La crescente tensione geopolitica, che ha tra i suoi tanti effetti anche l’aumento delle minacce indirizzate alle infrastrutture digitali di grandi complessi industriali, ha spinto le aziende (almeno quelle più avvedute e strutturate) a investire in cyber sicurezza per proteggere i propri asset.
In questo scenario, vista la necessità di condurre appropriate analisi per valutare il rischio e stabilire il giusto approccio, svolgono un ruolo di primaria importanza e responsabilità i professionisti della security aziendale, siano essi decisori, risk owner, o semplicemente consulenti.
Nel redigere un piano di cyber security e gestirne l’implementazione, queste figure specializzate nella sicurezza devono costantemente mantenere l’allineamento con la funzione di rischio – quando presente – o in alternativa procedere comunque secondo metodologie di risk management.
Per meglio comprendere quale sia il migliore approccio alla sicurezza aziendale, ricostruiamo di seguito gli sviluppi delle principali minacce cyber negli ultimi anni e le relative misure di difesa e facciamo il punto sulle strategie di gestione del rischio.
La minaccia cyber corre sulla rete
Nel corso degli ultimi anni abbiamo assistito a campagne di spionaggio, interferenze su attività governative, su elezioni democratiche, lungimiranti investimenti finalizzati al controllo delle reti 5G, alla conduzione di attacchi terroristici di tipo cibernetico e al tentativo di innalzamento delle relative difese: legiferazione in materia di protezione cyber delle infrastrutture critiche, cooperazione internazionale e pubblico-privato, sviluppo di specifiche tecnologie.
Sono tutti avvenimenti e fenomeni che altro non fanno che rafforzare la consapevolezza relativa al concetto, valido sin dall’epoca di Sun Tzu, per cui la superiorità informativa è la chiave per il successo contro il nemico.
Da qui il potenziamento di sistemi, procedure, standard per la tutela delle informazioni (e per l’acquisizione delle stesse), la normazione in materia di protezione dei dati, l’evoluzione della disciplina per la protezione delle informazioni classificate, la normativa sui segreti industriali e le attività più o meno visibili per il governo dei dati e delle infrastrutture che ne consentono la trasmissione, fruibilità, lo storage.
La ricerca di superiorità informativa, così come la sicurezza, non più appannaggio esclusivo di organizzazioni statali ma necessariamente partecipate con organizzazioni private, vanno gestite e sviluppate nell’ambito di una situazione geopolitica non più bipolare o multipolare, bensì in una realtà caratterizzata da una pluralità di attori, intricate interdipendenze e asimmetria di forze contrapposte.
Se consideriamo che oramai pressoché la totalità dell’informazione viaggia su “autostrade digitali”, è quasi scontato riconoscere la sicurezza cibernetica quale elemento determinante per la definizione dei rapporti di forza.
L’aumento delle tensioni geopolitiche ha portato ad attacchi mirati alle infrastrutture nazionali critiche coinvolgendo e colpendo anche diversi settori industriali compresa l’industria pesante. I complessi industriali, in particolare, qualora non adeguatamente protetti, potrebbero potenzialmente subire danni collaterali ingenti in caso di attacco alle reti IT e OT.
E’ in questa chiave che vanno analizzati alcuni episodi di violazioni di sicurezza cibernetica:
- nel 2014, un attacco di phishing ha provocato ingenti danni alla catena operation di un’acciaieria dell’Europa occidentale determinando ingenti danni;
- tra il 2015-2016 in Ucraina il danno a una rete di distribuzione elettrica ha “spento la luce” a 230.000 persone. In questo caso, gli hacker hanno compromesso la rete di un fornitore di terze parti, che era collegato alla rete OT dell’azienda energetica, consentendo di accedere al sistema di controllo.
- nel 2017, un pericoloso attacco ha colpito un impianto petrolchimico in Medio Oriente con ripercussioni sulla catena operation.
- ancora ricordiamo il ransomware WannaCry che, tra l’altro, ha interrotto l’80% delle stazioni di servizio di un’importante compagnia petrolifera cinese sfruttando una vulnerabilità in una versione datata e non più supportata di Windows o NotPetya che ha colpito circa il 25 percento di tutte le compagnie oli&gas.
