Sebbene la sintesi non sia mai prudente riguardo a tematiche complesse come la sicurezza informatica e la cyber security, chi scrive è sereno nell’assumersi la responsabilità nel valutare il bilancio del 2020 almeno come “negativo”. Sia che guardiamo all’Internet come ecosistema, che al sistema Paese (con particolare riferimento ma non esclusivamente alle infrastrutture digitali della PA) fino ad arrivare al mondo produttivo italiano, solo basandosi sulle informazioni pubblicamente disponibili si può notare come la capacità di garantire sicurezza e resilienza dei servizi sia stata messa a dura prova nell’infausto bisesto appena concluso, con un livello di escalation senza precedenti.
Il Rapporto Clusit recentemente aggiornato al primo semestre 2020 evidenzia come gli attacchi pubblicamente noti in tale periodo siano stati pressoché gli stessi (come numerosità) dell’intera annualità 2014. In pratica, se il trend fosse confermato fino a fine anni, in sei anni gli attacchi gravi e pubblicamente noti sarebberp raddoppiati. Purtroppo una valutazione peggiorativa è possibile anche in termini degli impatti dell’insicurezza.
Cyber security, aumentano le vittime
Da un lato aumenta la “base imponibile” a causa dell’incremento del numero delle vittime, in quanto ormai gli attacchi con effetti economici diretti o comunque a breve termine apportati in particolare dal cyber crime (la causa di quasi l’85% degli incidenti noti) coprono tutti i settori sia in ambito pubblico che privato.
Ciò vuole anche dire che l’impatto medio per attacco si è ridotto, in quanto il crimine informatico persegue nell’industrializzazione delle proprie tecniche e ricorre preferibilmente ad attacchi “semplici” che assicurano un bottino facile, come nel caso dei ransomware più diffusi: in questi casi, si privilegiano infatti “riscatti” (per ottenere i dati fraudolentemente cifrati, per sbloccare i sistemi di cui assumono il controllo, per interrompere un attacco volto a sopraffare la rete di traffico anomalo, etc…) che siano sostenibili per le vittime, inducendo il pagamento ed eventualmente anche una successiva reiterazione sugli stessi bersagli.
Quanto detto sopra non porti a pensare, soprattutto per le organizzazioni di maggiori dimensioni, che il problema possa essere superato con facilità con bassi costi di ripristino o mediante l’uso delle tecnologie best of breed che tali soggetti possono mettere in campo. Accanto ad un rumore di fondo sempre più elevato di situazioni come quelle descritte sopra, coesistono gli attacchi “mirati” che accadono con frequenza sempre maggiore e che stupiscono sia per il grado di sofisticazione raggiunto, sia per la notorietà ed il presumibile (e ragionevolmente esistente) elevato grado di preparazione delle vittime. Abbiamo avuto anche in Italia i nostri casi illustri: ministeri, multinazionali, infrastrutture pubbliche come lo Spid, cripto valute, per citare alcuni degli ambiti in cui si sono verificati i casi delle ultime settimane. Per renderci conto di quanto sia straordinario questo scenario, è sufficiente pensare che fino a pochi anni fa per accostare tra loro contesti così diversi e così rilevanti nel novero delle vittime in Italia, avremmo dovuto prendere in considerazione un periodo di anni.
Tecniche di attacco più complesse
Tornando agli impatti, la capacità di generare danni diretti e indiretti degli attacchi informatici (sia generalizzati che mirati) sta crescendo in modo preoccupante. Il caso Campari, in Italia, è il più evidente di questo fenomeno: oltre all’ormai classica cifratura i dati, gli attaccanti hanno esfiltrato le informazioni rendendo possibile un’ulteriore forma di ricatto, ovvero quella della rivelazione/rivendita dei segreti aziendali.
Questa preoccupante evoluzione la si osserva anche negli attacchi malware industrializzati, in cui il ransomware non è solo un’arma, ma anche il cavallo di troia di ulteriori azioni, le più disparate (lasciare aperte delle backdoor per futuri attacchi, aggredire altre aziende della filiera, etc…).
