La sicurezza informatica non è solo un tema tecnico. La digital transformation sta spostando molteplici (se non tutte!) attività economiche, lavorative, economiche e sociali dal mondo fisico a quello digitale e con esse si sposta il mondo del crimine. L’ultimo rapporto del Clusit (Associazione Italiana per la Sicurezza Informatica) evidenzia due cifre su tutte: nel 2015 il cybercrimine è cresciuto del 30% rispetto all’anno precedente; ancor peggio è andata per la pratica dello spionaggio che ha toccato un incremento di quasi il 40% (stime accreditate dall’ente per il territorio nazionale). Si può dire che l’attività criminale nel mondo digitale ricalca quella del mondo fisico con una suddivisione tra bersagli critici, ben identificabili per valenza economica, e crimine comune verso gli utenti della rete. Da questo punto di vista le tecniche sono le più svariate, alcune antiche (ma sempre efficaci) altre maggiormente agganciate alla tecnologia odierna.
L'intero articolo su Mark Up n. 252
La formazione è un'arma decisiva
Sul tema della sicurezza Mark Up ha incontrato Laurance Dine del risk team di Verizon per commentare i risultati del Data Breach Investigations Report, uno studio complessivo di riferimento.
In tema di cyber security, quanto la condotta dell’utente incide sulla vulnerabilità dei sistemi?
Abbiamo notato come i cybercriminali stiano continuando a sfruttare la natura umana utilizzando noti modelli di attacco come il phishing e aumentando il ricorso a ransomware, la modalità di attacco che prevede la crittografia dei dati e la successiva richiesta di un riscatto. i dipendenti sono spesso un facile bersaglio per qualsiasi hacker opportunistico che cerca di aprire una breccia all’interno di un’organizzazione, in quanto spesso sono loro a lasciare involontariamente spalancate le porte di accesso delle proprie organizzazioni. Nella prevenzione di molti incidenti di sicurezza, garantire che i dipendenti conoscano e comprendano i rischi delle proprie azioni digitali è un elemento cruciale. Le aziende non dovrebbero dimenticare che i dipendenti sono l’aspetto
più importante di qualsiasi attività di business -e anche il più intelligente- pertanto la loro formazione costante sui requisiti di sicurezza e la loro consapevolezza di come la sicurezza sia parte integrante del loro lavoro, sono essenziali.
Secondo il Data Breach Investigations Report, nel 93% dei casi, gli hacker compromettono un sistema in un minuto. Come si giustifica?
In realtà, abbiamo scoperto che molte aziende non hanno ancora le difese di sicurezza di base, o non le hanno implementate in modo corretto: è una situazione incredibile, se pensiamo alla quantità di crimini informatici intorno a noi. Per esempio, abbiamo visto come il 63% delle violazioni di dati rilevate abbia interessato l’utilizzo di password deboli, predefinite o sottratte. Alcune delle cause principali alla base di questa violazione possono essere l’affidarsi a vecchie policy di sicurezza; la mancanza di una conoscenza generale del mercato; la valutazione di pratiche di sicurezza solo a posteriori, invece che considerarle una priorità; oppure, semplicemente, la mancanza di una consapevolezza di base da parte dei dipendenti. Quanto più tempo un’azienda impiega nell’individuare una violazione, maggiore sarà la possibilità, da parte dei criminali, di individuare i dati ricercati e danneggiare le attività di business. Questo è il motivo per cui una protezione semplice non è sufficiente. Le imprese devono dunque mettere in atto sistemi e processi di rilevamento e rimedio efficaci, così da contrastare gli attacchi e ridurre i possibili danni.
L’introduzione di sistemi basati sul cloud è un elemento di vantaggio per la IT security?
