Come minimizzare i rischi del cybercrime? Quali le soluzioni per evitare downtime e fermi operativi? Una risposta arriva da Kyndryl. La multinazionale dell’Ict ha ufficialmente inaugurato a Roma il Cyber Operation Center. Installato nel Tecnopolo Tiburtino, in un data center Tier IV, il livello più alto di garanzia di uptime che un data center possa oggi offrire, rende disponibile una gestione combinata e adattiva della sicurezza e della resilienza cibernetica per aziende dei più diversi settori, dal manifatturiero, al finance, dai trasporti alla pubblica amministrazione. «Nel nuovo Soc sono presenti 170 specialisti che lavorano in collaborazione con oltre 7.500 colleghi in tutto il mondo servendo più di 4.000 clienti di ogni industria», afferma Roberto Zardinoni, sales & tranformation alliance leader di Kyndryl Italia. Eroghiamo servizi che coprono l’intero ciclo di vita degli eventi di sicurezza IT, dall’individuazione delle minacce al ripristino dei sistemi dopo l’attacco. L’imperativo è identificare, proteggere, rilevare, rispondere e ripristinare le condizioni originarie per assicurare una business continuity».
A bordo del Soc vi sono già 10 aziende. «Vengono monitorati 40mila eventi al secondo ed entro qualche mese si arriverà a 100mila», dice Federico Botti, practice leader security & resilience di Kyndryl Italia. L’efficacia dei servizi di security è resa possibile da algoritmi di machine learning e di intelligenza artificiale che analizzano enormi quantità di big data. «Il modello adottato dal Soc permette di agire non solo in maniera proattiva e reattiva alle minacce, ma anche adattiva per garantire la possibilità di annullare i danni, economici e reputazionali, che ogni attacco può produrre», sottolinea Andrea Boggio, associate director cyber resilience di Kyndryl Italia. «Il principale punto di forza, aggiunge Botti, è la piattaforma proprietaria di orchestrazione e automazione Xsoar, integrabile con i sistemi di security dei clienti, che complementa le classiche funzionalità fornite da un security operation center».
L’adozione di Xsoar aiuta ad accelerare la risposta agli incidenti unificando avvisi, incidenti e indicatori da qualsiasi fonte, su un’unica piattaforma per fornire ricerche, query e indagini velocissime. Il centro è uno dei tanti investimenti portati a termine da Kyndryl in Italia nell’ultimo anno: tra questi le oltre 500 assunzioni del 2022, che hanno aumentato del 40% il personale italiano, che ora comprende oltre 2000 specialisti certificati, di cui più di 570 sui tre principali hyperscaler. Più del 90% delle nuove risorse hanno competenze tecniche e vanno a rafforzare le aree strategiche per lo sviluppo dell’azienda numero uno al mondo dei servizi Ict. In primis il cloud, per la gestione di ambienti ibridi, on e off premise e multicloud, e a seguire la cybersecurity. Nata nel novembre del 2021 dallo spin-off della divisione Global Technology Services di Ibm, un fatturato globale di 18,7 miliardi di dollari, dal momento della sua costituzione, come affermato da Paolo Degl’Innocenti, presidente di Kyndryl Italia in occasione di un recente incontro con Industria Italiana, «Kyndryl ha dimostrato di essere l’interlocutore di riferimento per le aziende di ogni settore industriale e manifatturiero che si confrontano con la modernizzazione delle infrastrutture. La qualità dei servizi che eroghiamo è direttamente proporzionale alla capacità di utilizzare dati che vengono acquisiti da tutti gli apparati e sistemi che compongono un’infrastruttura. L’obiettivo è avere un monitoraggio e visibilità end-to-end dei processi Ict per individuare e risolvere le vulnerabilità, i punti critici, i colli di bottiglia che causano un rallentamento delle performance o, come nel caso del security center, per garantire una protezione da attacchi informatici e una garanzia della business continuity».
Le minacce sono sostanzialmente identiche in tutti i settori di industry, ma il manifatturiero è ancora la cenerentola della security
Finance, manifatturiero, trasporti, quali sono le differenze sostanziali in termini di minacce che vengono riscontrate nei diversi settori di industry? «Non ci sono novità di rilevo, i pattern di attacco rimangono sempre gli stessi. Certo, nel manifatturiero emerge tutto l’aspetto di messa in sicurezza della componente Ot di fabbrica, considerato il numero di device intelligenti connessi in rete che sono oggi presenti in un ambiente di produzione in conseguenza della trasformazione digitale complessiva che stanno vivendo queste aziende», dice Botti. E per quanto riguarda i tempi medi di ripristino, a fronte di attacchi che possono mettere ko i servizi informativi aziendali, Boggio spiega che tra tempi di presa in carico, analisi dei dati, definizione delle attività di contenimento, il tempo di chiusura di un incidente non è prevedibile.
«Possono volerci anche mesi poiché potrebbero essere necessarie azioni per segmentare in maniera progressiva le parti di infrastruttura colpite da un attacco, dice Boggio. Sono processi step by step. Il tempo che passa da un accadimento di un incidente a quando ci si accorge realmente di quanto avvenuto può anche raggiungere 200 giorni. Certo, se ci si dota di strumenti e processi di backup & recovery, non si diventa più ostaggio del cybercrime, in quanto i dati sono messi in sicurezza, ma sono investimenti che poche aziende hanno finora deciso di compiere».
