La direzione è una sola: sempre peggio! Questa è la chiara tendenza emersa negli ultimi anni nella valutazione della sicurezza informatica nelle aziende. Questa affermazione di fondo si ritrova costantemente in pubblicazioni di rilievo come il rapporto sulla situazione dell'Ufficio Federale Tedesco per la Sicurezza Informatica (BSI) o il rapporto dell'Associazione Italiana per la Sicurezza Informatica (Clusit). La situazione nella nostra regione non fa certo eccezione. Il numero di attacchi riusciti alle aziende è in costante aumento e la gravità degli attacchi è cresciuta in modo allarmante. Dal ransomware agli attacchi DDoS La più grande minaccia per le imprese è e rimane l'estorsione digitale attraverso il ransomware, che ora avviene in tre livelli di escalation: I sistemi informatici vengono resi inutilizzabili dalla crittografia e viene richiesto un riscatto; se la vittima non ottempera a questa richiesta, i ricattatori minacciano di pubblicare o vendere i dati aziendali intercettati; se la vittima non reagisce nemmeno a questo, la risposta è paralizzare l'accesso a Internet mediante un attacco DDoS ("Distributed Denial of Service": un traffico di dati dannoso di massa blocca le connessioni Internet). Se fino a poco tempo fa questi incidenti meritavano un titolo sui media, ora sono all'ordine del giorno. Tuttavia, l'impatto sulla vittima è ancora devastante. Nel corso della notte, di solito durante il fine settimana, l'azienda sprofonda in una crisi profonda, la cui gestione richiede decisioni drastiche e dedizione sudata; questo è l'unico modo per rendere i sistemi di nuovo pienamente disponibili dopo alcuni giorni, settimane o mesi.
Perché sempre peggio?
Si è creato un enorme squilibrio tra l'arsenale di attacchi in rapida crescita degli aggressori e la ponderata risposta difensiva delle vittime. Dal lato degli aggressori, si è verificata una specializzazione e gli attacchi vengono portati avanti in una divisione del lavoro. Ci sono gli sviluppatori di malware, i commercianti di dati, i locatori di piattaforme di attacco, le agenzie di raccolta e i veri e propri iniziatori dell'attacco; il "profitto" è ripartito in proporzione. Dal lato delle vittime, invece, poco è cambiato. Mentre alcune aziende continuano a trascurare in modo criminale il tema della sicurezza informatica, per altre il tema ha giustamente raggiunto il livello manageriale. Tuttavia, una difesa efficace richiede l'attuazione coerente di tutta una serie di misure. E qui, soprattutto, manca la necessaria coerenza: occorre superare difficoltà a vari livelli, dalla mancanza di risorse finanziarie a quella di personale qualificato, fino all'atteggiamento di rifiuto da parte di singoli dipendenti o dirigenti. Tuttavia, la gestione di un'emergenza avviene sempre in modo uniforme: Senza se e senza ma, viene creata un'infrastruttura completamente nuova, che tiene conto al cento per cento di tutte le precauzioni di sicurezza. I dati che potevano essere salvati dalle copie di backup vengono poi ripristinati su questa infrastruttura pulita e sicura. Naturalmente, un'azione del genere è dolorosa e costosa, ma non c'è altra soluzione. Al più tardi a questo punto, ci si deve chiedere perché queste misure non siano state implementate prima. Perché improvvisamente è possibile fare ciò che prima non era possibile?
