Alla luce dell’entrata in vigore della Direttiva (UE) 2022/2555 (di seguito, “Direttiva NIS 2”) e del Digital Operational Resilience Act (di seguito, “Regolamento DORA”), emergono nuovi e importanti adempimenti legati alla gestione degli eventi informatici.
In ragione, peraltro, della crescente ondata di minacce informatiche che mirano a destabilizzare le attività di produzione e di fornitura di servizi essenziali per il pubblico – in particolare – nel settore finanziario e in quelli strategicamente rilevanti, occorre che le aziende impattate da tali eventi siano al corrente delle misure che si rende necessario implementare, sia a livello di governance che a livello operativo.
La Cyber security che verrà: l’evoluzione normativa in Italia e Ue
Più specificatamente, i soggetti interessati dall’applicazione della Direttiva NIS 2 e dal Regolamento DORA sono chiamati a sposare un approccio di gestione fondato sulla identificazione, valutazione e mitigazione del rischio cyber, ossia di tutti quegli eventi informatici in grado potenzialmente di produrre conseguenze catastrofiche per il core business aziendale.
Esaminiamo allora gli adempimenti necessari per rendere resilienti le società interessate dall’applicazione della Direttiva NIS 2 e del Regolamento DORA, con un particolare focus mirato all’esposizione dell’attività di gestione del rischio quale paradigma di governance e di prevenzione degli eventi informatici distruttivi.
Il nuovo framework Ue sulla sicurezza informatica
Con l’entrata in vigore della Direttiva NIS 2 e del Regolamento DORA, il legislatore europeo ha introdotto un vero e proprio framework di normative a disciplina della sicurezza informatica dei soggetti operanti nel mercato unico, fornendo importanti indicazioni sulla strategia che l’Unione Europea ha inteso adottare per far fronte alla sempre più crescente ondata di attacchi e incidenti di natura informatica. In particolare, la novità maggiormente significativa è rappresentata dall’innovativo approccio di rischio introdotto per la gestione e mitigazione degli incidenti informatici, sia interni all’organizzazione che presso i fornitori strategici, in grado di minacciare la sicurezza delle attività di business condotte.
Seppur individuati nel contesto di una pianificazione strategica comune, la Direttiva NIS2 e il Regolamento DORA rimangono pur sempre due impianti normativi differenti, sia per la platea di soggetti alla quale si rivolgono che per la portata applicativa dei rispettivi contenuti.
A tal proposito, partendo dal Regolamento DORA, è utile in principio ricordare come lo stesso stabilisca requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle imprese e delle organizzazioni che operano nel settore finanziario e assicurativo, in particolare, nonché delle terze parti critiche che forniscono loro servizi relativi alle tecnologie dell’informazione e della comunicazione (le c.d. tecnologie ICT), come piattaforme Cloud o servizi di analisi dei dati. L’obiettivo principale della nuova disciplina è quello di creare un quadro normativo vincolante in relazione alla resilienza operativa digitale che le imprese del settore finanziario e non devono garantire per poter essere in grado di resistere e, soprattutto, reagire alle minacce connesse alla sicurezza informatica.
Al contrario, la Direttiva NIS 2 – che aggiorna la Direttiva (UE) 2016/1148 (di seguito, “Direttiva NIS 1”), ossia il primo atto legislativo a livello europeo in materia di sicurezza informatica – introduce importanti misure in ambito di gestione dei rischi legati al tema della cybersecurity, un comparto sanzionatorio circoscritto e puntuale e obblighi di segnalazione degli incidenti informatici “significativi” per i soggetti strategici operanti nei settori individuati. Ed è proprio il numero e la tipologia di attori coinvolti ad essere stato ampliato dalla Direttiva NIS2: non più solo le aziende operanti nei settori altamente critici individuati in principio dalla Direttiva NIS1 – tra i quali si ricordano ad esempio trasporti, banche e infrastrutture del mercato finanziario – ma anche soggetti parimenti qualificati come critici ma operanti in ambiti differenti, quali ad esempio sono i fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), i gestori di rifiuti, i servizi postali e le organizzazioni di ricerca.