I database dei grandi data breach
Tale evoluzione concorre ad un ulteriore aspetto che aggrava gli impatti potenziali nel futuro, rispetto a quanto accaduto nel 2020 e negli anni precedenti: gli attacchi che presumibilmente non causano nell’immediato impatti significativi, contribuiscono in realtà ad aumentare il livello generale di rischio dell’ecosistema digitale. Come? Si considerino i grandi data breach degli ultimi tempi: centinaia di migliaia di dati anagrafici esfiltrati dai database bancari, dai grandi provider di posta elettronica, più recentemente dai provider di telefonia e da alcune pubbliche amministrazioni. Singolarmente, questi attacchi non hanno determinato il furto di informazioni rilevanti, ma vanno pian piano ad ingrassare i database del dark web contenenti informazioni sempre più dettagliate e correlabili tra loro che si riferiscono a tutti noi come privati cittadini e/o professionisti e lavoratori.
Sono questi grandi database che consentono di realizzare frodi sempre più difficili da individuare (ricordiamo che in tutto il mondo il phishing è cresciuto del 600%, secondo i dati della Polizia Postale riportati nel Rapporto Clusit, in particolare sull’onda emotiva del Covid-19), come le cosiddette Business Email Compromise (tipicamente la mail fasulla riferita ad un vero dirigente che chiede ad una persona nell’amministrazione di effettuare un pagamento relativo ad un vero fornitore per una prestazione reale, verso un conto corrente che però è fraudolento).
Gli attacchi alla filiera
Il 2020 ha visto crescere anche gli attacchi su larga scala effettuati agendo sulla filiera dei fornitori (il caso SolarWind-GovernoUsa-Microsoft è il più noto), sui servizi ed sulle tecnologie (anche di sicurezza) utilizzati da organizzazioni di livello enterprise, soggetti critici della pubblica amministrazione o infrastrutture critiche.
Questi attacchi non sono mai mancati, ma non sono mai avvenuti con la frequenza a cui stiamo assistendo oggi. Si va dai casi in cui gli attaccanti sfruttano una vulnerabilità (nota o 0-day) di un prodotto largamente utilizzato in tali ambiti, fino a situazioni in cui l’attacco è approntato direttamente contro il fornitore o il servizio erogato, con impatti sugli utilizzatori / clienti (di prenda a riferimento il recente attacco a SolarWinds).
Gli arsenali digitali della guerra cibernetica
Alcuni di questi attacchi, tra le altre cose, nascono dalle macerie di una sotterranea guerra cibernetica che si muove su un piano e con regole almeno apparentemente (per quanto è dato di sapere) diverse da quella tradizionale (materiale), in cui gli stati sono “sponsor” e quasi mai attori di primo piano, muovendo nello scacchiere digitale presunti team di hacker che operano come soggetti apolidi privi di controllo. Per fare un facile paragone, come delle cellule terroristiche, allineate però alla sfera di influenza di soggetti di primo piano e dotati di grandi risorse. Ecco che accade sempre più di frequente che uno di questi paesi “si faccia rubare” degli strumenti di attacco (si richiama il famosissimo caso EternalBlue), che poi finiscono (anche) nelle mani dei cybercriminali, o che più semplicemente le tecniche di uno state sponsored attack, una volta realizzato, diventino note e siano utilizzate poi su scala internazionale verso altre vittime.
Oltre all’ovvia preoccupazione per la stessa esistenza di attacchi di stati contro altri stati (si parla sempre più frequentemente del coinvolgimento di USA, Cina, Russia, ma anche di primarie aziende strategiche di tali paesi), ciò che tocca tutti noi più da vicino e nell’immediato è la conseguente accessibilità degli “arsenali digitali” da parte dei criminali informatici, che entrano in possesso di vere e proprie armi strategiche con una facilità e velocità che non ha precedenti nella storia. In questo quadro, la piccola azienda come la grande organizzazione si trovano a fronteggiare, almeno in alcuni periodi dell’anno (e tali periodi ricorrono sempre più spesso…) una minaccia paragonabile a quella di un governo che impiega risorse eccezionali con un livello di asimmetria difficilmente colmabile.
