Intervista a con Marcello Fausti, VP IT Security Engineering & Application Management presso TIM.
Quali sono le sfide della nostra era di Innovazione Digitale molto più rapida e pervasiva rispetto al passato? Come va rivista l’attuale impostazione del Cyber Risk management perché sia realmente efficace ed allineata a quelli che sono i veri bisogni del Business. Ne abbiamo parlato con Marcello Fausti, VP IT Security Engineering & Application Management presso TIM e membro dell’Advisory Board del Programma 2018 sulla Cybersecurity e il Risk Management di The Innovation Group.

Quali sono dal suo punto di vista le priorità di un Responsabile della Sicurezza ICT di una grande organizzazione, considerando l’evoluzione molto rapida con cui si è sviluppato negli ultimi anni il tema dei rischi cyber?

Credo che per poter arrivare a definire delle priorità di intervento sia necessario approfondire tre aspetti del problema cyber che richiederebbero una maggiore focalizzazione. Il primo tema è quello dei numeri e della dimensione del fenomeno cyber. Il secondo tema riguarda il concetto di rischio e la sua valorizzazione. Il terzo tema, in parte conseguenza dei primi due, riguarda la scelta del migliore approccio da seguire per mettere a punto un piano di intervento sul tema cyber.

Guardiamo innanzi tutto al primo problema: tutti noi partecipiamo spesso a convegni, seminari, gruppi di studio, nei quali emerge netta e ampiamente condivisa la sensazione di gravità e urgenza del rischio cyber. Ora, pur senza voler in nessun modo sminuire o amplificare questo comune sentire, devo però registrare la perdurante mancanza di un sistema di rilevazione del fenomeno cyber che sia strutturato, condiviso e diffuso nei principali ambiti pubblici o privati che maggiormente impattano sulla vita delle persone (e.g.: PA, Sanità, Infrastrutture Critiche, etc.). Mi riferisco ad un sistema di rilevazione che “obblighi” tutti i soggetti interessati a censire gli incidenti di sicurezza secondo tassonomie e semantiche definite a priori allo scopo di “costruire” una dimensione numerica condivisa del fenomeno cyber, indispensabile a qualsiasi processo di supporto alle decisioni di qualsiasi realtà pubblica o privata.

Insomma, una sorta di Istat della cybersecurity che ci aiuti ad inquadrare meglio il fenomeno che, per sua natura, ha una dimensione di sistema che, dunque, non ci consente di attuare trattamenti esclusivamente relegati a livello di singola entità o comparto. Serve, quindi, un approccio olistico basato su una rappresentazione numerica certa del fenomeno.

Come considera quanto è stato fatto ad oggi dall’Agenzia europea ENISA sui temi dell’infosharing e della prevenzione?

Credo che l’UE abbia bisogno di un ente di coordinamento permanente per la cybersecurity. Ben venga, quindi, la proposta di regolamento con cui l’UE vuole confermare in modo stabile il ruolo dell’ENISA come Agenzia Europea per la Cybersecurity. Per ENISA, però, cambia completamente la prospettiva: da ente che supporta con competenza la Commissione e il Parlamento UE ad ente che ha la responsabilità di coordinare le realtà nazionali dell’UE per una serie di aspetti molto rilevanti tra i quali anche quello a di costruire un quadro coerente ed affidabile del fenomeno cyber. Ovviamente, è un ruolo che per essere esercitato con efficacia richiede l’assegnazione di dotazioni economiche e di organico adeguate. Spesso si dice che per affrontare con successo la minaccia cyber è necessario fare sistema, ma per fare ciò è indispensabile costruire o rafforzare una rete europea di punti di riferimento che sia semplice, chiara ed efficace e quindi effettivamente utilizzabile dalle singole realtà pubbliche o private nel momento in cui ne abbiano necessità. Ben venga, quindi, il ruolo di ENISA come promotore di policy semplici, attuabili e non in sovrapposizione con altre norme, ma ben venga anche un rafforzamento del ruolo dei CERT nazionali.

Oltre alle informazioni di base, quali sono le analisi e le metriche che andrebbero sviluppate per un corretto, scientifico, cyber risk management?