Fatta questa doverosa premessa di contesto, vediamo insieme nel dettaglio quali implicazioni comporta l’innovativo approccio risk based introdotto dalla Direttiva NIS2 e dal Regolamento DORA per la gestione e prevenzione del rischio cyber.
Un approccio di gestione fondato sul rischio
Con il termine “rischio” si suole fare riferimento ad un evento in grado di generare un danno, una perdita o un ostacolo. Tradizionalmente, è altresì indicato come il prodotto di due fattori: la probabilità di accadimento dell’evento e la gravità degli impatti che potrebbero essere idonei a determinare un’interruzione o un arresto definitivo delle operazioni di business condotte.
Così individuato, il concetto di rischio porta con sé tre attributi principali: una causa, un evento e un effetto. La capacità di un’azienda di saper valutare e gestire la probabilità di occorrenza di un evento non desiderato consente di tracciare un piano di azione e prevenzione idoneo a garantire scelte appropriate nel raggiungimento degli obiettivi desiderati.
Il concetto di multirischio
Nel contesto dell’attività di contrasto delle minacce informatiche, il concetto di multirischio è al centro della strategia europea dei prossimi anni. La crescente ondata di attacchi cyber alle imprese europee erogatrici di servizi essenziali ha imposto, infatti, un intervento normativo di supporto nell’adozione di un’infrastruttura di difesa e di prevenzione in grado di tutelare i beni e i servizi forniti, in particolare per quei servizi di natura critica e essenziale. L’adozione di una mentalità di prevenzione, gestione e mitigazione del rischio consente – infatti – di valutare la probabilità di accadimento degli incidenti e degli attacchi informatici, individuando contestualmente i potenziali impatti che l’infrastruttura societaria potrebbe subire e le ripercussioni sull’attività di business condotta. Tale fattore è fondamentale non solo per improntare un’attività difensiva adeguata, ma anche – e soprattutto – per permettere alle entità interessate di reagire in maniera appropriata.
E l’attività di valutazione e gestione del rischio appena illustrata deve essere portata avanti non solo con riguardo alla singola realtà produttiva delle aziende interessate, ma anche in riferimento ai prodotti e servizi forniti da terze parti. Ciò comporta l’esigenza di tenere conto anche delle misure di gestione del rischio implementate dai propri fornitori e, a livello di governance, di monitorare in maniera adeguata la propria supply chain, prevedendo verifiche costanti e puntuali sui ciascuna terza parte coinvolta.
Le cinque fasi del processo di valutazione, gestione e mitigazione del rischio informatico
Questa considerazione a carattere generale permette di introdurre la complessa attività di valutazione, gestione e mitigazione del rischio informatico. Tale processo è infatti composto da cinque fasi principali:
- una prima fase di individuazione degli eventi cyber potenzialmente disastrosi, che andranno a rappresentate il contesto oggetto di valutazione;
- una seconda fase di valutazione degli eventi cyber individuati per determinare il livello di rischio, attraverso il calcolo delle probabilità di accadimento dell’evento e la gravità di impatto sulle attività di business;
- una terza fase di predisposizione e pianificazione delle misure di prevenzione e protezione;
- una quarta fase di implementazione delle misure di prevenzione e protezione individuate;
- una quinta e ultima fase di monitoraggio periodico e revisione delle misure adottate.
