L’evoluzione degli scenari di minaccia che abbiamo potuto osservare negli ultimi anni, e in particolare negli ultimi mesi, richiede un profondo ripensamento non solo dell’assetto tecnologico ed organizzativo delle nostre aziende e pubbliche amministrazioni, ma anche una riflessione più ampia sull’attuale modello di business dell’Information Security e dell’ICT in generale, così come si è determinato nelle prassi degli ultimi 2-3 decenni.
La premessa generale sulla quale poggiano le attività di Information Security tradizionali è che esista un perimetro da difendere ben determinato, controllato dall’IT e soggetto eventualmente ad Audit periodici, all’interno del quale, fino a prova contraria e salvo crisi particolari (tutto sommato statisticamente poco frequenti) i dati ed i sistemi che li gestiscono sono al sicuro. Utilizzando una metafora, questo modello può essere rappresentato con l’immagine di una castello medioevale, o di una trincea della Prima Guerra Mondiale.
Ebbene, tutte le indicazioni che possiamo cogliere dai trend in atto, sia sul fronte della minaccia che, in modo speculare, su quello della direzione che sta prendendo l’applicazione dell’ICT (Cloud, Social, Mobile, IoT, in tutte le loro infinite permutazioni), ci portano ad affermare che la sicurezza basata sulla metafora della trincea già oggi è diventata non solo inefficace, ma pericolosa per chi si ostini ad adottarla. Questo per ragioni tecnologiche, organizzative, di mentalità e formazione degli utenti e, in ultima analisi, di sostenibilità economica del modello stesso.
Dobbiamo prendere atto di due fenomeni che vanificano il concetto di fortezza, operando e rinforzandosi a vicenda sul piano tecnologico, organizzativo e culturale: da un lato l’accelerazione della disgregazione del perimetro, sempre più poroso per necessità, dal momento che le nuove richieste da parte del mercato, del business e degli utenti finali vanno tutte nella direzione dell’iperconnessione, della velocità, della flessibilità e della mancanza di vincoli.
Dall’altro lato il crescente fenomeno dello “shadow IT”, ovvero della crescente quantità di applicazioni, con i relativi dati, che sono acquistate ed utilizzate dagli utenti finali direttamente, seguendo le esigenze e le emergenze del momento, approvvigionandosi al di fuori delle consuete logiche IT, e che pertanto sfuggono al controllo delle organizzazioni.
Questi due fenomeni, nemmeno recentissimi ma sempre più diffusi, non solo mettono in crisi le attività di IT Governance e Risk Management, ma nella pratica aprono delle voragini di sicurezza nel perimetro, che cessa di essere quel baluardo utile a distinguere un “dentro” sicuro da un “fuori” insicuro.
Infine si tenga conto dell’approccio prevalente tra gli utenti finali (dipendenti, collaboratori, partner, clienti), abituati ormai nel privato ad utilizzare smartphone, social, public cloud e servizi online di ogni genere con estrema disinvoltura (e nessuna sicurezza), i quali ormai si aspettano di poter adottare modalità analoghe di impiego dell’ICT anche nel contesto lavorativo, ed anzi si “scandalizzano” quando si vedono imposti dei vincoli e dei divieti in tal senso.
Tutti questi elementi, che tendono a moltiplicare il proprio impatto quando combinati tra loro, rappresentano una straordinaria opportunità per gli attaccanti, che si trovano la strada spianata per attività di social engineering e furto di dati e credenziali su scala gigantesca, e riescono a colpire i loro obiettivi con malware anche semplici, ma trasparenti rispetto ai sistemi di protezione tradizionali, prendendo le vittime sempre in contropiede (un vantaggio tattico straordinario).
Considerate le perdite economiche derivanti da attacchi informatici (centinaia di miliardi di dollari a livello globale nel 2016) ed i rischi “cyber” (che ormai sono di ordine geopolitico oltre che criminale) generati da questo stato di cose, non dobbiamo aver timore di concludere che ICT e Security sono giunti ad un bivio: il modello organizzativo ed economico preesistente non regge al confronto delle evoluzioni in atto e va sostituito.
Tutto ciò non significa che elenchi di controlli tradizionali come ad esempio il SANS20 (sulla base dei quali sono state definite le “Misure minime di sicurezza informatica per la PA”, recentemente pubblicate in Gazzetta Ufficiale) non siano più utili, né tanto meno che la loro applicazione non sia urgentissima, ma che tali controlli, di per sé, non sono (più) commisurati alle minacce attuali, e di conseguenza hanno un’efficacia limitata nel mitigarle.
