Tutte le organizzazioni sono “Digital by Default”.
Questa semplice affermazione si è definitivamente trasformata in fatto assodato e incontrovertibile. Una trasformazione digitale che nei prossimi anni sarà totale e assoluta.
Secondo le stime più recenti infatti al 2020:
- Gli utenti Internet passeranno da 3,5 a 6 miliardi
- I dati online cresceranno di 50 volte arrivando a “pesare” 96 zettabyte nel 2020 (oggi siamo a 4)
- Ci saranno oltre 500 milioni di dispositivi IoT indossabili su un totale di oltre 200 miliardi
Le proiezioni appena accennate e il già corrente utilizzo di tecnologie digitali in ogni singolo aspetto produttivo e sociale ha inevitabilmente posto la sicurezza dei sistemi digitali (e delle informazioni che in essi vengono generate, usate, conservate e scambiate) al primo posto fra le questioni da affrontare sul piano pubblico, privatistico e personale.
Un’attenzione che è particolarmente cresciuta lo scorso anno per alcune contingenze convergenti.
Il 2017 è stato sicuramente l’anno dell’estorsione digitale eseguita tramite ransomware (malware in grado di prendere in ostaggio tramite la criptografia le informazioni sui dispositivi colpiti e richiedere riscatto in BitCoin). Nomi esotici come WannaCry, Locky e NotPetya rappresentano in realtà minacce che hanno causato danni mondiali quantificabili in oltre 800 milioni di dollari.
Quello passato è stato inoltre l’anno nero dei DataBreach ovvero il furto e la diffusione di dati.
Abbiamo infatti assistito ad azioni che hanno portato a trafugare centinaia di milioni di dati di cittadini americani, aziende scendere a compromessi con Hacker per evitare la diffusione di informazioni sensibili ed evitare ricadute reputazionali, e sono stati scoperti attacchi di anni fa che hanno portato a diffondere miliardi di record.
Il 2017 è però stato anche un anno che ha visto regolatori e aziende iniziare a rispondere con forza a tutte queste minacce. Il nuovo regolamento sulla Protezione dei Dati Personali (GDPR) ha dato una grande spinta nell’approccio proattivo alla difesa delle informazioni personali e sensibili e la direttiva comunitaria NIS (Network and Information Security) ha iniziato a fornire agli operatori di servizi essenziali e alle infrastrutture critiche strumenti adeguati per approcciare e fronteggiare il tema della resilienza.
EY, per approfondire la percezione dei top manager delle più grandi e riconosciute aziende al mondo, esamina con un sondaggio globale alcune delle loro preoccupazioni più urgenti in tema di cybersecurity e le modalità con cui le stanno affrontando, cercando di identificare gli elementi chiave per indirizzare al meglio gli sforzi.
La ventesima edizione della EY Global Information Security Survey (GISS), Cybersecurity regained: preparing to face cyber attacks fa emergere chiaramente, anche a fronte di quanto ricordato nella prima parte di questo articolo, che le organizzazioni ritengono di essere oggi in una situazione di elevato rischio di attacchi informatici.
Forte preoccupazione destano sia gli attacchi “comuni” come campagne di phishing e diffusione di malware, sia le minacce derivati da dipendenti negligenti o inconsapevoli che causano un aumento incontrollato delle vulnerabilità delle aziende.
Nonostante vulnerabilità e minacce principali siano sostanzialmente invariate negli ultimi tre anni, esse causano ancora danni ingenti.
Ancora più preoccupazione destano gli attacchi avanzati, particolarmente sofisticati, articolati e perpetrati da gruppi fortemente organizzati e finanziati, che risultano di difficile individuazione e contenimento a causa, molto spesso, dell’inefficacia o inadeguatezza dei sistemi di sicurezza.
Il 71% degli intervistati in Italia considera infatti il livello di maturità del proprio sistema di identificazione delle vulnerabilità inadeguato e, seppure molte organizzazioni dichiarano di disporre di un Security Operation Center, solo il 19% degli incidenti sono da essi identificati.
Diventa sempre più urgente per le organizzazioni dotarsi di capacità di risposta a questo tipo di attacchi.
La sfida più impegnativa e complessa è sicuramente quella relativa gli attacchi emergenti, ovvero quelli più articolati, ben ingegnerizzati e imprevedibili.
Per la loro natura di imprevedibilità e per la mancanza di precisi riferimenti a supporto della gestione dell’incidente è infatti possibile fronteggiare gli attacchi emergenti solo con una grande preparazione e consapevolezza del personale e con programmi di intelligence ed information sharing.
Su questo tema però oltre il 61% degli intervistati afferma di non avere programmi di intelligence attivi nella propria organizzazione e, cosa ancora più preoccupante, il 71% degli intervistati afferma di non avere un livello adeguato di consapevolezza e preparazione in materia di sicurezza delle informazioni.
Quanto alla capacità di gestione di un attacco informatico, il 63% degli intervistati in Italia dichiara di non avere una strategia di comunicazione predefinita e neppure un piano da applicare nel caso in cui l’azienda sia sottoposta ad un attacco informatico con relativa perdita o sottrazione di dati.
In generale solo il 12% degli intervistati pensa che sarebbe in grado di rilevare un attacco informatico sofisticato con gli strumenti a disposizione.
Questi numeri, che a un primo sguardo possono sembrare inquietanti, in realtà sono migliorativi rispetto agli anni precedenti e devono servire a tenere alta la guardia e spingere le organizzazioni ad intraprendere gli opportuni investimenti.
Circa il 90% dei manager intervistati afferma infatti di aver bisogno del 50% di risorse in più per affrontare le crescenti minacce informatiche.
Quali sono dunque le sfide che dovremmo affrontare questo anno?
Sicuramente la sfida primaria è quella di rispondere adeguatamente ad un contesto in cui il tema della gestione e notifica degli incidenti di sicurezza è sempre più regolamentato e, proprio nel 2018, vivrà un anno cruciale sulla base della piena applicazione del nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) e del recepimento all’interno degli ordinamenti nazionali della Direttiva NIS.
Sarà anche l’anno della collaborazione fra aziende, istituzioni e ricerca al fine di condividere le conoscenze e aumentare la resilienza cyber che ruota attorno a tre principi: proteggere, rilevare e reagire.
Questi imperativi sono oggi più importanti che mai: le aziende che comprendono il panorama delle minacce e si concentrano sulla sicurezza sin dalla progettazione, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace.