Individuazione degli eventi informatici impattanti
Approfondendo nel dettaglio ciascuna delle fase appena individuate, si può evidenziare in primis l’importanza dell’operazione di individuazione degli eventi informatici impattanti, quale conditio sine qua non dell’intero processo di gestione del rischio: difatti, senza una corretta ed efficiente mappatura delle minacce, degli incidenti e degli eventi indesiderati, nessun soggetto giuridico sarebbe in grado di implementare un sistema in grado di poter prevenire i pericoli e, di conseguenza, intervenire per mitigarli. A mero titolo esemplificativo, si possono menzionare sia scenari ove la minaccia proviene da un attacco informatico esterno di natura malevola che scenari ove l’evento è prodotto da errori umani: si pensi banalmente ad un mancato rilascio di una patch di aggiornamento del sistema informatico che, se sfruttata da una terza parte malintenzionata, potrebbe rappresentare una vulnerabilità in grado di compromettere la sicurezza dei dati. Peraltro, occorre tenere traccia anche di quegli eventi che potenzialmente possano essere originati internamente all’azienda: si pensi al caso del dipendente malintenzionato (il c.d. insider) che, per rivalsa nei confronti del proprio datore di lavoro, estrae abusivamente una copia dei dati aziendali per rivenderli ad un soggetto competitor o ad una terza parte malintenzionata.
Determinazione del livello di rischio
Una volta consolidato il perimetro del processo di risk assessment, occorre procedere con la determinazione del livello di rischio. Quest’ultimo è dato dal prodotto tra la probabilità di accadimento dell’evento e la gravità dell’impatto, due valori che tendenzialmente possono essere espressi attraverso una scala numerica o qualitativa. Nel primo caso, ad esempio, la probabilità di accadimento dell’evento e la gravità dell’impatto può essere rappresentata da una progressione numerica dal valore di 1 al valore di 5, alla luce della minore o maggiore probabilità e gravità dell’evento. Nel secondo caso, invece, la probabilità di accadimento e la gravità dell’impatto possono essere espresse applicando una scala di valutazione qualitativa. Pertanto, in relazione al criterio della probabilità potremmo avere eventi:
- estremamente improbabili;
- improbabili;
- possibili;
- probabili;
- molto probabili.
Mentre, a livello di gravità, potremmo avere eventi ad impatto:
- molto basso;
- basso;
- medio:
- alto;
- molto alto.
A seconda del metodo di calcolo e dei valori prodotti, si ottiene quindi il c.d. indice di rischio, che rappresenta l’unità numerica a fronte della quale occorre applicare le misure di mitigazione opportune.
Tale operazione può essere inquadrata a cavallo tra la fase di pianificazione e la fase di implementazione delle misure di mitigazione, all’esito delle quali si ottiene l’indice di priorità di rischio del singolo evento.
Pianificazione delle misure di prevenzione o di protezione
A seconda delle circostanze, le misure di mitigazione possono distinguersi in misure di prevenzione o di protezione: tale distinzione è determinata dall’approccio metodologico adottato dall’azienda. Infatti, si parlerà di misure di prevenzione laddove l’azienda adotti una mentalità proattiva nell’implementazione delle misure adeguate a prevenire, e quindi impedire, il verificarsi dell’evento; al contrario, laddove l’azienda non abbia intrapreso un percorso di questo tipo o, alternativamente, laddove non sia stato possibile impedire il verificarsi dell’evento, si assisterà alla necessaria applicazione di misure reattive per impedire il promanarsi di conseguenze maggiormente dannose.
Implementazione delle misure di prevenzione e protezione individuate
Nel contesto appena delineato, è ad esempio caldamente suggerito alle imprese interessate di dotarsi di adeguati piani di Disaster Recovery e di Business Continuity, essendo tali accorgimenti fondamentali per garantire la prosecuzione dell’attività di business laddove si verifichi un evento in grado di porre in arresto o, nei casi più estremi, interrompere definitivamente la stessa. In merito, si avrà cura di approfondire questo tema nella righe che seguono.