La digitalizzazione nel contesto della pandemia
Se il 2020 sarà ricordato nella storia, ovviamente non sarà per gli attacchi informatici. Se invece si parla di digitalizzazione, il 2020 probabilmente sarà considerato il momento storico dove, per necessità, le aziende e soprattutto le persone hanno fatto compiuto un vero e proprio salto quantico in avanti verso l’automazione dei processi aziendali financo le attività più comuni della vita quotidiana. Tale salto, tuttavia, ha posto e pone in evidenza la sempre maggiore dipendenza tra la nostra vita personale e professionale con la tecnologia. Mai come in questo anno di ripetuti lockdown sono sorte riflessioni sulla “fortuna” di disporre di tecnologie alla portata di tutti che rendessero possibile superare, con le dovute difficoltà e per i più fortunati, le principali limitazioni; ma “dipendenza” significa “non poter fare a meno”, ed effettivamente gli attacchi del 2020 hanno agito in un contesto dove l’alternativa all’uso delle tecnologie era praticamente inesistente.
Ciò ha aggravato l’impatto di attacchi che in situazioni normali sarebbero stati facilmente individuabili o superabili, avvantaggiandosi dell’impossibilità delle persone di interagire fisicamente, di operare nelle sedi adeguate, di disporre di mezzi diversi (da quelli bersaglio degli attacchi) di interazione.
Gli auspici dei primi giorni dell’anno troppo frequentemente sono ricorrenti, più per il procrastinare che perché siano perseguiti più e più volte. Fino ad essere non più rimandabili, perché urgenti. Da un bilancio come quello precedente descritto, la sicurezza informatica appartiene evidentemente a quest’ultima categoria. Essendo evidente l’impossibilità di indirizzare una materia così complessa in tutti gli ambiti necessari, proviamo di seguito a selezionare gli interventi che siano, al contempo, più urgenti ma anche maggiormente sostenibili, tenuto conto dell’evoluzione del contesto economico e normativo.
Perché servono competenze e sensibilizzazione
Si è già detto come il 2020 abbia dimostrato una grande capacità di adattamento tanto delle organizzazioni come “organismi complessi” che delle singole persone. Ciò dimostra ancora una volta come il corretto inquadramento di un problema in termini di vincoli e necessità, porti poi a risposte efficaci e talvolta inaspettatamente rapide. Per questo, in primo luogo è necessario agire sulla competenza e sensibilità delle persone, e tale azione deve essere posta in essere a diversi gradi formativi. Nella formazione scolastica, in quanto la dipendenza con le tecnologie è in primo luogo un aspetto relativo alla vita privata, come utilizzatori, utenti, clienti e cittadini digitali.
Nell’ambito professionale (ivi incluso il personale docente delle scuole), in quanto la digitalizzazione forzata diventerà, almeno in parte, elemento strutturale del modo di lavorare, amplificando così la dipendenza tecnologica e conseguentemente l’aspettativa di una sicurezza intrinseca dei servizi su cui si basa ogni azione quotidiana. Le organizzazioni, in particolare, dovrebbero vedere in questo auspicio del nuovo anno un’opportunità di miglioramento a elevata efficacia con sforzo tutto sommato minimale, se paragonato ad altre azioni (tra cui alcune di quelle che seguono), pertanto dovrebbero perseguire le iniziative di sviluppo delle competenze necessarie con la massima priorità. In tale scenario, si ricorda come il mercato della formazione si sia adeguato alla nuova normalità con un’offerta digitale dei servizi formativi che non ha precedenti, anche nell’ambito di iniziative solidali.
La necessità di processi più robusti
Inutile dire che la sensibilizzazione è il primo passo per contrastare una tra le minacce di maggior rilievo del 2020, ovvero gli attacchi di phishing ed il famigerato ransomware. Infatti, è sufficiente che un solo utente dell’organizzazione cada vittima di queste campagne, per vanificare molti degli sforzi compiuti in ambito tecnologico. In tal senso, possono agire a supporto altri due tipi di intervento che possono essere considerati altrettanto prioritari:
- agire sull’organizzazione, sui processi e le procedure;
- verificare sul campo il grado di preparazione delle persone.