Gestione del rischio cyber
Questo tipo di eventi sta determinando l’aumento della consapevolezza sull’ambiente delle minacce cyber e le aziende, almeno quelle più strutturate, stanno lavorando e investendo importanti capitali per implementare le misure di cyber security e proteggere i propri asset.
La consapevolezza circa l’importanza e la strategicità della sicurezza cyber va guidata e incanalata non disperdendo risorse in interventi randomici bensì orientata secondo un approccio che consenta di valorizzare al meglio gli investimenti in cyber security.
Diventa quindi fondamentale procedere secondo un classico quanto efficace metodo di analisi di rischio:
- analisi di contesto e identificazione degli asset critici;
- identificazione dei rischi;
- analisi delle vulnerabilità e valutazione dei rischi;
- piano di mitigazione del rischio;
- trasferimento/accettazione del rischio residuo.
Un approccio olistico alla sicurezza aziendale
L’investimento e il progetto di Cyber Security va inoltre studiato e sviluppato secondo un approccio olistico alla sicurezza aziendale, che tenga conto di tutto il contesto esterno e interno, delle aspettative degli stakeholder, delle prospettive di business dell’azienda e inserendo la cyber security in un più ampio Piano di Security Aziendale garantendo l’integrazione delle misure di sicurezza cibernetica con le altre misure di Security.
In questo senso il Security Manager deve muoversi come un direttore d’orchestra che faccia andare all’unisono business, cyber security, physical security, risk management, crisis management, resilienza, business continuity.
L’approccio integrato è certamente il metodo che andando ad armonizzare le diverse componenti dell’organizzazione, tenendo conto di tutti i portatori di interesse e del contesto, non può che portare risultati tangibili, incrementando il valore del business in luogo di interventi a macchia di leopardo, magari anche singolarmente validi, ma inefficaci se non coordinati e non in linea con il contesto in cui si opera.
In questo approccio ideale, il Chief Security Officer (CSO) definisce le policy, gli standard, le linee guida e collabora con i process engineer per creare architetture di sicurezza che inglobino specifiche operative.
La sicurezza non è spesso una parte centrale della business aziendale e i progetti di security vengono introdotti solo dopo che è stato sviluppato un nuovo prodotto o sistema digitale o, nel peggiore dei casi, solo dopo un major incident.
Questo approccio aumenta il costo della protezione degli asset strategici in modo esponenziale, se invece si portasse avanti un modus operandi di – rubando un must della normativa sulla protezione dei dati – “security by design e by default” sarà possibile realizzare un sistema di business che già al suo interno porta l’idea, e quindi i metodi e i processi, di operare in un contesto “protetto”.
Il cyber risk
Il cyber risk deve essere trattato come un problema di gestione del rischio, non come un problema della Funzione IT. Il Cyber risk è molto simile a qualsiasi altro rischio complesso, critico e non finanziario. Gli elementi chiave della sua gestione comprendono la definizione delle priorità delle minacce rilevanti, la determinazione della propensione al rischio di una società e la definizione di iniziative per la mitigazione dei rischi. Inoltre, le aziende devono mettere in atto una struttura organizzativa e un approccio di governance che portino trasparenza e consentano la gestione dei rischi in tempo reale. Gli esperti di cybersecurity non possono risolvere efficacemente la problematica di sicurezza senza tenere conto dei requisiti di business, organizzativi e di contesto.
Le aziende devono cercare e mitigare il cyber risk su più livelli. Dati, infrastrutture, applicazioni e persone, ciascuno esposto a tipologie di minacce differenti .
Il Cyber risk richiede una governance completa e collaborativa, in altre parole che abbracci tutti i processi aziendali e che preveda forte cooperazione tra le diverse funzioni aziendali coinvolte. Tradizionalmente, molte aziende distinguono tra sicurezza fisica e sicurezza delle informazioni, tra IT e OT, tra gestione della continuità aziendale e protezione dei dati, e tra sicurezza interna ed esterna.