Monitoraggio periodico e revisione delle misure adottate
Infine, a fronte delle misure di remediation implementate, occorre garantire un costante e ciclico monitoraggio. Tale attività di test e verifica periodica consente infatti di mantenere ciclicamente adeguate le misure implementate, a fronte dei mutamenti organizzativi e operativi che inevitabilmente l’azienda affronta nel corso degli anni. Peraltro, il processo di monitoraggio diventa a maggior ragione strategico in un periodo storico, quale è quelle contemporaneo, ove il progresso tecnologico implica un aggiornamento continuo degli strumenti tecnologici a disposizione delle aziende.
Suggerimenti operativi per la fase di mitigazione del rischio
A livello operativo, durante la fase di mitigazione del rischio, alle imprese interessate è richiesta l’adozione di una serie di misure tecnico-organizzative per rendere sicuro il proprio perimetro informatico.
In particolare, laddove l’incidente informatico comportasse impatti di natura disastrosa – a fronte della valutazione svolta per la determinazione del livello di rischio – il soggetto colpito dovrebbe disporre di un’efficiente sistema di continuità operativa (la c.d. Business Continuity) e di una procedura idonea a gestire la situazione di emergenza e l’eventuale ripristino dei sistemi, dei dati e delle infrastrutture (il c.d. Disaster Recovery). Nel primo caso, per stabilire i processi in grado di garantire la continuità aziendale necessaria, occorre senz’altro:
- effettuare un’analisi di impatto sull’attività di business (la c.d. Business Impact Analysis, o BIA), per determinare i tempi massimi di inoperatività che l’organizzazione ritiene accettabili;
- valutare il rischio legato al possibile verificarsi di un’indisponibilità parziale o totale dei servizi tecnologici, della sede o degli uffici, e dei fornitori;
- definire gli obiettivi e le strategie per il ripristino della normale attività, ossia nella specifico: (i) il recovery time objective (RTO), corrispondente alla durata massima – prevista o tollerata – necessaria a ripristinare le attività o i servizi erogati; (ii) il recovery point objective (RPO), corrispondente alla perdita massima di dati prevista o tollerabile; il minimum business continuity objective (MBCO), corrispondente al numero minimo di risorse da impiegare durante la fase di emergenza (come, ad esempio, l’indicazione del numero minimo di server utilizzabili e il personale necessario per far fronte alla problematica).
In merito al Disaster Recovery, la procedura che ciascun soggetto dovrebbe adottare internamente deve essere in grado di riportare tutto ciò che deve essere implementato da un punto di vista tecnico per garantire il ripristino dei servizi offerti, da un punto di vista sia di connettività che di sistemi. In particolare, sarà necessario prevedere un:
- Backup site, ossia un sito contenente i soli backup dei dati e dei sistemi;
- Cold site, ossia un sito con disponibilità di connettività ed energia in grado di poter ospitare i sistemi laddove necessario;
- Warm site, ossia un sito ove vengono conservati i backup e i sistemi già pre-configurati (che occorrerà attivare e riallineare quando necessario);
- Hot site, ossia un sito ove si trovano copie dei sistemi in produzione, soggette a sincronizzazione periodica;
- Mirror site, ossia un sito ove si trovano copie e sincronizzazioni immediate di dati e sistemi (in parole povere, un sito produttivo speculare a quello principale utilizzato dall’azienda).
Le misure di cifratura applicabili
Per quanto concerne le azioni di mitigazione idonee a tutelare la segretezza e la confidenzialità dei dati oggetto di business, occorre soffermarsi sulle misure di cifratura applicabili. Queste ultime infatti, se adottate, possono essere in grado di attenuare la minaccia legata ad un accesso non autorizzato ai dati oggetto di trattamento, sia che essi siano a riposo (perché, ad esempio, conservati in un database o nel desktop del singolo device) che in transito (perché, ad esempio, soggetti a comunicazione tra le aree aziendali interne).
Cifratura dei dati a riposo
Per la cifratura dei dati a riposo, di norma vengono utilizzati software come ad esempio BitLocker – su sistemi Windows – o FileVault 2 – su sistema MacOS. Per quanto riguarda, nello specifico, la cifratura da implementare sul singolo database, è bene precisare che la stessa può avvenire sia a livello di file system, sia a livello di singole strutture interne al database stesso (per esempio, a livello di singola cella, di singola colonna o di singola tabella).
