Quantcast

GESTIRE L'IMPRESA

Cybercrime, difendersi o saltare

Le imprese strategiche, e con loro una miriade di fornitori, stanno per affrontare il più grande stress test informatico della storia italiana. Protiviti ci svela come funziona e perché è così importante

Marina Marinetti
Cybercrime, difendersi o saltare

In principio fu Melissa: promettendo password per siti pornografici ottenne 1,1 miliardi di dollari. Era il 1999 e Melissa era un malware. Nel 2003 i trasporti aerei e persino il numero di emergenza 911 andarono in crisi a causa di Sql Slammer, un virus che infettò 75mila server rallentando l’intera rete mondiale. Nulla, in confrondo a Mydoom, il worm più veloce della storia che nel 2004 infettò un account di posta elettronica su quattro (nel mondo): danni per 38,5 miliardi di dollari. Ma è con l’Operazione Aurora, nel 2009, che il livello dello scontro è salito: da Google ad Adobe, passando per Yahoo, l’attacco partito dalla Cina ai danni degli Usa ha aperto un incidente diplomatico tra Pechino e Washington. L’anno successivo ad assere attaccata da un malware (i media specularono su un’ipotetica azione congiunta tra Usa e Israele) fu una centrale nucleare in Iran. Nel 2014 dalla Corea del Nord partì un attacco alla Sony Pictures, “rea” di non aver bloccato l’uscita di “The Interview” su un tentativo di uccidere Kim Jong-un (Pyongyang aveva definito il film “un atto di guerra”, negando però ogni coinvolgimento). L’antivigilia di Natale del 2016 il nordovest dell’Ucraina rimase al buio per diverse ore, grazie a un file excel infetto. E ora tocca all’Italia. Danni economici a parte, le infrastrutture tecnologiche sono a rischio. Banche, trasporti, telecomunicazioni, energia: basta un attacco ben congegnato a mandare il tilt un intero Paese. A giugno inizia la stagione degli attacchi.

La commissione europea ha deciso di alzare la guardia sulla sicurezza informatica delle aziende e degli enti pubblici

Hacker di Stato

Il mandante stavolta, non è un hacker del dark web, ma lo Stato. O meglio: la Commissione europea, che a dicembre ha deciso di alzare la guardia sulla sicurezza informatica proponendo la direttiva Nis 2 (Nis sta per Network and Information Security), per aggiornare la precedente, risalente al 2016. Perché con il Covid è aumentato il ricorso a strumenti informatici, determinando la crescita esponenziale del cyber crime. «Lo scorso anno il Governo ha istitutito il cosidetto Perimetro di sicurezza nazionale cibernetica, col quale, con una terminologia un po’ agée, si identificano circa 150 aziende e istituzioni che forniscono servizi fondamentali», spiega a Economy Enrico Ferretti (nella foto), Managing Director di Protiviti, leader nei servizi di cyber risk management e cyber security advisory. «La lista è secretata, ma non è difficile immaginare di quali aziende ed enti si tratti, senza contare che in Protiviti lavoriamo anche per un paio di queste», aggiunge Ferretti. «E, tenendo conto del grado di interconnessione che lega tra loro aziende ed enti di ogni dimensione, a essere sotto esame saranno moltissime realtà anche al di fuori di quelle identificate come strategiche». Quello che sta per accadere è una sorta di gigantesco stress test per scovare i punti deboli del sistema. «Gli operatori sono stati avvisati: devono fare un’accurata analisi del rischio e un censimento di tutti i beni Ict - information and communications technology, ndr - che concorrono a erogare servizi: i server, le reti, i dispositivi, ma anche le varie applicazioni. E il controllo deve essere effettuato anche sui fornitori, quindi a catena», spiega Ferretti. La trasmissione dell’elenco beni Ict critici, che deve comprendere architettura e componentistica, secondo un modello predisposto dal Dipartimento delle Informazioni per la Sicurezza, e l’analisi del rischio, comprende, appunto, anche la revisione della gestione dei fornitori e di altre terze parti coinvolte. «Le imprese dovranno fornire le informazioni sulle forniture di beni e servizi Ict al Centro di Valutazione e Certificazione Nazionale e valutare il rischio associato». Facile intuire che, a cascata, saranno moltissime le aziende private e gli enti pubblici che finiranno nel mirino. «Uno dei canali preferiti dagli hacker, per esempio, sono le società incaricate di eseguire per l’azienda le attività di monitoraggio e manutenzione, perché magari applicano standard di sicurezza inferiori», esemplifica Ferretti: «Spesso le aziende affrontano questo tema in maniera puramente formale, richiedendo ai propri fornitori e partner di sottoscrivere accordi in cui le misure di sicurezza che devono adottare sono descritte solo in maniera superficiale, oppure non sono commisurate alla tipologia di dati e sistemi ai quali accedono, con il risultato di essere eccessivamente stringenti in alcuni casi e troppo lasche in altri».

Ci penseranno gli hacker “buoni”, ma per questo non meno efficienti, nello scovare i punti deboli che non sono stati individuati: «Sono stati incaricati diversi laboratori di procedere con attacchi. Anche noi di Protiviti siamo della partita», sottolinea Enrico Ferretti. E chi non supera il test? «Gli incidenti dovranno essere comunicati al Computer Security Incident Response Team istituito con la Direttiva Nis con il compito di supportare gli operatori pubblici e privati nella prevenzione e gestione. Ed entro 6 o 24 mesi dalla trasmissione degli elenchi dei beni Ict dovranno essere adottate misure di sicurezza in linea con quelle previste dal Framework Nazionale per la Cyber Security e la Data Protection».


