7 minute read
DEBOLEZZE E IMMATURITÀ AUMENTANO I RISCHI
Di fronte all'ascesa degli attacchi, la maggior parte delle aziende italiane non vanta una solida “postura” di cybersicurezza. Il fattore umano è l'elemento più critico.
Cliccare su un allegato di posta o su un link senza aver prima controllato il mittente, condividere un documento usando un servizio di file sharing non previsto dalle policy aziendali, usare password poco sicure o “riciclate”, accedere al cloud da qualsiasi dispositivo (incuranti della presenza di software obsoleti) e talvolta anche da reti Wi-Fi pubbliche. Sono solo esempi di leggerezze e distrazioni, a cui si sommano le infinite vie del phishing (sempre più sofisticato e ingannevole, grazie a nuove tecniche di camuffamento, al social engineering e ai deepfake creati dall’intelligenza artificiale), la crescente proliferazione dei ransomware (ormai accessibili anche a malintenzionati inesperti di codice software, grazie al modello as-a-service) e l’irrisolto problema delle vulnerabilità presenti in sistemi operativi e applicazioni (il patch management può essere complesso e l’eterogeneità degli ambienti IT crea dei “punti ciechi” in cui possono nascondersi falle). Si tratta di problemi stratificati nel tempo e intrecciati tra loro, problemi che i vendor di sicurezza informatica affrontano sempre di più con un approccio cosiddetto Zero Trust, in cui si agisce per ridurre al minimo il rischio e prevenire gli incidenti. Per queste criticità non esiste una soluzione facile e veloce, tuttavia migliorare l’awareness sulle tematiche di sicurezza informatica sarebbe d’aiuto su tutti i fronti.
Un’indagine condotta da The Innovation Group e da Cyber Security Angels (Csa) su un campione di duecento imprese italiane ha evidenziato che anche nel nostro Paese il “fattore umano” è l’elemento più critico per la cybersicurezza delle aziende. Tra i principali elementi di pericolo per la propria azienda nel 2022, l’82% degli intervistati ha indicato la scarsa consapevolezza e attenzione ai rischi informatici da parte dei dipendenti: si tratta della risposta più citata, prima ancora delle vulnerabilità degli applicativi (58%) e dei rischi legati alle terze parti (41%). A ulteriore conferma del fatto che il “tallone d’Achille” sono le persone, nel 55% delle realtà l’anno scorso c’è stato almeno un caso di furto o smarrimento di un dispositivo in uso ai dipendenti. Questa è stata la tipologia di incidente più diffusa, ancor prima delle infezioni da malware (47%), del furto di identità o credenziali (37%), degli accessi non autorizzati (29%) e dei data breach (18%). “Possiamo scrivere regole di ogni genere per definire ogni processo, ma il fattore umano potrà sempre prevalere”, ha commentato Stefano Lusardi, IT security manager di Feltrinelli e referente per la Lombardia di Cyber Security Angels (Csa), in occasione del recente Cybersecurity Summit organizzato a Milano da The Innovation Group. “ La chiave è educare alla cybersicurezza”, ha proseguito Lusardi, “non con un corso di formazione fatto una volta l’anno
UNO “SCUDO INFORMATICO” PER L’EUROPA
Uno “scudo informatico” che protegga l’Europa dai cyberattacchi più gravi e, quando il danno è fatto, procedure condivise per la gestione dell’emergenza. Sono le misure contenute nel Cyber Solidarity Act, una proposta di regolamento presentata lo scorso aprile dalla Commissione Europea con un previsto budget di 1,1 miliardi di euro. Si punta, innanzitutto, a creare uno “scudo europeo di cybersicurezza”, ovvero una rete di Security Operations Center (Soc), sia nazionali sia transfrontalieri, deputati al rilevamento delle minacce, alla condivisione di informazioni e intelligence e al coordinamento delle azioni di risposta. Si prevede entreranno in funzione nei primi mesi del 2024, e nel frattempo la Commissione ha già selezionato (nell ’ambito del programma Europa Digitale) tre consorzi di centri operativi di sicurezza transfrontalieri che riuniscono enti pubblici di 17 Stati membri e dell ’Islanda. Secondo punto all ’ordine del giorno: dovrà essere creato un meccanismo di emergenza informatica (Cyber Emergency Mechanism), attraverso azioni di preparazione di fronte a potenziali vulnerabilità, definite “sulla base di scenari e metodologie di rischio comuni” e prestando particolare attenzione ai settori più critici, come sanità, trasporti ed energia. All’interno del meccanismo di emergenza informatica sarà istituita la “riserva di cybersicurezza dell ’Ue”, che si baserà su servizi di risposta agli incidenti erogati da “fornitori di fiducia”, pronti a intervenire in caso di “incidente significativo o su larga scala”, su richiesta di uno Stato membro o di istituzioni, organismi e agenzie dell ’Ue. Il meccanismo prevede anche che uno Stato membro possa fornire sostegno finanziario a un altro Stato in caso di emergenza informatica. Un terzo elemento contenuto nel piano è un meccanismo di esame degli incidenti di cybersicurezza, che dovrà valutare gli attacchi significativi o su larga scala già avvenuti, per poi “trarre insegnamenti” e formulare raccomandazioni per migliorare la postura informatica dell’Unione Europea. L’investimento previsto di 1,1 miliardi di euro sarà finanziato per due terzi dall’Ue attraverso il programma Europa Digitale.