È evidente che la dimensione numerica del problema da sola non è sufficiente a supportare il processo decisionale. Riguardo agli incidenti di sicurezza, ad esempio, i numeri contano solo se supportati adeguatamente da dei significati che aiutino ad attuare una fase di triage avente l’obiettivo di individuare il più rapidamente possibile le due cose che è necessario sapere: priorità di gestione e impatto potenziale. Questo esempio introduce un tema importante (il secondo della mia classifica) che è quello della valutazione del rischio. È un dato di fatto che oggi nelle aziende vengono adottate metodologie e best practice che propongono una valutazione del rischio basata su scale di valori ordinali (es.; Alto, Medio, Basso o punteggi da 1 a 5) se non in base alla percentuale di copertura di requisiti derivanti da normative o (appunto) da best practice. Quest’approccio è figlio dell’idea che per essere protetti è necessario e sufficiente aderire ad una serie di raccomandazioni o di regole prescrittive (nel caso di normative cogenti) che vanno bene per tutti i contesti e per tutti i business. Pur se il perseguimento di comportamenti virtuosi (come l’attuazione di best practice) è certamente positivo e ha il non trascurabile effetto di dimostrare una certa buona volontà dell’ente o azienda che le adotta anche di fronte ad eventi cyber avversi, ciò non è sufficiente. Una valutazione accurata del rischio cyber non può che passare per la valutazione il più possibile accurata dell’impatto economico dell’evento cyber avverso (i.e. perdita di fatturato, costi di ripristino del servizio, costi per retention della clientela, etc.). La valutazione dell’impatto economico potenziale di un rischio cyber è una disciplina complessa che va fatta in collaborazione con i responsabili di business nell’ambito di un processo di calibrazione delle valutazioni che ha come effetto quello di avvicinare il linguaggio della cybersecurity al linguaggio del board. Oggi, invece, si parla molto di vulnerabilità, minacce, vettori di attacco e forse poco di rischio in termini economici.

Nelle aziende in cui viene adottato un approccio di Enterprise Risk Management (ERM), ci si avvicina maggiormente a questo obiettivo di misurazione?

Solo in parte. Gli ERM sono in genere basati su Internal Control / Integrated Framework (COSO) con una valutazione del rischio che si articola sui classici 3 livelli della scala ordinale Alto/Medio/Basso. La dashboard dell’ERM, quindi, espone al board una situazione di rischio a cui non è però associata una stima del potenziale rischio economico che servirebbe, invece, per modulare correttamente gli investimenti in azioni di mitigazione.

Terzo problema: qual è l’approccio migliore da seguire per gestire i rischi cyber?

L’approccio ideale è quello comunemente individuato con il termine “Security-by-design”, ossia, ragionare sulla sicurezza fin dalle fasi di ideazione di un prodotto, qualunque esso sia. Pensiamo ad industrie diverse da quella ICT: nell’aviazione, un aereo non sicuro non potrebbe mai ottenere l’autorizzazione al volo. Per il software e per le tecnologie digitali in genere, invece, si dà per scontato che il valore principale stia nella velocità. In nome del time-to-market e dell’impressionante incremento di velocità proprio del mondo digitale rischiamo di sacrificare un elemento fondamentale come l’attenzione alla sicurezza. Solo per fare un esempio, nelle reti Mobili siamo passati da cicli che avevano tempi di sviluppo e poi di esercizio anche molto lunghi (basti pensare alle reti 2G), a reti con cicli sempre più brevi: le reti 4G, a regime da pochi anni, saranno presto sostituite da quelle 5G. Allo stesso modo nel mondo IT si assiste sempre di più a soluzioni/prodotti che diventano obsoleti in tempi sorprendentemente brevi rispetto al passato e che quindi vengono abbandonate o non più aggiornate e di certo non più adeguate dal punto di vista della sicurezza. Questo fenomeno, quindi, genera delle legacy che impattano negativamente sulle politiche di patching che costituisco uno dei fondamentali indispensabili del mestiere dell’ICT Security. L’effetto della velocità del mondo digitale, inoltre, non si limita all’accorciamento del ciclo di vita delle tecnologie con tutti gli effetti appena visti, ma arriva anche ad introdurre elementi di innovazione realmente dirompenti con impatti molto rilevanti sulla gestione della sicurezza. Basti pensare a che cosa vuol dire per le Telco in termini di opportunità di razionalizzazione dell’infrastruttura, l’avvento delle cosiddette SDN (Sotware Defined Network) e che implicazioni ha tale innovazione dal punto di vista dell’approccio alla sicurezza e alla resilienza delle reti che deve essere completamente ripensato. Nel mondo dello sviluppo del sofware, poi, l’abbandono del tradizionale approccio waterfall a favore delle metodologie Agile e DevOps, genera dei cicli sviluppo/deploy/refine così stretti ben difficili da governare senza un approccio alla sicurezza totalmente nuovo. Senza parlare poi del fatto che sempre di più lo sviluppo software corrisponde, in realtà, all’assemblaggio di componenti open source (spesso librerie eseguibili) rispetto alle quali la possibilità di controllo è abbastanza limitata.