Dalla nostra esperienza abbiamo osservato come l’attività dei cyber criminali non sia legata ad una specifica posizione geografica o ad un sistema operativo particolare, ma sia strettamente correlata ai dati. Se ci sono dati critici di valore disponibili in qualunque parte del mondo, i cyber criminali cercheranno di sottrarli. Per questo motivo, è fondamentale essere preparati. Nella nostra ricerca abbiamo visto come gli attacchi Dos (Denial of service) continuino ad evolversi e ad assumere sempre più importanza in relazione alla sicurezza cloud. In quest’ottica, è importante che i cloud provider implementino soluzioni che proteggano la disponibilità dei propri servizi e infrastrutture, e che i clienti sappiano gli elementi chiave da valutare nella scelta di un fornitore. Il cloud è diventato sempre più pervasivo all’interno delle aziende e i reparti it si sono dovuti occupare di una corretta gestione dal punto di vista delle policy, del controllo e della compliance. Il risultato è stato una riduzione dei progetti di shadow it, una chiara definizione delle aspettative e una maggiore trasparenza da parte dei provider. Per questo motivo, quando oggi parliamo di cloud, la maggior parte delle aziende afferma che il proprio ambiente cloud è sicuro tanto quanto -se non più- delle infrastrutture tradizionali. Quando si sceglie un cloud provider è necessario prendere in considerazione il pacchetto completo, che include anche l’expertise nell’ambito della sicurezza. Per esempio, Verizon esamina tutti gli aspetti di sicurezza in sede di valutazione di una soluzione cloud per un cliente, dagli aspetti fisici a quelli logistici di un data center; i servizi di sicurezza gestiti di un client di rete/infrastruttura; gli standard di sicurezza e compliance (per esempio, certificazioni Pci-Dss e Hip-Aa), oltre ad offrire servizi di sicurezza gestiti e cyber-analytics che possono aiutare a proteggere un’azienda da potenziali aggressori.
La proposta del Framework nazionale
L’ecosistema digitale sta diventando duale e nel futuro prossimo sopravanzerà quello fisico. Cosa significa? Molti degli ambiti fisici di attività hanno nel tempo acquistato una controparte digitale. Prendiamo come esempio il settore bancario. Oggi esistono sostanzialmente filiali fisiche e filiali digitali. Le seconde possono svolgere sostanzialmente tutte le operation di quelle fisiche. Occorre sottolineare che ogni operation non virtualizzabile di qualsiasi settore (per esempio la consegna di un blocchetto degli assegni, la riparazione di un’automobile, la consegna della spesa ecc.), non può e non potrà essere completata senza che la controparte digitale sia stata processata. Il risultato è che si sta procedendo velocemente verso un mondo duale, in cui la parte fisica è subordinata a quella digitale. In tale contesto pensare alla sicurezza digitale come a un elemento puntuale è strategicamente errato. La cyber security è quindi un tema globale, di sistema, ed è stato affrontato con questa accezione dal cis (centro di ricerca di cyber intelligence and information security) dell’università la sapienza. Il risultato è stato la definizione del Framework nazionale per la cyber security. Mark Up, per fare il punto della situazione, ha incontrato roberto Baldoni, direttore del cis e professore ordinario di sistemi distribuiti presso la facoltà di ingegneria dell’informazione dell’Università degli Studi Sapienza di Roma.
Il framework nazionale è un documento che non fa riferimento a tecnologie ma a metodologie sistemiche. Quale attese su questa proposta e chi ha concorso nel definirla?
Alla definizione del framework hanno partecipato soggetti appartenenti al mondo delle istituzioni. l’obiettivo che ci poniamo e far rientrare la proposta nei piani operativi della strategia nazionale di cybersecurity. Questo è sicuramente il primo step da raggiungere. Attualmente siamo in una fase evolutiva in cui le varie parti devono assumere una posizione prospettica e operativa sulla proposta.
Dal suo osservatorio, qual è lo stato del cyber space in italiano in termini di sicurezza?
Rispetto ad alcuni anni fa esiste attualmente una consapevolezza maggiore circa i rischi. Nel 2014 abbiamo effettuato un’analisi approfondita sulla pubblica amministrazione centrale e abbiamo riscontrato un livello consono in termini di cyber sicurezza, grazie anche ai budget adeguati che questi soggetti hanno a disposizione. Per fare un esempio, i Ministeri della Difesa, degli Interni e altri hanno capacità e tecnologie importanti. Così vale anche per le regioni che, in alcuni casi dispongono di società apposite per gestire, tra altre cose, anche la sicurezza. Basti pensare a Lombardia Informatica.
E la pubblica amministrazione locale?
La Pa locale è in una situazione che si può definire preoccupante. Qui la strada da fare è ancora lunga.
Passiamo alle imprese ...
Le grandi imprese sono spesso ben attrezzate anche perché sono multinazionali con sedi estere e hanno un approccio sistemico. Il problema cruciale sono le Pmi, tipicamente italiane, che spesso non hanno difese adeguate e neppure si accorgono in tempi rapidi di violazioni. Il furto di segreti industriali e brevetti può essere devastante e il rischio esiste. Non solo. Spesso le nostre Pmi sono fornitrici di aziende più grandi e questo le pone in una posizione di criticità ancora maggiore.