Questo per due ragioni fondamentali, che andrebbero discusse maggiormente data la loro importanza: la prima, come già detto, legata all’evaporazione dei perimetri difensivi, determinata dall’evoluzione delle tecnologie IT e dalle richieste degli utenti, la seconda derivante dal fatto che il modello di business degli attaccanti (cyber criminali o state-sponsored) dal punto di vista economico è significativamente più efficace di quello dei difensori, i quali attendono il nemico al riparo di una Linea Maginot tecnologico-organizzativa che (quasi) nulla può contro minacce dinamiche e complesse come quelle attuali, impiegando risorse scarse per costruire ridotte mentre il nemico impiega bombardieri stealth.
Per quanto riguarda l’economicità delle attività di Security attuali (il ROSI, Return on Security Investment) è necessario aprire una doverosa parentesi, e fare i conti (letteralmente) con la realtà: per ogni euro speso dagli attaccanti per sviluppare nuovi attacchi e strumenti offensivi (o combinarne di esistenti in modi innovativi), i difensori in trincea devono spenderne migliaia, senza alcuna garanzia di successo. E’ un tipo di guerra asimmetrica che non può essere vinto con i sistemi tradizionali, e che anzi avvantaggia sempre più gli attaccanti, con il passare del tempo, logorando i difensori ed i loro budget.
Il nuovo modello di sicurezza potrebbe e dovrebbe essere basato sulla metafora del sistema immunitario, piuttosto che su quella della trincea, partendo dal presupposto “assume compromise” (ovvero “considerati già compromesso”). Parliamo quindi di sviluppare tutte quelle iniziative (di governance, di analisi e gestione dei rischi, di intelligence sharing e di incident management) che possano contribuire ad elevare in modo significativo la cyber resilienza delle nostre organizzazioni, ovvero la loro capacità di funzionare anche se costantemente sotto attacco, essendo spesso già compromesse ben prima che emergano sintomi evidenti di un attacco in corso.
Come fa il sistema immunitario, che non si ostina a voler tenere le minacce all’esterno del corpo (cosa che risulterebbe estremamente inefficiente e costosissima), ma piuttosto, dovendo sopravvivere in un ambiente complesso ed estremamente dinamico, le individua in tempo reale, le classifica e le tiene a bada grazie ad un monitoraggio continuo, dedicando risorse preziose solo ai patogeni veramente pericolosi, ed ignorando tutto ciò che non è rilevante.
Come realizzare un simile modello? Innanzi tutto, smettendo di “osservarsi l’ombelico”, di affogare nei propri log storditi dal rumore di fondo delle proprie reti e dei propri sistemi, ovvero aprendosi realmente all’esterno, implementando processi di threat intelligence e di monitoraggio approfondito di quanto avviene all’esterno dell’organizzazione, per prevenire al proprio interno quelle minacce che hanno già colpito altri nei giorni, ore o minuti precedenti. Per sapere da cosa difendersi bisogna guardare costantemente all’esterno, prima che all’interno.
In secondo luogo, impiantare un processo di Cyber Risk Management continuo, che valuti H24 tutte le variabili in gioco, incluse quelle formalmente fuori dal perimetro (anche i Social, lo shadow IT, l’IoT) e dia indicazioni al management per definire strategie difensive che possano cambiare rapidamente, a fronte di minacce continuamente mutevoli (cosa ben diversa dal fare una BIA ogni 3 anni o un Audit annuale), per allocare le risorse in modo efficiente.
Infine, destinare a queste attività di sicurezza (nel senso più esteso) le risorse necessarie: in nessun campo oggi il rapporto tra spesa in sicurezza e valore dell’asset da proteggere è così basso come nell’ICT, a titolo di esempio in Italia nel 2016 si sono spesi 66 miliardi di euro in beni e servizi ICT, a fronte di 1 miliardo di euro scarso in ICT Security (pari all’1,5% del valore dell’ICT, e ad una quota infinitesimale del valore prodotto tramite la sua applicazione).
La Cyber Resilience deve diventare non solo uno dei pilastri dell’attività di un’organizzazione, ma quell’elemento che abilita tutti gli altri e li rende possibili, considerato da un lato la crescente pervasività dell’ICT nella società attuale e dall’altro la corrispondente crescita delle minacce. Come gli ultimi casi di cronaca ci insegnano, queste risorse vanno trovate ed impiegate quanto prima, ed il cambiamento di modello di busines (dal castello al sistema immunitario) va compiuto con urgenza, oppure, inevitabilmente, gli attaccanti avranno la meglio, causando alla collettività danni sempre più onerosi.
