere soprattutto la spinta a migliorarci anche culturalmente nella percezione del problema. Consideriamo che, nel 2022, i danni registrati ammontano a migliaia di miliardi, solo tra quelli dichiarati.
Non possiamo permetterci oltre di ignorare il problema, significherebbe ammettere di non avere a cuore le sorte e l’incolumità della propria attività.