di Marco Scotti ♦ Il quadro è migliorato, ma c’è ancora molto da fare. Soprattutto per il manifatturiero bisogna individuare gli strumenti più adatti per la difesa. E’ il momento della Cyber resilience, con l’utilizzo di tecnologie innovative come l’ AI e il machine learning. I risultati del rapporto di Accenture Security
«Le aziende italiane stanno migliorando la loro capacità di prevenire gli attacchi mirati, ovvero quelli che hanno il potenziale per penetrare le difese di un’azienda causando danni al business. Secondo i nostri dati, in Italia lo scorso anno ogni impresa intervistata è stata in grado di prevenire il 90% dei 184 attacchi mirati identificati in media. Anche il tempo di individuazione delle minacce sta migliorando: il 93% delle aziende intervistate dichiara di riuscire a identificare gli attacchi andati a buon fine in meno di un mese contro l’89% a livello globale. Quello che però vediamo sempre più spesso è che in Italia le aziende investono in materia di sicurezza, ma spesso in modo poco appropriato. Anche il manifatturiero sta diventando un bersaglio sempre più frequente del cybercrimine che mira a sottrarre informazioni relative a progetti e opere d’ingegno. La soluzione sta nell’adottare un approccio di cyber resilience, realizzando un sistema di difesa che parta dall’analisi delle priorità rispetto agli asset aziendali da proteggere e faccia leva sulle nuove tecnologie per tutelare il business in maniera più efficace e stabile nel tempo».
È questo il pensiero di Paolo Dal Cin, managing director di Accenture Security che a luglio ha realizzato uno studio – The State of Cyber Resilience Report – per fare il punto sulla sicurezza informatica delle aziende. Un ritratto in cui si alternano notizie positive e allerte, ma che lancia un messaggio chiaro: anche i soggetti più piccoli non sono al sicuro e devono comprendere che proteggersi sia un’esigenza primaria. L’idea che soltanto i colossi possano finire sotto attacco è tanto obsoleta quanto fallace. E rischia di esporre a rischi enormi.
A livello globale
Il report The State of Cyber Resilience 2018 è stato realizzato intervistando 4.600 professionisti aziendali della sicurezza, in rappresentanza di aziende con fatturato annuo pari o superiore a un miliardo di dollari in 15 paesi. Il dato che emerge con maggiore forza dalla survey di Accenture è che i ransomware (ovvero quegli attacchi informatici che criptano i dati per chiedere un riscatto in cambio del loro sblocco, come nel caso di WannaCry che terrorizzò il mondo nella primavera dello scorso anno) stanno aumentando in maniera costante, raddoppiando la propria incidenza tra il 2017 e il 2018 e divenendo uno degli strumenti di elezione di un cybercrimine che si muove sempre più per fini economici comportandosi come il crimine organizzato tradizionale.
«Sta cambiando radicalmente – ci spiega ancora Dal Cin – il quadro della sicurezza informatica: oggi i criminali utilizzano strumenti automatizzati e operano su larga scala. Spesso gli attacchi sono di tipo massivo e sparano nel mucchio facendo in modo che chiunque possa diventare una vittima inconsapevole. In altri casi gli attacchi sono molto mirati e colpiscono al cuore dell’azienda. Nessuna organizzazione può permettersi di perdere il proprio patrimonio informativo, che è fatto di dati riservati e di proprietà intellettuale, senza avere un impatto molto negativo sul proprio business». Naturale che di fronte a uno scenario di questo tipo servano delle difese specifiche per la protezione dei dati: è necessario effettuare dei backup periodici dei dati così da poter garantire continuità del business anche nel caso vengano sottratti o criptati per poi chiedere un riscatto.
Reputazione
Con l’entrata in vigore del GDPR dal 25 maggio scorso si apre un ulteriore capitolo per quanto riguarda la protezione dei dati personali. «C’è un tema – argomenta con Industria Italiana Paolo Dal Cin – abbastanza chiaro di regolamentazione. Con il GDPR, infatti, indipendentemente dal settore merceologico c’è l’obbligo di dichiarare l’avvenuto data breach entro 72 ore dal momento in cui ci si accorge dell’attacco. Questa necessità aumenta di molto l’impatto reputazionale, perché chi non ottempera alle richieste europee rischia sanzioni molto pesanti. Gli stessi livelli apicali delle aziende e i membri dei consigli di amministrazione stanno prendendo sempre più coscienza dell’impatto che le violazioni potranno avere per la reputazione aziendale. Anche perché verremo a conoscenza sempre più di frequente di fatti che prima del 25 maggio venivano comunicati con un approccio completamente diverso e, soprattutto, solo per settori specifici come, ad esempio, le banche.
La difesa
Dalla survey di Accenture emergono alcune notizie positive. Ad esempio, che “solo” un attacco su otto va a buon fine e che l’89% delle imprese, a livello globale, impiega fino a 30 giorni per accorgersi dell’intrusione. Per Dal Cin si tratta di «un trend positivo rispetto agli anni scorsi. Per fare un paragone, lo scorso anno la metrica che avevamo per individuare un attacco era di circa 6-7 mesi. Qui però finiscono le note positive, perché se mi viene chiesto se 30 giorni sono un tempo sufficientemente breve la mia risposta non può che essere un convinto “no”. Non siamo ancora arrivati al livello di sicurezza che ritengo necessario, indipendentemente dall’entrata in vigore del GDPR».