Monitoraggio continuo, incident response e data recovery. Ancora poche le aziende italiane che si avvalgono di questi servizi
Con la supervisione di un Global Csirt (Computer Security Incident Response Team), il contributo di un Red Team (gruppo di esperti di sicurezza di tipo “ethical hacking”) e la disponibilità di un Malware Lab interno, il cyber operation center di Roma dispone di un’architettura avanzata che, come già detto, alle caratteristiche dei classici Soc, aggiunge una piattaforma di orchestrazione in grado di automatizzare gran parte dei processi che sono legati all’analisi dati. Obiettivo, attraverso i servizi erogati dalla struttura, è riuscire a sventare gran parte dei tentativi di intrusione che vengono effettuati dall’industria del crimine informatico, sottraendo le aziende ai ricatti della criminalità informatica e al pagamento di ingenti somme di denaro che vengono richieste per ripristinare la continuità operativa.
Ecco, quindi, strumenti per monitoraggio continuo e, nel caso di un incidente, soluzioni ad alta efficienza per data recovery e ripristino delle attività. Dashboard dedicate segnalano le eventuali anomalie. Consentono il blocco immediato delle minacce e l’identificazione di soggetti che stanno agendo nel perimetro aziendale. Servizi che diventano ormai essenziali, considerato che un’interruzione delle attività a seguito di un attacco informatico si calcola che comporti mediamente una perdita di mezzo milione di euro. Eppure, in base alle ultime rilevazioni solo il 7% delle aziende italiane è in grado di reagire in modo efficace agli attacchi cyber. Come dice Zardinoni «Dall’ultimo rapporto sulla sicurezza del Clusit l’Italia risulta tra i paesi maggiormente presi di mira dal crimine informatico. Sul volume degli attacchi riscontrati a livello globale, il 7,6% ha preso di mira enti e imprese italiane».
Attacchi informatici. Fra le realtà più bersagliate, grandi, medie e piccole aziende del manifatturiero
Come abbiamo già avuto modo di raccontare, i sistemi manifatturieri sono sotto un costante attacco. I dispositivi di automazione più diffusi al mondo sono diventati uno dei target preferititi dagli attacchi informatici: sfruttano le vulnerabilità dei singoli dispositivi per avere accesso alle reti che interconnettono macchine e linee di produzione. In gioco è la business continuity, la continuità operativa, che per un’azienda manifatturiera è la priorità delle priorità. Secondo le più recenti analisi, nel 2022 il numero di intrusioni avvenute in ambiente Ot è superiore alle violazioni registrate nella tradizionale area It. Insomma, l’Industry 4.0 e il suo combinato disposto edge-cloud ha proiettato la fabbrica nella dimensione del cybercrime. La produzione non è più un territorio incontaminato. E non esiste impresa a rischio zero. Le conseguenze più comuni? Fermi di produzione, mediamente di giorni od ore, e perdita di dati. Come dire, siamo nell’era delle macchine connesse e la fabbrica è diventata una partizione internet, integrata ai sistemi It e al cloud. Una condizione che comporta un’estensione della superficie di attacco e a cui bisogna porre rimedio.
Gli investimenti in sicurezza delle imprese italiane sono inferiori a quelli di altri paesi europei. Francia, Germania e Uk spendono il doppio
Secondo i dati di Clusit, nel periodo 2018-2022 il volume di attacchi subiti dalle aziende italiane è aumentato del 527%. E il 2022 è stato l’anno peggiore: l’incremento è stato infatti del 168% rispetto al 2021. A crescere in questo momento sono soprattutto gli attacchi di tipo ransomware, mirati a estorcere denaro alle vittime cifrando i loro dati e/o minacciando di diffonderli pubblicamente. Eppure, nonostante questa situazione, l’investimento complessivo delle aziende italiane in sicurezza cyber rimane modesto. Secondo le ultime rilevazioni è stato di 1,9 miliardi di euro nel 2022, equivalente a circa l’1% del Pil. Cifra di gran lunga inferiore a quella di altri paesi europei, come Francia, Germania e Uk, che in sicurezza spendono in media il doppio di noi italiani.
Strumenti capaci di rilevare eventuali comportamenti anomali degli utenti, ma soprattutto che siano in grado di reagire ad attacchi esterni, sia in modo automatico che manuale per minimizzare o bloccare i malintenzionati, diventeranno il new normal delle aziende? Non è per nulla scontato, ma iniziative come quella avviata da Kyndryl con il nuovo security center potrebbero accelerare questo percorso. «I nostri servizi permettono di avere una visibilità completa, un monitoraggio real time di quello che sta succedendo, offrendo tutti meccanismi di recovery per mantenere resilienti le infrastrutture delle aziende. Con le funzioni che rendiamo disponibili riusciamo a ridurre i tempi di recovery», afferma Botti. Insomma, vale sempre il vecchio detto: la sicurezza al 100% non esiste, è necessario essere sempre nella condizione di poter ripristinare l’operatività aziendale.
(Ripubblicazione dell’articolo del 9 maggio 2023)
