cybersicurezza

IT, OT, elemento umano: come stimare in modo integrato le diverse fonti di rischio cyber

Home Sicurezza digitale
Indirizzo copiato

Pubblicato il 20 lug 2023
Enrico Frumento

Cybersecurity Research Lead

zero trust, Cyber,Security,Internet,And,Networking,Concept.,Information,Security,And,Encryption,
zero trust

La stima del rischio cyber è fondamentale ed allo stesso tempo difficile. Oggigiorno il rischio deve essere stimato in continuo per mantenere le promesse delle architetture zero trust e su tutti i fronti (IT, OT ed umani) sia come primo impatto, sia per quanto riguarda i rischi in cascata (rischi secondari).

La situazione è talmente aleatoria che avevo presentato la figura del Cyber Calamity Forecaster, sorta di moderno rabdomante che sa navigare le correnti segrete del cybercrime per distillarne una stima dei rischi a venire. I sistemi di stima del rischio cyber devono inoltre essere sostenibili, le decisioni affidabili e comprensibili. Tutti attributi che rendono il problema decisamente complesso. Ma al solito, se al centro delle stime del rischio cyber ci sono gli umani che cosa accade?

L’importanza di stimare il rischio cyber e le difficoltà nel farne una stima corretta

Come stimare in modo integrato le diverse fonti di rischio cyber

In un mio precedente articolo, ho evidenziato la necessità di ripensare alcune dinamiche della sicurezza informatica, ponendo al centro le persone. La Social Engineering, o meglio e più in generale, lo sfruttamento degli errori umani negli attacchi cyber alle organizzazioni, è da tempo la migliore strategia a disposizione dei cybercriminali.

Occorre quindi introdurre una nuova dimensione della sicurezza informatica, che a differenza di quella classica, che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. L’ipotesi alla base è invertita rispetto alla “normale” sicurezza informatica: il soggetto dei sistemi di difesa sono le persone e non le macchine. Le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche e non quelle informatiche o elettroniche. La fonte del rischio cyber non è un sistema informatico, ma una persona o un gruppo di persone in carne ed ossa. La ripianificazione della sicurezza partendo dall’elemento umano passa per 7 temi, secondo la vision del Cefriel.

Dopo aver affrontato i primi sei argomenti (primo, secondo, terzo, quarto, quinto e sesto) è ora il momento di guardare all’ultimo punto di questa trattazione: come stimare in modo integrato le diverse fonti di rischio cyber, quelle classiche dei sistemi IT ed OT, e quella derivante dall’elemento umano.

Come già raccontato in un precedente articolo

Human Risk Management

Si può facilmente pensare che organizzare qualche corso di sensibilizzazione alla sicurezza informatica e spedire di tanto in tanto qualche finta mail di phishing per posta elettronica possa evitare che il personale incappi in e-mail di phishing o che faccia un uso scorretto di login e password. Ma, come molte aziende stanno scoprendo, la formazione sulla sicurezza da sola non è sufficiente ad aumentare davvero la resilienza degli utenti e promuovere un sano comportamento cyber.

La formazione non è sempre adatta allo scopo: sono innumerevoli i programmi creati con una ricetta fallimentare, ad esempio corsi di formazione infrequenti, poco coinvolgenti e generici, con la speranza che i dipendenti non clicchino sulla prossima e-mail di phishing o magari con il solo scopo di potersi dichiarare conformi a standard o norme. In alte parole, come detto in un precedente articolo di questa serie, è estremamente difficile misurare il ritorno degli investimenti in formazione (i.e. ROTI), in termini di riduzione del rischio cyber rappresentato dalle persone[1]. Tant’è vero che molti programmi di formazione per gli utenti non riescono a fornire alle aziende una vera indicazione del rischio a cui sono esposte e, non fornendo un quadro completo del rischio umano, risulta altrettanto difficile misurare con precisione l’impatto complessivo della formazione.