Cifratura dei dati in transito
Al contrario, per la cifratura dei dati in transito, si utilizzano tecnologie e protocolli di cifratura specifici. In tal senso, possono essere citati gli esempi più comuni, in particolare:
- il protocollo HTTPS (per gli accessi web);
- il protocollo SFTP (Secure FTP per il trasferimento dei file);
- le VPN over SSH (ossia, connessioni remote sicure tramite Internet);
- il protocollo WPA2/WPA3 (per Wi-Fi) e Bluetooth (V2.1 o superiori).
Protezione della rete aziendale
In relazione alla protezione della rete aziendale, si parla invece di difesa perimetrale quando l’azienda adotta tecniche di salvaguardia della rete interna capaci di delimitare i punti di contatto con reti esterne o sconosciute.
In tale scenario è possibile l’utilizzo di diverse tecnologie, tra cui si richiamano nel seguito quelle più utilizzate ed efficaci:
- Firewall, ossia un dispositivo – hardware o software – per la sicurezza della rete che permette di monitorare il traffico in entrata e in uscita utilizzando una serie predefinita di regole di sicurezza. In tal senso, la maggior parte dei firewall utilizza due principali criteri di definizione delle regole, ossia: il Default-deny, rispetto al quale per impostazione predefinita viene permesso solo ciò che viene autorizzato esplicitamente, mentre il resto viene vietato, e (ii) il Default-allow, rispetto al quale per impostazione predefinita viene bloccato solo ciò che viene vietato esplicitamente, mentre il resto viene permesso;
- DMZ (demilitarized zone o zona demilitarizzata), ossia una rete di computer che funge da “cuscinetto” tra due reti distinte. Tale rete possiede un proprio indirizzo IP e delimita il perimetro di demilitarizzazione attraverso regole di accesso opportunamente definite;
- VPN (virtual private network), ossia una rete privata virtuale che crea un “tunnel” all’interno del quale avviene lo scambio delle informazioni. Tale tunnel utilizza tecnologie di cifratura che rendono i dati in transito illeggibili.
Protezione degli endpoint
L’adozione di misure tecnico-organizzative adeguate a mitigare il rischio individuato contempla anche la protezione dei c.d. dispositivi endpoint, ossia di tutti quei dispositivi in grado di connettersi alla rete aziendale centrale. Questi, infatti, rappresentano potenziali punti di accesso delle minacce informatiche in grado di compromettere la sicurezza informatica aziendale, e sono molto spesso identificati come l’anello debole della catena. In particolare, esistono diverse soluzioni per garantire la protezione degli endpoint:
- Piattaforme di protezione degli endpoint (di seguito, “EPP”), che monitorano le minacce conosciute (come sono, ad esempio, i malware tradizionali riconosciuti). A titolo di esempio, si può fare riferimento a: sistemi anti-malware (antivirus e antispam), Host-based Intrusion Detection and Prevention System (di seguito, “IDPS”), e restrizioni a livello di codice mobile;
- Sistemi di Endpoint Detection and Response (di seguito, “EDR”), ossia tecnologie in grado di monitorare in tempo reale le minacce attinenti alla rete aziendale. Essi si concentrano sull’analisi dei dati e offrono una visibilità end-to-end dell’attività di ogni endpoint presente all’interno dell’infrastruttura aziendale;
- Soluzioni di Data Loss Prevention (di seguito, “DLP”), ossia tecniche e sistemi in grado di identificare, monitorare e proteggere i dati in uso nella realtà aziendale, i dati in movimento e i dati a riposo, con l’obiettivo di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate.