Oggi però si parla sempre più spesso di questi temi. Lo stesso regolamento GDPR – con riferimento al trattamento dei dati – parla di privacy-by-design. A livello europeo, un nuovo regolamento (Cybersecurity Act), proposto dalla Commissione Europea lo scorso settembre, dovrebbe introdurre, se approvato, una “certificazione della sicurezza”, un bollino blu per prodotti come computer, smartphone, tablet, oltre che altri dell’IoT, come le future auto connesse. Cosa pensa di questa certificazione? Sicuramente di tratta di una bella novità …

Per tutti i motivi appena discussi, non sarà certamente semplice per ENISA definire degli schemi di certificazione di sicurezza per il software. Per i device che integrano software, invece, è sicuramente possibile fare test più approfonditi. TIM, ad esempio, effettua di routine test di sicurezza in laboratorio per i modem che distribuiamo per le nostre linee in fibra o ADSL. Viene adottato un approccio black box per verificare che firmware e configurazioni dei modem/router siano “a tenuta” e qualora emergano delle vulnerabilità, richiediamo ai produttori modifiche al firmware e prevediamo campagne di update da remoto.

Con riferimento all’attività di patching, che è richiesta tutte le volte che viene pubblicata una vulnerabilità, dal suo punto di vista, quali sono le criticità nelle organizzazioni e cosa ha dimostrato la rapidissima propagazione del ransomware WannaCry e NotPetya?

Come già detto, oggi molte delle difficoltà di patching sono legate all’obsolescenza tecnologica: non sempre si può eseguire il patching automatico di PDL e/o sistemi senza averne prima valutato gli impatti in termini di compatibilità tra la patch e gli elementi della pila del software installata sui sistemi. In ogni caso, al patching di una PDL/sistema deve sempre essere affiancato il corretto hardening volto a rafforzare la configurazione rendendo meno “esposta” la PDL/sistema. Oggi parliamo sempre di più di machine learning e detection anti-APT, ma bisogna sempre ricordare che il 99% dei rischi da mitigare richiedono l’attuazione di misure di base. Nella maggior parte dei casi, i ransomware possono essere fermati con approcci tradizionali e configurando in modo più robusto le macchine e le reti. Una detection avanzata è importante, ma non bisogna perdere di vista i fondamentali: patching, hardening, corretta gestione delle credenziali e dei diritti di accesso, network segmentation, remote access control. L’estrema velocità del mondo digitale, però, oltre ad impattare sul ciclo di vita delle tecnologie che utilizziamo per il business, ha anche l’effetto di rendere meno efficaci i meccanismi di detection tradizionali basati su firme che hanno dimostrato di non essere adeguati al nuovo contesto. Nuove modalità di detection e network visibility basate su algoritmi di machine learning coadiuvati dalla capacità di analisi in sandbox dei campioni di malware, così come la possibilità di ricevere flussi di IOC e ricercarne le tracce real time su tutti i contesti aziendali (log, PDL, etc) offrono nuove possibilità di protezione che devono essere dispiegate con occhio attento alla reale efficacia ed alla necessità di orchestrazione della complessiva infrastruttura di sicurezza.