La stagione degli attacchi

Il primo test, appunto, è previsto in giugno. «Le organizzazioni chiamate al test sono quelle nelle quali una violazione della sicurezza può avere conseguenze drammatiche perché interromperebbe servizi essenziali per la comunità: per esempio l’erogazione di energia elettrica o i servizi sanitari», sottolinea Ferretti. Ma poi ci sono le altre (ovvero i fornitori) che, di riffa o di raffa, verranno coinvolte. «Sono ancora molte le imprese carenti nella capacità di analisi e gestione del rischio cyber, a causa dell’obsolescenza tecnologica degli impianti oppure di condizioni operative consolidate», sottolinea il Managing Director di Protiviti. «Spesso, in queste imprese, i sistemi di controllo sono di vecchia concezione, tecnologicamente datati o sviluppati per ambienti poco o per nulla esposti ad attacchi. Peccato che la natura di questi sistemi li renda spesso incompatibili con molte delle misure standard di cyber security, impedendo azioni immediate di risposta. Introdurre sistemi di analisi anti-malware, per esempio, può avere un impatto sui tempi di risposta di un’applicazione tradizionale, con effetti non accettabili sul sistema di controllo di linea».

Così le imprese si trovano non solo ad affrontare problemi tecnologici, impossibilitate a superare i vincoli del sistema in uso senza modifiche radicali, ma anche economici, dati i costi di ammortamento per alcuni sistemi in uso non ancora completati. «Il responso di giugno darà a tutti un’indicazione su che cosa bisogna fare per mettersi in sicurezza», continua Enrico Ferretti. «Protiviti ha assistito e assiste alcune delle società che stanno preparandosi al primo test e può rispondere alle domande chiave: quali sono gli aspetti fondamentali per un programma di sicurezza efficace che risponda ai requisiti richiesti dagli standard? Quali le criticità più frequenti? Quali interventi, normalmente, sono necessari per incrementare la capacità di fronteggiare il rischio cyber? I sistemi e i processi adottati dalle organizzazioni strategiche diventeranno un punto di riferimento per tutte le imprese, in particolare per le imprese manifatturiere e di servizi che, pur avendo negli anni recenti introdotto sistemi e misure per gestire il rischio cyber, sono spesso indietro rispetto ai livelli raggiunti, per esempio, dalle banche».

Una violazione della sicurezza potrebbe avere conseguenze drammatiche interrompendo i servizi essenziali del paese

Attenti all’uomo

Ma non basta: il punto debole della catena è il fattore umano. E non solo perché in molti casi l’accesso agli applicativi di controllo avviene con utenze condivise o addirittura senza identificazione dell’utente. «Anche le tecnologie più sofisticate ed efficaci non possono fare a meno di procedure applicative che coinvolgono il personale», chiarisce il il Managing Director di Protiviti. «Troppo spesso nelle aziende non si ha consapevolezza che comportamenti sbagliati possono facilitare gli hacker. Occorre per questo informare e formare il personale, soprattutto quello che può avere minore familiarità con le tecnologie informatiche, sui rischi esistenti e i comportamenti da adottare. Le aziende più evolute in questo senso hanno dedicato a questo tema delle campagne di comunicazione con contenuti e iniziative diverse (e-mail, video, formazione, gamification individuali o di gruppo). Le campagne sono integrate con simulazioni di attacco phishing o social engineering per valutare la capacità del personale di rilevare queste situazioni e reagire in maniera corretta. L’obiettivo è fare in modo che la cyber security diventi un elemento fondamentale della cultura aziendale».

IL MINIMO SINDACALE

Andiamo sul tecnico: le risposte devono necessariamente partire dagli standard internazionali e i framework utilizzati per la cyber security che si sono aggiunti a standard storici come l’Iso 27001. Non solo: «vanno considerati il Framework for Improving Critical Infrastructure Cybersecurity statunitense, il Framework Nazionale per la Cybersecurity e la Data Protection adottato in Italia e i framework settoriali come il Critical Infrastructure Protection per il settore dell’energia elettrica del North American Electric Reliability Corporation o il Mitre Att&ck for Ics che descrive scenari di attacco ai sistemi industriali». Ma niente paura: per questo ci sono gli specialisti. E anche i “rattoppi”: «In tutte le situazioni in cui non è possibile aggiornare il sistema o installare patch compatibili con gli applicativi utilizzati, si può ricorrere a sistemi di virtual patching, che simulano l’applicazione degli aggiornamenti di sicurezza attraverso soluzioni filtro esterne, o di integrity monitoring», spiega Ferretti. «In questo modo, anziché installare sistemi di rilevazione di malware o virus che potrebbero ridurre le prestazioni del sistema, viene consentita l’esecuzione dei soli programmi autorizzati. Esistono soluzioni specifiche aanche per i cosiddetti sistemi IoT (sistemi non informatici come elettrodomestici o autoveicoli connessi a internet per il controllo remoto), che possono essere usati per introdursi nelle reti aziendali o domestiche sia per attaccare altri sistemi sia per commettere frodi».

Lascia il tuo commento

Condividi le tue opinioni su Economy

Caratteri rimanenti: 400