Perché progettare una cybersecurity sostenibile di lungo periodo per difendere il proprio business? La risposta emerge già chiaramente osservando l’anteprima dei dati del Rapporto Clusit 2022: “Nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi.
Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dello scorso anno.”
Portiamo la cybersecurity “dentro” imprese e PA: il cambio di passo che serve
Inoltre, per la prima volta dopo diversi anni i ricercatori di Clusit rilevano che “i cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli ben precisi: al primo posto c’è l’obiettivo governativo/militare, con il 15% degli attacchi totali, in crescita del 36,4% rispetto all’anno precedente, seguito dal settore informatico, colpito nel 14% dei casi (+3,3% rispetto al 2020)”. In Italia i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge quello dell’Industria che ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.
Pandemia e tensioni internazionali mettono a dura prova la cybersecurity
La recente pandemia ha accelerato una nuova ondata di cambiamenti tecnologici ed economici dirompenti, con diverse conseguenze, dirette e indirette, di lunga durata sia sugli ecosistemi economici e sui mercati, sia sulle tattiche, tecnologie e procedure (TTP) della criminalità informatica. Anche il crescente stato di tensione internazionale attuale ha messo a dura prova la sicurezza informatica, a causa del moltiplicarsi degli obiettivi più vulnerabili, ovvero lavoratori operanti al di fuori delle aree protette dell’organizzazione, ad esempio da casa, che utilizzano e scambiano risorse digitali più frequentemente. In questo contesto, le imprese anche di piccola e media dimensione e le PA devono considerare nuove strategie di difesa efficienti e sostenibili per i loro beni (come per esempio i dati), e le attività e i fornitori.
Le finalità degli attacchi cyber
Un altro fattore rilevante è dato dalla finalità degli attacchi cyber: il cybercrime si conferma la motivazione dell’86% dei cyber attacchi, in crescita rispetto all’81% del 2020 (+16% in termini assoluti), un trend che non accenna a diminuire. Tra gli attacchi gravi di dominio pubblico, l’11% è riferibile ad attività di Espionage e il 2% a campagne di Information Warfare.
Non bisogna dimenticare comunque che il cybercrime rappresenta una industria altamente remunerativa. Basti pensare che tramite le rivelazioni dell’account twitter Contileaks è stato scoperto l’indirizzo Bitcoin primario del gruppo criminale Conti, attore di primissimo livello nell’industria ransomware. Dal 21 aprile 2017 al 28 febbraio 2022 Conti ha ricevuto 65.498,197 BTC, cioè 2.707.466.220,29 USD.
Nonostante questo, non tutte le Nazioni sono ugualmente colpite. Secondo i recenti dati di Darktracer, riportati in Figura 1, nel periodo 05.2019 – 02.2022 sono state colpite 4.259 organizzazioni distribuite in circa 120 paesi. L’Italia è 6ª con il 4% degli attacchi ransomware. La fonte non registra nessun attacco alla Russia.
Quali le sfide da vincere per aziende e PA?
Aziende e Pubbliche Amministrazioni sono chiamate ad affrontare almeno tre principali sfide: la prima, riferita alla comprensione, continuativa, delle minacce alla sicurezza informatica; la seconda, che riguarda la promozione della cultura cyber, ovvero diffondere e promuovere i “Key Facts” della Cybersecurity anche ai non specialisti; la terza, gestire i rischi cyber, riducendo l’esposizione ai rischi per la sicurezza informatica in modo sostenibile, lavorando anche sul fattore umano.
La crescente consapevolezza dell’importanza della cybersecurity, secondo quanto riportato da Massimiliano Colombo, Market Leader Finance Cefriel, deve trasformarsi in un programma di azioni di breve-medio e lungo termine, da svolgere e monitorare in azienda. Un insieme di interventi che deve essere definito in accordo alle best practice cyber, ma calato in modo sartoriale sulla specifica realtà. Ogni azienda, infatti, presenta rischi specifici che devono essere identificati, valutati e ridotti in modo sostenibile.
Per affrontare queste sfide, occorre avere un approccio basato su una visione olistica, per definire i processi, agire in modo sostenibile, prioritizzare e decidere dove investire nel modo corretto le proprie risorse economiche. La cybersecurity stessa, di fatto, va considerata un processo, perché necessita di azioni incrementalmente complesse e continuamente aggiornate, proprio a causa della elevata dinamicità del cybercrime che evolve ad un ritmo vertiginoso. Questo rende la cybersecurity un processo oneroso sotto vari punti di vista, e come tale difficile da sostenere nel tempo. Le nuove minacce alla sicurezza e le problematiche legate alle tecnologie emergenti devono essere comprese e gestite assieme alle opportunità che ne derivano. Parlare di sostenibilità della cybersecurity significa quindi non soltanto riferirsi agli aspetti “energivori”, ma approcciare la tematica anche e soprattutto in termini di sostenibilità di governance, tecnologica, economica, di processo, umana e di conoscenza necessaria.