Misure comprovate implementate nuovamente
Le misure classiche di difesa e di lotta sono ancora molto efficaci; tuttavia, a causa dell'aggiornamento degli aggressori, è necessario concentrarsi sempre più su alcuni campi d'azione. Tra questi vi sono naturalmente i backup regolari dei dati. Va notato, tuttavia, che gli aggressori vanno a caccia di questi backup di dati per distruggerli; pertanto, è imperativo fornire una protezione speciale per questi backup di dati. Tutti i sistemi devono essere sempre aggiornati tempestivamente per non lasciare una porta aperta agli aggressori. In pratica, questo viene fatto per alcuni sistemi importanti, ma spesso ci sono sistemi più vecchi o dismessi che continuano a vegetare. Questi sistemi sono quindi dei varchi popolari per gli aggressori. È quindi necessaria una maggiore determinazione per lo spegnimento e la cancellazione definitiva. In pratica, è abbastanza facile per gli aggressori diffondersi attraverso la rete interna, accedere ai dati sensibili e caricarli sui loro server su Internet. La ragione di ciò è un'implementazione troppo lassista delle regole di accesso interno ai dati e dell'accesso a Internet da parte dei dipendenti. Migliorare queste regole è facile e si è sempre dimostrato molto efficace nei casi concreti. Naturalmente, la sicurezza richiede strumenti tecnici come un sistema di gestione delle identità ben configurato, una protezione contro il malware e sistemi di firewall adeguati. Ognuno di questi sistemi svolge un compito specifico e genera anche molte informazioni utili. Queste informazioni, soprattutto quelle ottenute attraverso una visione globale, sono una fonte preziosa per valutare la situazione concreta delle minacce. In questo modo, un attacco può essere individuato, combattuto e contenuto in una fase iniziale. Un "Security Operations Center" (SOC) professionale dovrebbe effettuare tali analisi 24 ore su 24 e intervenire immediatamente se necessario.
L'attacco al fattore umano
La consapevolezza della sicurezza di tutti i dipendenti (Awareness) è sempre stata una parte indispensabile di una strategia di sicurezza e sta diventando ancora più importante. Attaccando il fattore umano, tutte le funzioni tecniche di sicurezza possono essere annullate. È persino vero che la pura manipolazione umana, cioè senza violare i sistemi informatici, causa i maggiori danni in termini economici. Nella nostra regione sono noti molti casi di frode, in cui le fatture sono state pagate sul conto del truffatore invece che del fornitore. Lo stesso vale per i casi in cui il truffatore si fa trasferire lo stipendio di un dipendente dall'ufficio del personale perché la banca del conto dello stipendio è stata apparentemente cambiata. È sorprendente l'efficacia di questi schemi di frode già oggi. È difficile immaginare quanto successo avranno quando saranno generati dall'intelligenza artificiale (AI).
Approccio olistico
Le misure citate sono solo un estratto di una necessaria strategia di sicurezza olistica. Tale strategia dovrebbe basarsi su modelli collaudati, come il "Cyber Security Framework" del "National Institute of Standards and Technology" (Nist) americano. Questo comprende cinque fasi: identificazione delle risorse critiche, protezione di tali risorse, rilevamento degli attacchi, risposta agli eventi e piani di ripristino. L'uso di questo modello Nist è molto vantaggioso in Italia, poiché alcune sue parti sono già state incorporate nella legislazione italiana.
La sicurezza IT non è una questione privata
Anche la neonata Agenzia per la Cybersicurezza Nazionale (ACN) basa molti dei suoi regolamenti e controlli sul modello Nist. Questa agenzia è stata fondata per raggruppare e unire tutte le competenze nazionali sulla sicurezza informatica. Oltre a promuovere misure di sicurezza, l'Agenzia ha anche il compito di verificare la sicurezza informatica delle aziende. Con la nuova direttiva europea sulla sicurezza delle reti e delle informazioni (Nis2), sempre più aziende sono sottoposte al controllo di questa agenzia. Ma anche senza questa direttiva, ogni azienda è comunque obbligata, nel quadro della protezione dei dati (DSGVO), a garantire la sicurezza dei dati personali secondo lo stato dell'arte. È prevedibile che i controlli in questo senso non saranno più effettuati dall'autorità fiscale, ma dall'ACN.
Una maggiore sicurezza non ha necessariamente un effetto inibitorio
L'avanzare della digitalizzazione e la crescente minaccia richiedono la creazione di una cultura della sicurezza elevata in azienda. L'attuazione delle misure ha effetti diversi in tutte le aree. Tuttavia, non è detto che un aumento della sicurezza sia necessariamente accompagnato da un effetto inibitorio sui processi lavorativi. Alcune conquiste tecniche, come il logon senza password, semplificano le cose e sono prontamente accettate dagli utenti. Altre misure devono essere esternalizzate e affidate a professionisti. Infine, l'analisi dei diritti di accesso necessari offre anche l'opportunità di riprogettare e snellire alcuni processi.