bensì spiegando le necessità della cybersicurezza all’utente, che si tratti di un impiegato o di un manager. Le regole vanno benissimo, ma l’educazione degli utenti è essenziale, e non bisogna pensare di essere tutti degli esperti di informatica solo perché si utilizzano determinati strumenti”. Ma su quali temi si dovrebbero focalizzare gli sforzi di formazione sulla cybersicurezza? Attraverso le riflessioni di rappresentanti di aziende vendor e utenti, dalle tavole rotonde del summit è emerso che oggi è ancora necessario far capire i rischi legati alla ormai famigerata “dissoluzione del perimetro” dell’IT aziendale. Un fenomeno iniziato da cir- ca un decennio, prima con l’apertura all’uso dei dispositivi personali (il cosiddetto bring your own device, Byod) e proseguito poi con la crescente adozione del cloud e con i modelli di lavoro ibrido nati sull’onda della pandemia.
A ltri rischi spesso sottovalutati sono la posta elettronica (principale vettore di infezione, sia per i malware sia per i tentativi di phishing) e le interfacce API (Application Programming Interface). Oggi, in ambienti informatici sempre più eterogenei e geograficamente dispersi, per il personale IT mantenere il controllo e la visibilità è un’impresa ardua. Tutti i dipendenti di un’azienda, in ogni livello dell’organigramma, dovrebbero contribuire a tenere le minacce fuori dalla porta. Un recente studio di Cisco (“Cybersecurity Readiness Index” condotto da una società di ricerca indipendente e basato su 6.700 questionari a responsabili di cybersicurezza aziendale di 27 Paesi) ha evidenziato che solo il 15% delle aziende può definirsi “maturo” dal punto di vista della cybersicurezza, mentre la maggioranza (46,9%) sta formando la propria preparazione, il 29,8% è in uno stadio di media maturità e l’8,3% è un principiante. Tendenzialmente, le aziende sono più mature (cioè hanno adottato in misura maggiore le tecnologie di sicurezza significative) nell’area della gestione delle identità e nella protezione dei dispositivi endpoint. Di contro, sono più immature sul fronte della sicurezza delle applicazioni e dei dati.
L’anno scorso le aziende italiane sono state colpite soprattutto da malware, phishing e attacchi di SQL injection. Complessivamente, solo il 7% delle realtà tricolori può già dire di aver raggiunto la maturità nella cybersicurezza per i tutti e cinque i pilastri, cioè identità, dispositivi, reti, applicazioni e dati. Il 94% delle aziende italiane sta pianificando investimenti di upgrade o ristrutturazione dell’infrastruttura IT per rispondere a sfide di sicurezza. L’87% (dato allineato con l’86% della media globale) pensa di aumentare di almeno il 10% il proprio budget destinato alla sicurezza informatica nel breve periodo (un anno). Per il 23% la carenza di competenze interne in cybersicurezza rappresenta un problema. Accanto ai mancati investimenti e alle lacune di competenze c’è poi un terzo problema, annoso e ben noto agli addetti ai lavori: i famigerati “silos”, in cui applicazioni e dati vivono segregati, senza comunicare tra loro. Dalla frammentazione derivano spesso problemi di mancata visibilità, dunque di vulnerabilità non rilevate.
V.B.