Su cosa focalizzare il lavoro per affrontare i rischi cyber
I fattori di successo, diretti e indiretti, per progettare e attuare una cybersecurity sostenibile di lungo periodo a difesa del proprio business sono molteplici, a partire dalla consapevolezza dei rischi per il proprio specifico contesto operativo e infrastrutturale e dall’attenzione verso il fattore umano, all’importanza di stimolare la “memoria muscolare” del Security Incident Response Team e di curare la comunicazione con gli stakeholder interni o esterni. Proviamo qui di seguito a fornirne un quadro più dettagliato in base a skill ed esperienze di Cefriel in ambito Cybersecurity.
Consapevolezza e strategia
La comprensione del rischio effettivo e potenziale è la leva che servirebbe a PMI, grandi imprese e Pubbliche Amministrazioni per definire priorità di investimento nella protezione del proprio patrimonio informativo aziendale. Le imprese dovrebbero poi chiedersi se hanno agito in modo strategico, affrontando il problema non solo con la “tattica” giusta (ad esempio, l’introduzione di un intervento quick-win per consentire ai dipendenti di lavorare in smart working all’avvio della pandemia), ma con la giusta visione di insieme (ad esempio, chiedersi se con lo smart working sistematico dei dipendenti si sono aggiunte falle di sicurezza e in quali “touchpoint” dell’azienda).
Elemento umano e allenamento
L’elemento umano è centrale nell’approccio alla cybersecurity, perché occorre agire su diversi soggetti: su chi può subire un attacco cyber (i dipendenti), chi deve difendere l’azienda da un attacco (Security Incident Response Team) e chi deve decidere, a livello di top management aziendale, in merito a quali investimenti introdurre per ridurre il rischio cyber e agire di fronte a un attacco cyber già avvenuto. Inoltre, gli interventi formativi indirizzati ai tre target possono essere di diverso tipo: azioni di awareness verso i dipendenti e di training / learning by doing verso i tecnici. Infine, per consentire di mettere in piedi un piano formativo strutturato e sostenibile, il CISO non deve lavorare isolato, ma deve essere “interconnesso” con il resto dell’azienda e le altre figure apicali. L’obiettivo delle iniziative di sicurezza informatica non deve quindi essere centrato solo sul testare la corretta configurazione tecnologica delle difese aziendali, ma anche sul comprendere la preparazione del team di Security Incident Response Team e, in generale, sullo stimolare la sua “memoria muscolare” (o la agilità cognitiva) in situazioni di stress, percepite come un vero e proprio attacco. In tal senso quando si parla di human element della sicurezza occorre considerare la sua importanza sia come elemento di attacco che team di difesa.
Interdisciplinarità e aggiornamento costante delle competenze
Tutte le figure professionali debbono essere coinvolte nei processi di sicurezza aziendale, la sicurezza è di e coinvolge tutti e non è solo appannaggio delle figure tecniche. Alcune azioni da introdurre per aumentare la resilienza ai rischi cyber richiedono interdisciplinarità, perché il cybercrime stesso agisce con attacchi che si basano sull’amalgama di molte discipline (ad esempio, non solo “tecnicismi cyber”, ma anche competenze in ambito di scienze comportamentali e marketing). Inoltre, non tutte le professioni evolvono così rapidamente come la sicurezza informatica. Nessuno può permettersi di rimanere indietro nella gestione della propria cybersecurity che passa, innanzitutto, dalle persone. In un’ottica di sostenibilità della cybersecurity occorre tenere allineate ed aggiornate le competenze di un gran numero di figure professionali, tutte coinvolte nella cybersecurity, proprio alla luce della interdisciplinarità citata poco prima. È un processo complesso che richiede tecniche di formazione ed apprendimento efficaci.
Comunicazione
Uno degli elementi critici nelle organizzazioni complesse è la comunicazione con gli stakeholder interni o esterni. È necessario ottimizzare la comunicazione tra i gruppi dirigenziali, i comitati consultivi, i team di leadership esecutiva e i CISO, le vittime, anche utilizzando la stampa ed i canali social. Un compito che spesso viene demandato ad altri, al DPO, o che affronta il CISO stesso, senza una specifica preparazione, o con interazioni non strutturate e non con cadenza regolare.
