La guerra in Ucraina è molto diversa da ciò a cui siamo abituati. Diversa anche dalle ultime guerre a cui abbiamo assistito negli ultimi anni. Questo perché l’Ucraina è un proxy di uno scontro ben più ampio, tra Stati Uniti (e NATO) e Russia (e i suoi alleati), che rischia di mettere la parola fine alla globalizzazione come la conosciamo.
Le aziende devono prepararsi ad affrontare i rischi legati alla cyber warfare – cioè l’uso di attacchi cibernetici (online) per causare danni al nemico – seguendo gli alert della Agenzia per la Cybersicurezza Nazionale e adottando un approccio simile a quello del movimento prepper del XXI secolo.
In particolare, l’attuale contesto richiede che cybersecurity by design e privacy by design siano considerate due facce della stessa medaglia. Possibilmente, con l’assistenza di DPO (Data Protection Officer) e CISO (Chief Information Security Officer) preparati e consapevoli del contesto geopolitico.
Guerra, grande banco di prova per l’Agenzia cybersicurezza nazionale
Gli effetti a catena dei cyberattacchi
Il pericolo di cyber warfare globale non è sfuggito alla neonata Agenzia per la Cybersicurezza Nazionale, che il 28 febbraio ha pubblicato un bollettino in cui avverte dell’acuirsi delle attività malevole nello spazio cibernetico e del maggiore pericolo di fenomeni di “spillover” al di fuori dei soggetti direttamente colpiti. Che significa spillover?
È semplice: oggi siamo tutti interconnessi. Aziende e pubblica amministrazione formano un universo fatto di sistemi, reti, software, hardware e servizi Cloud di ogni tipo, che direttamente o indirettamente sono collegati tra loro via Internet. Quando un soggetto viene colpito da un attacco cibernetico è possibile che questo possa avere un effetto a catena su tutti i soggetti funzionalmente collegati.
Ad esempio, se un fornitore di servizi SaaS per la telemedicina e il controllo da remoto dei pazienti venisse colpito, le conseguenze ricadrebbero direttamente sugli ospedali e sulle strutture che utilizzano quel servizio, con implicazioni dirette (talvolta anche gravi) anche per i pazienti.
L’alert dell’Agenzia per la Cybersicurezza Nazionale
Questa eventualità non è affatto remota, ed è per questo che l’Agenzia per la Cybersicurezza Nazionale chiede espressamente di innalzare la postura di sicurezza aziendale e di diminuire il più possibile la superficie attaccabile e le vulnerabilità.
Dirò di più: la specifica eventualità di attacchi cibernetici su scala globale fu oggetto del Cyber Polygon 2021, un evento annuale organizzato dal World Economic Forum nell’ambito del loro Centre for Cybersecurity.
Il Cyber Polygon 2021 seguiva in realtà l’oggetto del Cyber Polygon 2020: la preparazione a una cosiddetta “cyberpandemia”, cioè lo scenario in cui a causa della quantità e della portata di attacchi cibernetici e degli effetti di spillover, potremmo assistere ad un vero e proprio contagio globale cibernetico, con effetti devastanti – soprattutto per il settore finanziario ed energetico.
Gli strumenti della cyber warfare
Il clima da nuova guerra fredda (o tiepida, per ora) sta già dando i suoi effetti sul piano economico e dell’informazione. Tutti ormai conosciamo le sanzioni finanziarie e il tentativo di congelare transazioni russe verso l’occidente e viceversa; allo stesso modo abbiamo censurato media russi (Russia Today, Sputnik e molte altre fonti d’informazione), mentre in Russia hanno censurato proprio in queste ore CNN, CBS, Bloomberg, ABC, BBC, CBC.
Se nel mondo fisico la guerra è limitata ai confini dell’Ucraina, nel mondo digitale è già globale – senza confini. Questo chiaramente non vale solo per il piano economico e informativo, ma anche e soprattutto per il cosiddetto “cyber warfare”. Gli strumenti prediletti sono quelli che conosciamo molto bene: DDoS, phishing, ransomware, fino ad arrivare ad attacchi mirati molto pericolosi.
Gli attacchi cibernetici non arrivano però solo da apparati militari statali, ma anche e soprattutto da collettivi di hacker e cybercriminali che per un motivo o per l’altro tifano Russia o NATO. Il gruppo Anonymous, ad esempio, ha già dichiarato pubblicamente di aver intrapreso una guerra contro Putin, portando a segno già alcuni attacchi.
Alcuni ricercatori hanno creato una sorta di tracker dei gruppi più noti sul panorama del cybercrime (alcuni anche direttamente associati con Anonymous), per cercare di capire in che modo sono schierati: almeno 39 sono apertamente schierati pro-Ucraina, mentre almeno 13 sono dichiaratamente pro-Russia. Alcuni gruppi noti, come Conti Ransomware Gang, non hanno invece reso nota la loro affiliazione politica.