I corsi di formazione, infatti, magari accompagnati da campagne di phishing simulate, sono spesso erroneamente visti come la soluzione ideale. Nonostante si possano erogare corsi adeguati (ed il Cefriel ha elaborato alcune metodologie funzionanti: cybersecurity advocates e spear training) e compiere simulazioni di phishing altamente realistiche e personalizzate, la formazione non è l’unico modo di risolvere il problema. Il personale deve “interiorizzare” la gestione quotidiana del rischio e conoscere le proprie responsabilità attraverso comunicazioni efficaci delle policy e una valutazione concreta dei rischi che rappresentano.

Lo Zero Trust (ZT) è un framework di sicurezza informatica che presuppone che nessun utente, dispositivo, servizio o connessione di rete possa essere considerato affidabile, anche se si trova all’interno del perimetro di rete dell’organizzazione stessa. La ZT applica una politica di sicurezza basata sul contesto, controlli di accesso a privilegi minimi e autenticazione rigorosa dell’utente. Lo scopo è quello di proteggere i dati dell’organizzazione ovunque si trovino e consentire solo l’accesso legittimo alle risorse e ai beni pertinenti[2]. In altre parole, non fidarsi mai ed eseguire sempre le verifiche mira a proteggere qualsiasi utente, dispositivo e connessione per ogni singola transazione.

Riassumendo, quindi, la “policy” ZT parte dal presupposto che non vi sia alcuna fiducia implicita concessa alle risorse, agli account o agli utenti, basata esclusivamente sulla loro ubicazione fisica o sulla proprietà delle risorse. Per implementare questo modello, dove nulla è considerato affidabile, è necessario un sistema di stima continua e capillare del rischi cyber, anche per gli utenti dei sistemi.

Il punto è che la maggior parte dei sistemi ZT stimano il rischio derivante dagli utenti indirettamente, utilizzando dati come il comportamento specifico puntuale della connessione o del terminale usato (es. i metadati della connessione, la localizzazione geografica, anomalie nelle richieste o nel terminale etc.). Sono molte le analogie con quanto già fanno i circuiti di controllo delle transazioni su carte di credito. Nessun sistema di stima del rischio si spinge a valutare gli utenti in quanto tali (es. la propensione personale a credere nel phishing, la comprensione tecnologica, il grado di cyber scetticismo, la profilazione personale). Questi parametri, sui quali torno più avanti, influiscono oggettivamente sul rischio cyber. Se quindi da una parte queste informazioni sarebbero cruciali, dall’altra è evidente che esiste una considerevole possibilità che si possa sforare fuori dai confini etici o addirittura di violare la privacy.

A picture containing text, screenshot, font, logoDescription automatically generated

Figura 1 I principi guida del modello zero trust in rapporto allo human risk

Al momento manca un modello di rischio affidabile della componente umana a cui affidarsi. I sistemi IT, ma anche i sistemi OT, hanno formalismi e standard ben documentati e condivisi per calcolare il rischio a partire da KRI (Key Risk Indicators) chiari. Nulla di tutto questo al momento esiste per le persone, e nulla esiste adatto ad una stima continua del rischio.

È acclarato che i sistemi di calcolo dei rischi cyber debbano considerare tutte le fonti di rischio dirette applicabili alle diverse tipologie di asset, tangibili ed intangibili, tecnologici ed umani, in modo integrato. Come fare è ancora un tema decisamente aperto, complicato da importanti questioni etiche e giuslavoriste. Per stimare correttamente il rischio cyber umano occorre difatti fare anche una profilazione delle persone, per avere una stima del loro panorama culturale e comportamentale di riferimento. Non è sufficiente raccogliere i dati contestuali come la geolocalizzazione degli accessi, l’analisi delle anomalie e incrociarle con i dispositivi utilizzati, come fanno le attuali soluzioni ZT. Una modellazione della persona a 360 gradi, però, rischia rapidamente di divenire illegittima.