Ad oggi, queste divisioni possono risultare obsolete quando diventano eccessivamente rigide. La responsabilità dispersa un maniera pulviscolare può mettere a rischio l’intera organizzazione che potrebbe perdere la vision globale sulle proprie vulnerabilità.
Per ridurre le ridondanze, accelerare le risposte e aumentare la resilienza complessiva, le aziende devono rivolgersi a tutte le parti del business interessate dalle minacce informatiche, vale a dire tutte le parti dell’azienda, nonché i fornitori e i clienti e coordinare la gestione dei rischi sotto un unico o pochi centri di responsabilità. Ad esempio un Risk Manager accompagnato dal Security Manager che si suddividono le aree di responsabilità sui rischi aziendali.
Mentre può essere difficile, se non impossibile, proteggere un’azienda contro gli attacchi più avanzati, la governance sistematica dei rischi è la migliore strategia per la protezione degli asset.
L’approccio ideale dovrebbe inoltre portare le aziende a dare priorità di intervento in relazione alle risorse e ai rischi per criticità e creare una funzione di cybersecurity che:
- sia responsabile a livello aziendale della sicurezza cibernetica;
- faccia riferimento a un CSO che a sua volta riporti direttamente al CEO o al CdA;
- sia dotata di budget;
- abbia sufficienti autonomie e responsabilità nelle iniziative;
- riferisca regolarmente sullo stato di avanzamento dei lavori sia al CSO che alla funzione di Rischio;
- abbia potere di veto decisionale su attività impattanti sulla cybersecurity quali l’outsourcing, la selezione di fornitori, le eccezioni sui controlli di sicurezza;
Una gestione partecipata della cyber security
La metodologia e l’approccio sopra descritti possono portare le organizzazioni governative e non, le aziende gli operatori TLC, le infrastrutture critiche, gli apparati di intelligence e tutti gli altri enti che operano nel panorama dell’informazione a creare delle strutture protette in grado di tutelare business, efficienza operativa, capacità di competere in contesti internazionali adeguati al contesto di crescente conflittualità asimmetrica che caratterizza lo scenario mondiale. Tali capacità vanno anch’esse coordinate e orchestrate in modo da non renderle vane o comunque da sfruttarne appieno le potenzialità. Il passo successivo sarà quindi quello di condividere ai tavoli con gli enti governativi e apparati di intelligence la capacità difensiva e offensiva cyber per proteggere, tutelare e agevolare il raggiungimento degli interessi nazionali. Diversamente, senza un sistema di sicurezza cyber partecipata, qualunque ente, organizzazione, azienda sarebbe sola accerchiata da agguerriti player internazionali, criminali informatici, apparati e strategie offensive di altri paesi.
Criticità e risposte adeguate
In che modo potremmo tutelare gli interessi economici, strategici, militari nel mondo se non siamo in grado di proteggere le nostre reti di comunicazione dalle offensive dei colossi TLC cinesi? Come potremo garantire i servizi essenziali se le nostre centrali elettriche venissero rese inefficienti da hacker stranieri? Sarà mai possibile informatizzare davvero la pubblica amministrazione se non siamo nelle condizioni di assicurare efficienza e protezione dei sistemi informatici che dovranno sostenere i servizi al cittadino? Avremo davvero un governo e apparati di sicurezza efficienti se le comunicazioni tra gli organismi dello Stato sono oggetto di facile attività di intercettazione? Sarà mai possibile tutelare il know-how italiano nel mondo se non è difeso da sistemi in grado di contrastare strutturate azioni di spionaggio industriale? Sarà sufficiente escludere dei competitor stranieri dalla gestione di infrastrutture TLC 5G per proteggere queste ultime da potenziali attività di spionaggio o dovremmo affiancare a queste misure dei sistemi di protezione più avanzati magari anche in grado di proteggerci da minacce tutte interne?
Sono tutte domande quasi retoriche la cui risposta non può che essere no. Non sono altrettanto retorici la reale risposta a tali criticità e lo sviluppo di adeguate misure di protezione cyber.