Intelligente, ma vulnerabile attenzione ai cyber-attacchi
Flavio Ornago

Industria 4.0, impiantistica smart, Internet of Things e Internet of Everythings hanno agevolato la vita delle persone, ma anche aumentato considerevolmente l’esposizione dei sistemi informatici verso il mondo esterno. La “superficie di attacco” si è estesa fino a raggiungere la quotidianità di tutti noi e alla dimensione fisica degli attacchi si è sovrapposta una dimensione “cyber” il cui ruolo sta diventando quasi prevalente. Ogni dispositivo connesso al cloud o a Internet è un potenziale punto di accesso per i criminali informatici, ma è un aspetto ancora troppo sottovalutato dalla maggior parte delle persone e delle aziende nonostante i media portino spesso questi problemi all’attenzione dell’opinione pubblica.

Proteggersi è possibile, come ci spiega Flavio Ornago, direttore della business unit cyber security di IMQ, l’unica azienda italiana dotata di un laboratorio dedicato alla sicurezza informatica accreditato a operare sia in ambito civile (accreditamento Ocsi) e sia in ambito militare/governativo come centro di valutazione della sicurezza IT (accreditamento Dis/Ucs).

«Le aziende, in particolare, dovrebbero approcciarsi al problema della cyber security in modo strutturato, adottando metodologie di analisi e gestione dei rischi legati agli attacchi informatici per il business, dotandosi di strumenti di protezione hardware e software, istruendo i dipendenti sulle pratiche di uso sicuro di Internet, della posta, delle postazioni di lavoro e sottoponendosi periodicamente ad attività di Vulnerability Assessment & Penetration Test (Va-Pt) o, più in generale, di audit di sicurezza informatica oppure sostenendo un processo di valutazione formale della sicurezza dei propri sistemi/prodotti Ict  da parte di  partner qualificati».

Proteggersi è possibile. ma occorre affidarsi solo a operatori esperti e qualificati, anche perché gli errori umani sono sempre in agguato

I Va-Pt sono fondamentali anche in ambito di automazione industriale e IoT, vista l’interconnessione degli impianti: «I Va rappresentano un’analisi di sicurezza che ha l’obiettivo di identificare tutte le vulnerabilità potenziali del sistema. I Pt rappresentano un attacco autorizzato (simulato) per testare la sicurezza del sistema». In altre parole, un Pt dimostra come un attaccante malintenzionato potrebbe eludere le difese della nostra organizzazione e sfruttare le vulnerabilità per accedere ai dati o prendere il controllo del sistema.

È importante anche valutare il livello di sicurezza delle App, siano mobile o web: «Può essere verificato tramite un mobile application security audit secondo la metodologia Owasp. Questa analisi è finalizzata al rilascio di un report/attestato con indicazione del livello di sicurezza offerto (rating rispetto alla percentuale di requisiti soddisfatti). Ad esempio per quanto riguarda il livello di security di una App si potrebbe ragionare sulla sua capacità di garantire protezione e verifica dei dati, autentificazione degli utenti, autorizzazione nell’uso dei privilegi, vulnerabilità agli attacchi, registro degli eventi per verifiche successive».

Spesso le organizzazioni sono rese vulnerabili dalla superficialità nell’uso dei dispositivi tipo smartphone o tablet da parte dei dipendenti. Quanti ad esempio accedono ai software aziendali da reti non protette o si collegano ai social media senza adeguate protezioni? «Per smascherare questi utilizzi impropri e pericolosi ed educare i dipendenti si possono fare attività di phishing assessment basato su social engineering e social profiling. In questo caso si creano appositamente trappole per dimostrare come sia possibile sfruttare errori umani per portare a termine un attacco informatico volto ad esempio a compromettere le credenziali di accesso e rubare dati privati/sensibili che non dovrebbero essere accessibili a soggetti non autorizzati».

«I servizi ci sono, adesso è importante che ci sia un cambiamento culturale per comprendere quali siano le conseguenze degli attacchi del cyber crime e adottare soluzioni per prevenirle. Nel nostro paese purtroppo le aziende ritengono la cyber security ancora un surplus, sebbene il trend sia verso maggiori investimenti per l’adeguamento agli obblighi del Gdpr», conclude Flavio Ornago.