Il mercato delle applicazioni cloud, che era in crescita esponenziale anno su anno, ha ricevuto un’ulteriore accelerazione in conseguenza della pandemia e della necessità di lavorare anche da remoto, quindi oggi quasi la totalità dei clienti privilegia l’adozione di soluzioni applicative web nella modalità Software as a service (Saas), Platform as a service (Paas) oppure Infrastructure as a service (Iaas) a seconda della volontà di dotarsi di un’infrastruttura IT interna oppure di delegare anche questo servizio al fornitore di tecnologia.
Con lo smart working strutturale e il lavoro in mobilità le aziende hanno quindi ampliato la loro area di vulnerabilità agli attacchi: prima era solo l’ufficio, mentre oggi si lavora in modo sempre più decentralizzato e questo aumenta i rischi.
Cloud e sicurezza
Zucchetti e le società del nostro gruppo subiscono migliaia di attacchi ogni giorno, ma nei rarissimi casi in cui abbiamo registrato degli accessi non consentiti non abbiamo mai pagato riscatti e abbiamo ripristinato la situazione in brevissimo tempo senza particolari disagi.
Per molte aziende passare ai servizi in cloud aumenta la sicurezza. Gli investimenti che possono fare società di software sono sicuramente superiori a quelli che può fare una singola società; servono persone altamente competenti, processi ad hoc, strumenti di monitoraggio, investimenti finanziari: tutti aspetti che una singola società fa fatica a garantire.
Siamo passati da attacchi volumetrici (finalizzati a bloccare la banda) ad attacchi evoluti dove si simula il comportamento degli utenti finali e si cerca di accedere al mondo applicativo per installare virus o per rubare dati per poi chiedere dei riscatti.
Il nostro SOC (Security Operation Center) è attivo H24 sette giorni su sette e continua a rafforzare i sistemi di protezione: siamo continuamente costretti a creare procedure interne con doppie password e due o più livelli di autenticazione.
L’importanza del Security Assessment iniziale
Non solo: è fondamentale effettuare un Security Assessment iniziale per identificare e classificare i sistemi aziendali in relazione alle possibilità di attacco hacker. Con un approccio top-down si procede con un’attività di raccolta delle informazioni utile a fornire una corretta rappresentazione dei sistemi e delle principali aree di rischio, per poi validare la corretta adozione delle principali best practice di riferimento in materia di sicurezza informatica.
Vengono previste sia attività di intervista e raccolta documentazione, che attività puntuali di verifica configurazioni e test, svolte da risorse interne quali consulenti qualificati, sistemisti certificati ed ethical hacker riconosciuti.
In sintesi, con un approccio strategico e strutturato, si emula l’approccio degli hacker, analizzando l’azienda e l’infrastruttura mediante tecniche e strumenti tipicamente utilizzati dai cybercriminali; vengono, quindi, effettuate attività volte a completare la mappatura della superficie d’attacco e a misurare l’esposizione di informazioni riservate, per fornire una reale misura del fattore di rischio, utile a stimare i potenziali danni diretti che potrebbero derivare dalle azioni di attacco.
Le principali attività pianificate sono: il Vulnerability Assessment, il Penetration Test e il Threat Assessment che generano i report delle vulnerabilità riconosciute, delle tecniche di attacco implementate e della relativa “resilienza” dell’infrastruttura, con l’indicazione delle contromisure proposte e le relative motivazioni.
Il ruolo degli ethical hacker
Per la crescente importanza della figura professionale dell’Ethical Hacker, abbiamo anche realizzato un percorso di formazione gratuita in collaborazione con il CEFRIEL, l’ente di formazione del Politecnico di Milano sui temi del digitale, per dare la possibilità a giovani con diploma di ITS in ambito tecnico-informatico, laureandi o laureati in ambito informatico, ingegneristico e matematico di specializzarsi in questo ruolo sempre più ricercato sul mercato del lavoro.
Il rischio cyber per le aziende
Oggi, infatti, l’attenzione si sta spostando sempre di più sul tema cybersecurity e data protection a tutti i livelli, in quanto la salvaguardia dei dati è un tema sempre più strategico.
È difficile dire per un’azienda che sia protetta al 100% dagli attacchi informatici. Credo che ogni azienda dovrebbe realisticamente valutare e tarare il proprio livello di investimenti sul tema cybersecurity in relazione ai rischi che può prendersi sul business che gestisce. La domanda da farsi è: “Quanti giorni di disservizio può concedersi il tuo cliente per sanare il problema”? Quando è capitato un hackeraggio a una società del nostro gruppo, i sistemi di Business Continuity e Disaster recovery che avevamo messo in campo ci hanno permesso di governare con serenità la situazione, mitigando il problema e ripartendo in tempi accettabili.
In qualità di coordinatore del Working Group “Data e AI” di Assolombarda posso aggiungere che i risultati emersi dalle analisi del nostro gruppo di lavoro sono in linea con quanto è emerso dal Cyber Index PMI elaborato e recentemente pubblicato da Confindustria, ossia:
- Il 45% delle PMI riconosce il rischio Cyber, ma solo il 14% ha la capacità di valutarlo e mitigarlo;
- Dal 2021 e 2022 gli attacchi informatici sono aumentati del 169%;
- Il 58% delle PMI ha un’attenzione al tema della sicurezza informatica, ma solo l’11% ha un budget dedicato alla cybersecurity.
Inoltre, l’82% dei problemi connessi ad attacchi informatici coinvolge il fattore umano, il phishing non è l’unico problema.
Un report di Gartner ha evidenziato che:
- il 76% delle persone non cambia la password o usa la stessa per diversi account;
- il 65% apre le email da indirizzi sconosciuti;
- il 61% manda informazioni sensibili senza criptarle.
- il 93% dichiara di conoscere i rischi legati alla Cybersecurity, ma nonostante ciò le persone continuano a non seguire tutte le indicazioni che vengono suggerite.
Conclusioni
Le aziende devono sviluppare automatismi. Non basta formare e mettere regole.
Tutti facciamo scuola guida, sappiamo che il limite in città è di 50 km orari, ma questo non basta per ottenerne il rispetto.
Per questo motivo Assolombarda, attraverso i lavori del WG Data & AI, sta sviluppando nuovi progetti per stimolare l’adozione di intelligenza artificiale nel sistema produttivo, mirando soprattutto alle PMI, mostrando le potenzialità e le capacità applicative di questa tecnologia, ma anche mettendo in evidenza rischi e criticità grazie alla condivisione di esperienze delle aziende che hanno già implementato l’AI nei propri processi.