Le nuove tecnologie e gli investimenti
Le imprese globali sono ormai con le spalle al muro, e non possono più fare finta di niente: per proteggere i dati sensibili che inevitabilmente custodiscono devono per forza di cose iniziare a investire nella sicurezza informatica. Da questo punto di vista, i risultati del report sono confortanti, anche grazie all’ausilio che può arrivare dalle nuove tecnologie. «L’Intelligenza Artificiale – racconta Dal Cin – e il machine learning sono degli ottimi strumenti di prevenzione perché sono in grado di capire in anticipo se ci sono dei movimenti sospetti e se l’attività nei server stia mostrando comportamenti anomali. Gli antivirus tradizionali trovano il “DNA” degli attacchi e aggiornano le firme di protezione. Serve spostarsi dalle tecnologie tradizionali a quelle innovative per offrire una protezione più proattiva».
Proteggersi senza scoprire il fianco
Secondo i dati prodotti da Accenture, le imprese a livello mondiale proteggono attivamente i due terzi della propria azienda. Questo non significa che riescano poi effettivamente ad arginare gli attacchi, ma che stanno mettendo in campo diversi strumenti in loro potere per proteggersi. Il che è un punto decisamente positivo. Insieme a questo, però, non va dimenticato come la restante parte dell’azienda che non viene protetta, magari per carenza di fondi o per mancanza di conoscenza del rischio, possano rappresentare una “bomba” a orologeria per l’intera rete.
«La maggior parte delle aziende – aggiunge il managing director di Accenture Security – ha la possibilità di dotarsi di soluzioni per proteggere il proprio patrimonio informatico. Hanno investito in questi anni e continueranno a farlo anche in futuro. Più del 30% del campione che abbiamo analizzato è pronto a mettere mano al portafoglio e ad aumentare gli investimenti in cybersecurity rispetto al passato. Il trend dunque è positivo, ma non ancora sufficiente. Si investe tanto ma, probabilmente, non si investe in maniera efficace. La maggior parte delle aziende, infatti, adotta ancora un approccio difensivo, mentre il nostro suggerimento è di spostarsi verso meccanismi preventivi e metodologie di analisi che possano innalzare i livelli di cyber resilience.»
«L’approccio è completamente diverso: se penso che possa esserci un attacco terroristico in una qualunque città italiana, stabilirò quali possano essere gli obiettivi più sensibili, non distribuirò le forze dell’ordine in maniera uniforme a ogni incrocio, ma cercherò di capire quali sono gli asset più importanti da tutelare. Allo stesso modo opera la cyber resilience, che punta a proteggere il core dell’azienda evitando di allocare risorse in aree del business che sono poco profittevoli e, di conseguenza, poco allettanti per i cybercriminali».
Cyber resilience
La cyber resilience, dunque, è una modalità diversa di approcciarsi al cybercrimine che non dà il dono dell’invulnerabilità alle aziende, ma che offre un livello di protezione adeguato e consente di gestire in maniera tempestiva l’eventuale attacco minimizzandone l’impatto. È una capacità organica e strutturale che è ormai indispensabile in un’economia digitale. «Siamo sulla buona strada – ci spiega Dal Cin – ma credo che come ecosistema industriale possiamo e dobbiamo ancora crescere nei prossimi due o tre anni per arrivare a un livello adeguato di difesa, tutelando gli asset dell’azienda e gli obiettivi sensibili. Quello che suggeriamo è di effettuare degli “stress test”, simulando degli attacchi per capire come può difendersi l’azienda. Solo in questo modo si può comprendere che rischi stiamo correndo.»
«E poi, ovviamente, servono le tecnologie, che offrono maggiore capacità di individuazione degli attacchi. Penso ad esempio alle applicazioni dell’AI al campo specifico degli analytics della sicurezza. Serve un supporto delle macchine che consenta di cogliere eventuali segnali di debolezza e individuare le situazioni di rischio. Dal punto di vista dell’organigramma aziendale, poi, è fondamentale il ruolo del Ciso (Chief Information Security Officer) che deve essere in grado di individuare la strategia più efficace e di interfacciarsi in modo efficace con tutte le funzioni aziendali e con il board, sempre più coinvolto nelle decisioni in materia di cybersecurity».
Le aziende
A livello globale, tra il 2017 e il 2018 ogni azienda ha subito in media 19 attacchi andati a buon fine. Un numero enorme eppure in calo rispetto a dodici mesi fa. Un trend che sicuramente deve far ben sperare, ma che è ancora lontano dall’essere ottimale. «A mio giudizio – ci racconta Dal Cin – servono ancora un paio d’anni per riuscire a mettere in campo quelle contromisure che permettano di minimizzare gli attacchi che attualmente sono sviluppati dal cybercrmine. Sia in Italia che nel resto del mondo registriamo dati che, seppur in crescita, sono ancora allarmanti e non ci permettono di “dormire sonni tranquilli”. Ciononostante, le aziende oggi riescono a prevenire la maggior parte degli attacchi».