Recentemente si è iniziato a parlare di Human Risk Management (HRM), come di una branca della gestione del rischio. Lo scopo generale dei sistemi di gestione del rischio umano è consentire ai professionisti IT e ai fornitori di servizi di misurare, mitigare e monitorare il rischio informatico umano senza ostacolare la produttività della forza lavoro e senza violare il rapporto etico e giuslavorista con il lavoratore. Le domande aperte sono molte, ad esempio:

  • calcolare in modo efficiente il rischio rappresentato dall’elemento umano
  • integrare questa fonte di rischio nelle altre fonti (i.e. IT, OT)
  • calcolare i rischi in cascata su vari tipi di asset
  • stimare il rischio umano in continuo, in una logica zero trust
  • mitigare il rischio in modo integrato e misurare l’efficacia e la sostenibilità delle contromisure

Human risk management: la stima del rischio umano in un contesto zero trust

In linea generale i principali compiti di un Cyber Risk Manager (CRM) sono:

  • gestire i rischi legati alla sicurezza informatica dell’organizzazione in linea con la strategia dell’organizzazione.
  • sviluppare, mantenere e comunicare i processi e i report di gestione del rischio.

La sua missione è quella di gestire in modo continuativo (identificare, analizzare, valutare, stimare, mitigare) i rischi legati alla cybersecurity delle infrastrutture, dei sistemi e dei servizi ICT pianificando, applicando, segnalando e comunicando l’analisi, la valutazione e il trattamento dei rischi. Il CRM stabilisce una strategia di gestione del rischio per l’organizzazione e garantisce che i rischi rimangano a un livello accettabile selezionando azioni e controlli di mitigazione. Questo “normale” ruolo del CRM deve essere condotto su tutte le fonti di rischio: IT, OT e umani.

Come anticipato sopra nel modello zero trust gli umani sono parte dei sistemi di cui occorre stabilire dinamicamente il livello di fiducia.

In riferimento alla figura sotto, in un contesto ZT, quando un utente chiede l’accesso ad una risorsa viene valutato dinamicamente il livello rischio associato e la concessione viene modulata di conseguenza (es. accesso parziale ad alcune informazioni). Questi i principali passi:

  • L’utente avvia la connessione al server,
  • La richiesta viene intercettata e valutata alla luce di informazioni di contesto e sulla base di un modello della persona da una sequenza di servizi: identity provider, MFA, behaviour analytics (a livello informatico). Tutte cose già utilizzate nei sistemi ZT in commercio, alle quali viene aggiunto un modello human risk.
  • Lo human risk viene valutato complessivamente sulla base di differenti variabili misurate a priori: profilazione della personalità, profilazione della sua comprensione della tecnologia (es. tramite HAIS-Q), profilo di rischio di quella specifica persona, modello comportamentale, eventi passati ed incidenti (es. performance in simulazioni di phishing), performance nel training, portfolio gestito etc.
  • Le informazioni contestuali vengono raccolte e inviate al Policy Decision Point (PDP) che valuta la richiesta e la inoltra al Policy Enforcement Point (PEP) se la richiesta rientra nella policy per le azioni concrete.
  • Lo spazio informativo viene microsegmentato, ad esempio concedendo l’accesso limitato ad alcuni asset (es. l’accesso alcuni documenti o servizi interni vengono redatti, limitati o negati). In questa fase possono anche essere usati sistemi di controllo degli accessi basati sui ruoli (RBAC) o sugli attributi (ABAC).
  • Analoga trafila viene svolta ovviamente nel caso in cui a richiedere l’accesso siano utenti esterni o dispositivi managed (es. desktop, printer, sistemi di rete, dispositivi at-the-edge, IoT ed OT, etc.) per i quali è prevista genericamente la raccolta di informazioni legate alla identità, l’igiene del dispositivo e le sue analitiche di dettaglio.

Va da sé che la parte veramente delicata di questo sistema è proprio lo Human Risk model che è fortemente a rischio di violazioni nel campo della privacy, della dignità delle persone, dell’accesso a informazioni sensibili e in generale storture dovute a bias decisionali (es. fairness della AI che prende le decisioni dentro al PDP). Questo è un problema importante: se da una parte è chiara l’esigenza di considerare tutti questi aspetti per una radicale logica di accesso zero trust, dall’altra il rischio di “esagerare” è elevato. Una possibilità attualmente sotto indagine è quella di usare la crittografia omomorfica: usando solo dati cifrati un sistema decisionale potrebbe compiere le sue valutazioni (che debbono essere “fair”), senza conoscere mai i dati in chiaro. Un’altra opzione è quella del federated training.