La prima azione è quella che probabilmente vedremo agire nei contesti più complessi. La “nuova normalità” richiede una fase di assestamento e di assimilazione da parte di quell’organismo complesso che è l’azienda o la pubblica amministrazione. I processi forzatamente digitalizzati e “remotizzati” devono ora essere ripensati in prospettiva di opportunità di miglioramento (i.e. passare dal “lavoro forzato da casa” al vero “lavoro agile”), adeguando i controlli di processo alle nuove modalità operative, operazione che può prevedere anche un aggiornamento degli strumenti tecnologici a supporto.
Questa non è un’attività specifica di sicurezza informatica, ma è pertinente la sicurezza delle informazioni e la cybersecurity, che in un approccio “by design” deve provvedere a garantire resilienza e protezione dei dati a livello idoneo rispetto al grado di dipendenza che si è introdotto (senza dimenticare anche il gap passato da recuperare…) nei processi e nelle responsabilità rivisti. Le organizzazioni dovrebbero inoltre verificare sul campo il grado di robustezza della propria struttura organizzativa, per esempio sottoponendo alle persone dei test specifici di phishing etico, esercitazioni per incidenti informatici e attività simili.
Responsabilità definite e figure organizzative dedicate
Da notare che questi interventi possono essere guidati, supportati e resi ancora più efficaci grazie ad una serie di presidi organizzativi che a diverso grado sono innovativi per molte aziende. Un tipico esempio è il Data Protection Officer, introdotto a seguito ai recenti adempimenti GDPR: tale figura è dedicata a supportare il management nella definizione di un sistema di controlli volti a garantire la conformità ai requisiti di data protection (non lontano, invero, da quelli di data security) e nell’esecuzione di verifiche periodiche.
In Italia, i DPO formalmente incaricati sono ben circa 60.000. Costituiscono una professionalità su cui possono fare leva dei processi evolutivi di larga scala pertinenti ad una gestione più matura e conforme delle informazioni.
Altre aziende possono avvalersi (anche) di un Modello di Organizzazione e Gestione 231, la cui attuazione comprende (se applicabili) periodici aggiornamenti relativi ai reati la cui prevenzione passa dall’attuazione di appositi presidi procedurali e tecnologici, anche per materie non strettamente ICT (si pensi al possibile contributo degli strumenti informatici aziendali nella prevenzione dei reati tributari oggetto del recente recepimento della c.d. “Direttiva PIF” – UE) 2017/1371).
Pertinente il Modello 231 sono anche alcuni dei requisiti introdotti dal c.d. Perimetro di Sicurezza Nazionale Cibernetica, che non ha effetti solo sulle società individuate sulla base dei criteri ex DPCM n. 131 del 30 luglio 2020, ma anche sulle filiere a cui esse appartengono, ed in particolare ai loro fornitori. Tali aziende, infatti, devono stabilire “misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici” relative (tra le altre) “all’affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale” (Dl.105/2019).
La filiera di fornitura
Il tema della sicurezza della filiera di fornitura deve diventare centrale nella strategia di sicurezza delle organizzazioni, non solo nel suddetto Perimetro, tenuto conto il sempre maggiore ricorso a servizi Cloud, nonché la sempre maggiore automazione della supply chain e l’evoluzione tecnica dei processi produttivi. Anche questa è una forma di dipendenza su cui spesso gli attaccanti si basano per superare le difese delle aziende maggiormente mature sotto il profilo della sicurezza, andando a colpire i soggetti più deboli (sotto il profilo tecnologico) nell’ambito della supply-chain.
L’opportunità qui è, se vogliamo, ancora più grande: il processo di esternalizzazione, spesso coerente con o sostenuto da politiche di riduzione dei costi, è un ambito in cui le competenze aziendali ICT possono essere rivalutate e rafforzate, nella prospettiva di passare da un comparto ICT operativo a un’unità di governance ICT. Sotto il profilo della sicurezza, infatti, per l’azienda media italiana il ricorso al cloud può essere una scelta strategica di sicurezza, a patto che la scelta e la gestione dei servizi esternalizzati siano svolti (anche) tenendo conto dei rischi informatici e di conformità crescenti.