I sistemi di sicurezza per riconoscere e respingere un attacco
In tema di misure preventive, la capacità di un’azienda di saper riconoscere e respingere un attacco è il metodo più efficace per proteggere i propri dispositivi ed i propri dati. A tal proposito – già a monte della fase di mitigazione – vengono utilizzati principalmente due sistemi di sicurezza:
- L’Intrusion Detection System (di seguito, “IDS”), ossia un sistema di rilevamento delle intrusioni che serve ad individuare in anticipo attacchi informatici verso un device o una rete. Gli IDS controllano ed analizzano tutte le attività di rete con l’obiettivo di riconoscere un traffico dati insolito e, conseguentemente, informare l’utente interessato. In questo modo l’utente ha la possibilità di reagire ai tentativi di accesso da parte dell’intruso e bloccare questi attacchi sul nascere;
- L’Intrusion Prevention System (di seguito, “IPS”), ossia un sistema di prevenzione degli accessi non autorizzati che – a differenza dell’IDS – dopo aver appurato la possibilità di un attacco, attiva immediatamente le misure di sicurezza impostate. In questo modo, si evita che trascorra un intervallo di tempo troppo lungo tra il rilevamento dell’intrusone e l’attuazione delle azioni di remediation. Per fare qualche esempio, sistemi di questo tipo sono utilizzati per prevenire gli attacchi denial-of-service (DoS) e gli attacchi Distributed Denial of Service (DDoS).
La differenza principale tra gli IDS e gli IPS è rappresentata dall’azione di remediation implementata una volta rilevato l’incidente. Infatti:
- Gli IDS non sono progettati per bloccare gli attacchi e si limitano a monitorare la rete e inviare avvisi agli amministratori di sistema laddove venga rilevata una potenziale minaccia;
- Gli IPS monitorano gli accessi a una rete IT per scopi di protezione. Questi sistemi sono progettati per monitorare i dati sulle intrusioni non autorizzate e adottano le azioni necessarie per prevenire il verificarsi di un attacco.
Da un punto di vista organizzativo, infine, è bene evidenziare che l’attività di mitigazione del rischio cyber contempla anche l’organizzazione di sessioni formative mirate. In tal senso, al netto degli obblighi che vengono ben evidenziati sia dalla Direttiva NIS2 che dal Regolamento DORA, è importante che ciascuna azienda qualifichi la conoscenza e il comportamento dei propri dipendenti come fattori determinanti nell’attività di prevenzione degli incidenti di sicurezza. A tal proposito, è quantomai di interesse aumentare la sensibilizzazione aziendale per prevenire i rischi causati dagli errori umani più comuni, fra i quali si citano ad esempio le conseguenza malevole legate all’apertura di un file contenuto in una mail di phishing. E tale attività di sensibilizzazione deve essere necessariamente in grado di coinvolgere in maniera concreta anche gli organi apicali, al fine di sottolineare l’importanza strategica della sicurezza e della prevenzione degli eventi informatici indesiderati.
Conclusioni
Nonostante il cyber framework europeo sia ancora in fase embrionale, dal momento che la Direttiva NIS2 troverà applicazione vincolante a partire dal 18 ottobre 2024 e il Regolamento DORA a partire dal 17 gennaio 2025, è fondamentale che le aziende – pubbliche e private – interessate dall’applicazione delle predette normative prendano seriamente in considerazione l’adozione di misure tecnico-organizzative adeguate a mitigare il rischio di impatto legato agli incidenti cyber, fra le quali rientrano gli esempi appena riportati. Quantomeno, è auspicabile che i soggetti interessati comprendano che l’applicazione di misure efficienti per la tutela della sicurezza informatica aziendale comporta un certo grado di invasività sul piano dei processi e delle procedure interne.
In tal senso, il monito è quello di provvedere a verificare l’applicabilità o meno della Direttiva NIS2 e del Regolamento DORA al proprio contesto operativo, per poi – in caso di esito positivo – aggiornare i propri processi e le proprie procedure interne, sia da un punto di vista organizzativo che informatico, prevedendo in particolare l’adozione di un approccio di risk assessment.