Ciso Sotto Pressione
Un approccio umano-centrico per ridurre i problemi di usabilità, l’adozione del modello Zero Trust, cambiamenti di responsabilità e di ruolo. Sono alcune delle tendenze previste da Gartner per il biennio 2023-2024. Dinamiche che influenzano il lavoro dei Ciso, i chief information security officer. “Senza alcun dubbio, i Ciso e i loro team dovrebbero focalizzarsi al massimo sugli eventi del presente per garantire che le loro aziende siano il più possibile al sicuro”, ha dichiarato Richard Addiscott, senior director analyst di Gartner. “Ma devono anche trovare il tempo di sollevare lo sguardo dalle sfide quotidiane e guardare all’orizzonte per capire quali nuovi elementi impatteranno sui programmi di sicurezza nel prossimo biennio”.
• Sicurezza umano-centrica
A detta di Gartner, da qui al 2027 il 50% dei Ciso plasmerà i programmi di cybersicurezza aziendali su principi umano-centrici, per “minimizzare gli attriti operativi” e massimizzare l’adozione di strumenti e procedure. In parole povere, la cybersicurezza dovrà conciliarsi con l’usabilità meglio di quanto non faccia oggi. Una ricerca della stessa Gartner mostra che le cattive abitudini sono diffuse: tra coloro che hanno ammesso di aver compiuto “azioni non sicure” sul lavoro, il 90% era consapevole delle potenziali conseguenze ma non si è trattenuto dall’agire in quel modo. Servono, quindi, programmi di cybersicurezza modellati sulle persone e non sulle tecnologie disponibili.
• Privacy come vantaggio
Entro il 2024 i regolamenti sulla privacy imporranno restrizioni sulla maggior parte dei dati riguardanti i consumatori. Tuttavia una piccola percentuale di aziende, meno del 10%, avrà imparato a fare della privacy un vantaggio competitivo, un modo per distinguersi dalla concorrenza e per ottenere la fiducia di clienti, partner, investitori e autorità di controllo. Gartner, quindi, suggerisce ai Ciso di rafforzare, in azienda, gli standard di privacy allineati al Gdpr.
• Le difficoltà dello Zero Trust
L’adozione del modello Zero Trust (fiducia e privilegi minimi, controlli continui) è in crescita ma da qui ai prossimi anni, entro il 2026, solo il 10% delle grandi aziende avrà adottato dei programmi di cybersicurezza “completi, maturi e misurabili” basati su questo approccio. Sarà comunque un progresso rispetto all’attuale 1%. Gartner sottolinea che per un’adozione matura, ampia e ben strutturata dello Zero Trust è necessario integrare e configurare diverse componenti della cybersicurezza aziendale, e può non essere facile. Meglio quindi partire da un piccolo progetto e affrontare passo dopo passo le complessità che si presenteranno.
• Un cambiamento di ruolo
Già oggi il 41% dei dipendenti aziendali acquisisce, modifica o crea tecnologia all’insaputa dell’IT. Da qui al 2027 la percentuale salirà al 75%. Dunque i Ciso non potranno più essere considerati i responsabili dei rischi IT aziendali, ma semmai saranno dei “facilitatori di decisioni” che implicano il rischio. Dovranno, tra le altre cose, relazionarsi ai dipendenti per influenzare nel bene i loro comportamenti e renderli più consapevoli dei rischi dei loro comportamenti.
• Un lavoro stressante
Da qui al 2025 quasi la metà degli attuali responsabili di cybersicurezza avrà cambiato lavoro, migrando da un’azienda all’altra e (in metà dei casi) optando per un ruolo differente. Avverrà per molteplici fattori di stress, accentuati dalle conseguenze della pandemia (smart working, crescita delle minacce) e dall’attuale carenza di talenti nel settore della cybersicurezza. Per chi lavora in quest’ambito, sottolinea Gartner, lo stress può diventare insostenibile.
• Rappresentanza nel board
Entro il 2026, nel 70% delle aziende ci sarà all’interno del board un un esperto di cybersicurezza. Dunque i Ciso dovrebbero imparare a parlare la lingua del business ma anche a far comprendere ai membri del board attuali come la sicurezza informatica funzioni, perché è importante e come può aiutare a prendere decisioni migliori. Gartner si auspica una “relazione più stretta” tra dirigenti e Ciso, tesa a migliorare la fiducia e il supporto reciproci.