Il tema è dibattuto nel mondo della ricerca e in Cefriel lo affronteremo in un progetto Europeo finanziato dal programma SESAR, di prossima attivazione, SEC-AIRSPACE, dove lo declineremo per la People Analytics e la formazione.

Conclusioni

Al Cefriel abbiamo iniziato ad occuparci del tema nel progetto DOGANA nel quale avevamo sviluppato un modello di calcolo del rischio cyber alimentato dai risultati della campagna di phishing simulato[3]. L’evoluzione delle tecniche di social engineering con attacchi ad-personam, la crescita della semantic social engineering, coadiuvata dalla recente evoluzione dei sistemi AI hanno reso obsoleto il modello proposto. È diventato evidente che per valutare lo human risk occorresse rifocalizzare molti aspetti della cybersecurity intorno alle persone e capire tutte le variabili in gioco. Da qui la serie di articoli citati nella premessa. Il problema ha assunto rapidamente connotazioni etiche e giuridiche per via del conflitto fra rendere sicuro un sistema e il fatto che al centro ci sono le persone. Un dilemma di complessa risoluzione.

Come raccontato in un precedente articolo, i Social Driven Vulnerability Assessment (SDVA, i test di phishing simulato) come ogni VA o PT, sono un campionamento estemporaneo del rischio cyber che perde di validità al cambiare di tantissime variabili, in primis le capacità del cybercrime. Se sostituiamo al posto di SDVA un modello di Human Risk Management invece entriamo nel paradigma della continuous security lato human element. Ignorare questo importante quesito di ricerca è oggigiorno impensabile: oltre il 95% degli attacchi che vanno a segno è compiuto facendo leva su qualche tipo di errore umano (fonte WEF). La Social Engineering è la migliore strategia di attacco oggi esistente, ed è spregiudicata, merita quindi tecniche di difesa all’altezza.

Il rischio di natura umana inoltre va integrato, con le altre fonti di rischio presenti in azienda, principalmente IT ed OT (nel caso ci sia la parte manufatturiera). È infatti importante avere una gestione olistica delle fonti di rischio e delle loro conseguenze in cascata (si parla di rischio primario e rischi derivati)[4]. In generale è già fattibile integrare rischi IT con rischi OT, occorre completare il passo successivo.

Note

  1. Con rischio cyber rappresentato dalle persone includo, come già discusso in precedenti articoli, tutte le fonti di rischio derivanti da errori umani. Quindi sia quanto deriva da impiegati in caso di phishing sia dallo staff di difesa che sottostima una situazione di emergenza.
  2. Si veda ad esempio “what is zero trust?”, https://www.ibm.com/topics/zero-trust oppure “Zero trust: cosa significa e perché microsegmentare la sicurezza”, https://www.zerounoweb.it/techtarget/zero-trust-cosa-significa-e-perche-microsegmentare-la-sicurezza/
  3. Si veda la pubblicazione E. Frumento,”Cybersecurity and the evolutions of healthcare: challenges and threats behind its evolution”, book chapter in m_Health between reality and futures, P. Perego, G. Andreoni, E. Frumento (Editors), Springer, EAI/Springer Innovations in Communication and Computing, 2018 (in press)
  4. Si veda ad esempio il lavoro fatto da Cefriel nel progetto HERMENEUT, E. Frumento and C. Dambra, “The HERMENEUT Project: Enterprises Intangible Risk Management via Economic Models based on Simulation of Modern Cyber Attacks,” ResearchGate, Jan. 2019, doi: http://dx.doi.org/10.5220/0007413504950502.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • scenari

    IA, le linee guida internazionali: quali spunti per il G7 a guida italiana

    08 Mar 2024

    di Alessandro D’Amato e Stefano da Empoli

    Condividi

Prossimo

IA, le linee guida internazionali: quali spunti per il G7 a guida italiana

Articolo 1 di 2