Dal Cyber Polygon 2020: “A single data breach across the ocean could trigger a chain reaction and spark a ‘digital pandemic’ across the globe. People, organisations and entire states may fall victim to the catastrophe”.
Il termine cyberpandemia fu coniato in quell’occasione da Klaus Schwab: “it is important to use the COVID-19 crisis as a timely opportunity to reflect on the lessons of cybersecurity community to draw and improve our unpreparedness for a potential cyber pandemic”.
Anche Christine Lagarde, presidente della Banca Centrale Europea, si pronunciò nel 2020 sul tema, ammettendo che alcuni cyber-attacchi avrebbero potuto causare una grave crisi finanziaria.
Perché le aziende non possono rimanere inerti
Se allora il contesto è davvero questo, è impossibile pensare di rimanere inerti.
Le aziende oggi dovrebbero essere consapevoli dell’esistenza di rischi sociali e sistemici che non possono essere evitati in alcun modo.
Non ci sono molte opzioni a disposizione delle aziende e degli Stati. Possono rimanere inerti, sperando di non essere vittime, dirette o indirette, di attacchi cibernetici, oppure possono prepararsi.
Nel primo caso, le aziende devono sapere che senza preparazione è molto difficile sopravvivere a un attacco cibernetico, e che comunque c’è il rischio concreto di danneggiare terzi a causa dell’effetto spillover (altre aziende o persone). Nel secondo caso, la sopravvivenza non è assicurata, ma le probabilità aumentano notevolmente (anche in relazione al tipo di preparazione).
La corrente ideologica dei preppers
Per far capire meglio il concetto mi piace richiamare la corrente ideologica dei cosiddetti “preppers” (dall’inglese to prepare, cioè prepararsi). I prepper sono persone che abbracciano questo movimento nato negli Stati Uniti e nel Regno Unito durante la guerra fredda. In quel periodo c’era molta paura di una guerra nucleare, o comunque di una terza guerra mondiale, e molte persone cominciarono così a prepararsi potenziando la propria postura di sicurezza: allenamento fisico e sviluppo di capacità di sopravvivenza nella natura, scorte di cibo e acqua, fino anche a bunker veri e propri nello scantinato di casa.
Il rischio cyber tra i più pericolosi per la sopravvivenza delle aziende
Ecco, le aziende oggi dovrebbero abbracciare il movimento prepper, ma dal punto di vista della cybersecurity. Il rischio cibernetico è purtroppo meno sentito rispetto a rischi più fisici, come quelli finanziari o quelli geopolitici, ma non per questo meno pericoloso. Oserei dire anzi che oggi è tra i rischi maggiori per la sopravvivenza stessa di ogni azienda. D’altronde, la tecnologia oggi ha fatto passi da gigante anche nel campo del cybercrime e cyberwarfare, e ormai quasi tutti gli attacchi sono automatizzati (anche con IA) e su larga scala. Chiunque può diventare un obiettivo o il danno collaterale di attacchi a tappeto.
L’obiettivo è quindi prepararsi, conoscere le proprie vulnerabilità ma anche i punti di forza, e sperare che i nostri partner, fornitori, clienti e qualsiasi altro soggetto a cui siamo connessi faccia lo stesso. O magari, meglio ancora, verificare che i soggetti a cui siamo connessi facciano lo stesso: una catena è forte tanto quanto il suo anello più debole.
Un buon punto d’inizio del percorso di preparazione è proprio il bollettino dell’Agenzia per la Cybersicurezza Nazionale. Innanzitutto, è fondamentale ridurre la superficie d’attacco esterna e quella interna, ad esempio verificando la configurazione sicura degli asset aziendali e con il patching di tutte le componenti.
Oltre a questo, si raccomanda di adottare diverse misure organizzative e tecniche per il controllo degli accessi, il monitoraggio dei log e il controllo del traffico di rete. In ultimo, ma non certo per importanza, si raccomanda di preparare la gestione delle crisi cibernetiche (ad esempio attraverso business continuity plan e disaster recovery plan).
Il vulnerability assessment
Uno strumento molto utile e ormai di ampia diffusione è quello del vulnerability assessment, per fotografare sistemi e applicativi e identificare le vulnerabilità che possono essere sfruttate per portare a segno attacchi.
Se la cybersecurity è fondamentale, non bisogna però dimenticare la privacy. Migliorare la postura di cybersicurezza aiuta a prevenire i rischi, mentre avere un sistema di governance dei dati rispettoso dei requisiti di privacy by design (limitazione della conservazione, minimizzazione dei dati, pseudonimizzazione e anonimizzazione, crittografia) aiuta a mitigare le conseguenze di un attacco verso l’azienda.
C’è di più: un’azienda dotata di sistemi di valutazione dei suoi fornitori, come previsto dal GDPR (Regolamento europeo per la protezione dei dati) sarà in grado di diminuire anche i rischi derivanti da terzi, potendo contare su fornitori e servizi (digitali) affidabili e sicuri.