L’Italia
Rispetto al resto del mondo, l’Italia ribalta il peso degli attacchi provenienti dall’esterno rispetto a quelli interni. Nel nostro paese, infatti, il 53% delle infezioni è riconducibile a cause endogene, contro il 70% a livello mondiale; al contrario, mentre nel resto del mondo gli attacchi esterni rappresentano il 56% del totale, in Italia si arriva al 64%. «La chiave di lettura – spiega Dal Cin – può essere che oggi in Italia abbiamo maggiore vulnerabilità agli attacchi esterni rispetto agli Stati Uniti perché onestamente abbiamo investito molto meno rispetto ad altri paesi e quindi abbiamo un livello più basso di protezione. Di difficile gestione, per gli altri Stati, rimane il cyber insider che può avere un accesso privilegiato a un certo tipo di informazioni, rendendo più difficile la gestione di questa minaccia».
Negli ultimi tre anni il 20% delle aziende ha almeno raddoppiato gli investimenti in cybersecurity e il 30% sta pianificando di fare lo stesso nei prossimi tre anni. Mantenendo questo ritmo di miglioramento, in due o tre anni le aziende potrebbero arrivare a un livello di performance elevate per l’80% delle capacità di cybersecurity. Nonostante questi miglioramenti il numero di data breach ancora troppo elevato se si considerano i danni in termini di perdita di dati e di reputazione che un attacco mirato riuscito comporta.
Il manifatturiero
Un settore che sta vivendo una preoccupante impennata di attacchi è il manifatturiero. Fino a pochi anni fa, infatti, era un comparto raramente oggetto di attacchi informatici. Questo ha portato le aziende a sottovalutare il problema, operando investimenti scarsi e poco efficaci. «Il manifatturiero – argomenta Dal Cin – ha sicuramente speso molto meno di altri settori merceologici, come utility, banche e telecomunicazioni, che già da tempo hanno invece scelto una via più virtuosa. Quello che sta accadendo è sotto gli occhi di tutti: di fronte a una rivoluzione industriale come quella che stiamo vivendo, è in corso una forte digitalizzazione della catena produttiva. Abbiamo forti componenti robotiche e un’integrazione tra IT e OT. »
«Ovviamente, questo sta portando grandi benefici dal punto di vista del business, ma espone le aziende a minacce che non erano abituate ad affrontare e che forse neanche conoscevano. Il trend, quindi, è in costante crescita. Abbiamo avuto esperienze dirette di aziende che, con attacchi mirati, hanno avuto il blocco macchine per quasi un giorno con impatti ovvi sui fatturati. Anche perché questi stop mettono a repentaglio anche la sicurezza degli operai. Assistiamo anche a casi in cui l’attacco ai macchinari è in realtà un attacco “civetta” che serve per distrarre l’organizzazione per poter raggiungere il vero obiettivo: sottrarre la proprietà intellettuale dell’azienda».
Gli errori più comuni
Sempre secondo la survey elaborata da Accenture, gli errori di configurazione sono la terza causa più comune di attacchi in Italia, mentre nel resto del mondo hanno un peso minore. Spiega Dal Cin: «Non si tratta di vulnerabilità intrinseche del software che le aziende comprano. Il programma, una volta acquistato, deve essere installato in ambienti complessi, con più sedi e magari più data center. Durante questa operazione, il software deve essere configurato in maniera corretta, ma spesso qualcosa va storto. Ed è qui che il cybercriminale può trovare spazio per un accesso abusivo tramite gli errori di integrazione del software. In Italia questo tipo di problema ha maggiore rilievo che nel resto del mondo perché, soprattutto nelle Pmi, il software viene acquistato come prodotto “sartoriale”, perché si possa adattare alle specifiche esigenze delle aziende più piccole. Si creano dei prodotti ad elevata personalizzazione che però possono diventare un boomerang».
Le nuove mafie
«La criminalità organizzata – conclude Dal Cin – sta imparando molto in fretta quanto possa essere redditizio il cybercrime. Con la rete, infatti, si è trovato un nuovo canale che consente di portare avanti l’attività criminosa tipica delle mafie. Un nuovo approccio e un business, fiorente, che può andare a incrementare ulteriormente i guadagni».
[boxinizio]
GDPR
Nato dopo quattro anni di dibattiti e trattative il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016. Le disposizioni mirano a rafforzare la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro. Le violazioni del GDPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore. Fra gli obblighi per le aziende è previsto quello di informare entro 72 ore le autorità di protezione dei dati di ogni violazione che metta a rischio i diritti degli individui e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio. Questo impedirà che si ripetano casi di attacchi taciuti e rivelati solo a distanza di anni; per le aziende sarà inoltre impossibile minimizzare l’impatto della violazione dei suoi sistemi o ridurne i numeri.
[boxfine]
[…] https://www.industriaitaliana.it/cybersecurity-ora-le-aziende-italiane-si-difendono/ […]