Gli investimenti e le strategie adottati in Italia contro il cybercrime non sono ancora sufficienti né commisurati alla repentina evoluzione digitale. A mancare è un indirizzo strategico nazionale condiviso pubblico-privato e in questa fase è una lacuna gravissima, come dimostrano le recenti cronache sui casi di cyberspionaggio Eye Pyramid.
Sebbene le aziende confermino che le maggiori vulnerabilità siano legate alle architetture di sicurezza aziendale e alle attività di controllo, più della metà (62%) non ha intenzione di aumentare i propri investimenti nella Cyber Security, probabilmente non considerandola decisiva in termini di impatto sul proprio business. Lo testimonia la Global Information Security Survey, indagine annuale svolta da EY.
L’indagine, che ha coinvolto 1.735 organizzazioni a livello globale, ha rilevato come oltre la metà delle aziende intervistate dichiari di aver subito almeno un cyber attack di notevole portata.
La fonte del problema, che accomuna ben il 42% delle aziende, è da ricercare nella mancanza di strategie condivise e di un piano di contrasto in caso di attacchi con impatti significativi: la metà degli intervistati non si ritiene pronta per rilevare un attacco informatico sofisticato.
La situazione in Italia è più problematica. Infatti, quasi la totalità delle aziende (97%), non ha una funzione di Cyber Security efficiente. Anche in questo caso manca una linea di azione comune, in particolare sono necessari un programma formale e strutturato di Threat Intelligence e strumenti e tecnologie appropriati. Il grado di prontezza delle aziende nel contrastare le minacce cyber non può prescindere da una loro repentina rilevazione. A tal proposito solo il 28% degli incidenti informatici di impatto rilevante è stato intercettato dai Security Operations Center (SOC) delle aziende intervistate, e questo conferma la forte necessità di evoluzione delle organizzazioni e delle metodologie utilizzate nelle aziende del nostro Paese, potenziando le capacità delle stesse con funzionalità di intelligence ad oggi ancora non adeguatamente diffuse.
Maggiore attenzione deve essere riposta nei confronti dei rischi legati alla negligenza e inconsapevolezza dei dipendenti e all’accesso non autorizzato ai dati.
Un aspetto da non sottovalutare sono le tempistiche stringenti entro cui notificare un eventuale incidente. Più della metà delle aziende non riuscirebbe a completare le indagini in una settimana e non sarebbe, quindi, in grado di notificare l’incidente ai propri clienti entro tale termine. Con il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) e la Direttiva NIS (Network and Information Security) il processo di gestione e notifica nei casi di violazione di sicurezza dei dati personali e di incidenti con impatto significativo sulla continuità dei servizi essenziali, sono cambiati notevolmente e l’Italia dovrà essere pronta non appena attuati.
L’indagine evidenzia, quindi, un panorama nazionale caratterizzato dalla necessità di migliorare sul piano della prevenzione e della reazione alle violazioni dei dati (data breach) ed incidenti informatici. Analytics, Robotics e intelligenza artificiale sono tecnologie ad oggi disponibili e dovranno contribuire a migliorare il nostro approccio alla Cyber Security, rendendo l’azione più capillare, automatica e con la possibilità di indirizzare in modo più puntuale l’intervento umano.
Occorre adottare un indirizzo strategico nazionale condiviso da tutte le organizzazioni per fronteggiare il Cyber Crime, elemento cardine attorno al quale si rende possibile definire le appropriate misure organizzative, metodologiche, operative e tecnologiche volte alla salvaguardia del patrimonio informativo, finanziario e reputazionale delle organizzazioni.
Il nostro Paese necessita di cornici metodologiche condivise in tema Cyber security che forniscano supporto all’implementazione e allo sviluppo di una cultura della sicurezza, proponendo materiali e metodologie utili alle imprese per raggiungere i propri obiettivi. La creazione di un contesto di collaborazione tra pubblico e privato potrebbe essere un elemento fondamentale, come rivelato dalle esperienze di altri paesi (NIST negli USA), mediante la definizione di regole chiare e semplici che permettano la collaborazione e lo scambio di conoscenza, la direttiva NIS supporterà questo percorso.
Dal punto di vista delle aziende, la capacità di prevenire, rilevare, difendersi e reagire ad attacchi di tipo cyber passa attraverso le seguenti direttrici:
– Definizione e adozione di un modello di Governance della Cyber Security che indirizzi le attività operative relative alla gestione dei rischi del Cyber Crime, le azioni di prevenzione e reazione agli attacchi cyber, garantendo l’ottemperanza alle prescrizioni normative e la conformità a policy e procedure interne;
– Istituzione di una funzione aziendale con piena responsabilità di governare ed indirizzare le azioni di prevenzione, contrasto e reazione agli attacchi Cyber;
– Consolidamento di un impianto di policy e procedure tecniche in grado di garantire una pronta gestione degli incidenti integrando le competenze del presidio di cyber security con le indicazioni dei soggetti esterni (organismi governativi, vendor, società specializzate nella produzione di feed, associazioni di categoria, etc.);
– Abilitazione di strumenti tecnologici in grado di centralizzare la raccolta di informazioni interne ed esterne per desumere indicazioni previsionali oppure fornire indicazioni per supportare le azioni di contrasto, risposta e rispristino delle normali condizioni;
– Conduzione di campagne di training e awareness finalizzate alla promozione e diffusione della cultura della Cyber Security e al miglioramento delle competenze;
– Effettuazione di attività di intelligence per la repentina rilevazione delle minacce e delle frodi sia sui canali di interazione esterni (frodi online, mobile, etc.) che interni (Insider Threats, Data Leakage, etc.).
La necessità di tali iniziative è ancora più urgente se si pensa a quanto in questi giorni sta emergendo con l’inchiesta Eye Pyramid che sta scuotendo il nostro Paese, assistiamo, infatti, a come la possibilità di attingere (anche ricorrendo a canali del dark web) a malware, software di anonimizzazione ed altri tool, aumenti esponenzialmente il perimetro dei possibili attaccanti: non necessariamente hacker specializzati o organizzazioni criminali con ingenti disponibilità economiche, ma, in generale, chiunque sia fortemente motivato ad accedere a dati riservati.
La posta in gioco è alta: la fiducia da parte dei cittadini nel digitale, la cosiddetta Digital trust, è la vera sfida dei nostri giorni. Il superamento del ritardo esistente rispetto alla trasformazione digitale dovrà tradursi in un approccio finalizzato alla protezione attiva dei dati: prevenire, difendere e reagire diventa un “must” da attuare mediante un approccio integrato atto a garantire la fiducia di investitori e clienti, quindi la capacità di emergere o la sopravvivenza delle aziende.