La presenza e il ruolo del CISO
Se si escludono alcuni settori specifici, non è prevista da alcuna normativa generale, invece, la presenza di un Chief Information Security Officer (o paragonabile): tale requisito è tuttavia ormai una best practice nelle filiere B2B più solide, e coloro i quali hanno deciso di dotarsi di una certificazione di sicurezza come la norma ISO 27001 devono necessariamente definire un corrispondente ruolo aziendale. Molto però deve ancora essere fatto: secondo una ricerca dell’Osservatorio Cyber Security & Data Protection del Politecnico di Milano, il 40% delle imprese non attribuisce il ruolo all’interno dell’organigramma, mentre negli altri casi il collocamento organizzativo non risulta ottimale; nel 65% dei casi in cui, ad esempio, il CISO riporta al CIO, il modello organizzativo è valutato come non rappresentare una configurazione ottimale per un’efficace gestione dell’information security.
Gli impatti economici e sociali
È impressionante constatare che si stia affrontando una delle peggiori crisi sanitarie mondiali nel momento storico di maggiore disponibilità di strumenti atti a contenerne gli effetti (quanto meno) economici e sociali. Una condizione che ci fa però scoprire più vulnerabili anche rispetto ai rischi di sicurezza delle informazioni, in conseguenza di un trend pluriennale di crescita degli attacchi e di sottovalutazione della capacità dei rischi informatici di incidere dal mondo immateriale alla vita vera; è però sempre del 2020 la notizia della prima vittima diretta dell’insicurezza informatica, a causa di un ransomware che ha bloccato i sistemi di un ospedale in Germania.
L’urgenza non deve portare a investimenti frettolosi, proclami, azioni tattiche prive di un approccio strategico. Abbiamo necessità di interventi strutturali, alcuni dei quali sintetizzati precedentemente ed in linea con le proposte che anche Clusit, l’Associazione Italiana per la Sicurezza Informatica, ha recentemente portato ad un’audizione informale presso la Commissione Difesa del Senato della Repubblica.
Il compito degli Stati, in conclusione
Il ruolo degli Stati, in tale processo, deve tornare centrale nel dibattito politico, non soltanto in relazione alle tematiche di maggiore criticità (quelle su cui interviene, per chiarezza, tutto il framework normativo pertinente al Perimetro Nazionale di Sicurezza Cibernetica ma anche il dibattito di lungo respiro sulla “sovranità digitale”). Così come è stato fatto per l’Industry 4.0, anche in considerazione degli stanziamenti europei legati alla situazione emergenziale post-COVID, possono essere previste forme di sostegno allo sviluppo di competenze o ad investimenti sulla messa in sicurezza delle infrastrutture e dei servizi della media e piccola impresa italiana, che costituisce l’ossatura della nostra economia e la cui dipendenza dal digitale è contestualmente un fattore di competitività e di alto rischio.
Altresì è urgente spingere verso l’attuazione nazionale dei più recenti strumenti normativi e operativi definiti in ambito europeo:
- applicazione del Cybersecurity Act (amichevolmente considerato il “marchio CE” della sicurezza informatica per i prodotti tecnologici),
- il consolidamento dei meccanismi di cooperazione cross border della Direttiva NIS (e il contributo esperienziale che ha avviato la discussione per una “NIS 2” sulla base di recenti proposte dalla Commissione Europea),
- il rafforzamento del ruolo operativo dell’Enisa,
- la sempre più stretta cooperazione dei nuclei tecnologici delle diverse forze di polizia,
- il ruolo sempre più attivo del Nucleo di Sicurezza Cibernetica nella gestione degli incidenti
Questi sono solo alcuni esempi concreti da cui derivano i primi (purché talvolta lontani dall’esperienza comune) effetti positivi.
Effetti che riscontriamo positivamente anche nel bilancio di più di due anni di applicazione del GDPR a livello mondiale: l’unitarietà di intenti dei paesi UE e la forza del mercato unico consentono di determinare effetti su larga scala, influenzando culturalmente prima che normativamente tutti coloro i quali vogliono interagire con gli ormai 28-1 paesi (la Brexit è un altro lascito di questo 2020), con benefici che solo adesso iniziamo ad intravedere. Si può fare.