Nel 2021 la probabilità di subire un attacco di cybersecurity sarà più alta che mai e il Board delle aziende chiederà sempre di più di essere rassicurato sul livello di Resilienza raggiunto per le infrastrutture. La pandemia da coronavirus del 2020 ha portato in primo piano la necessità di garantire la Safety delle Persone e la Continuità operativa del Business. Se il primo bisogno è stato soddisfatto con un ampio ricorso allo Smart Working, rimane oggi il tema di innalzare la Resilienza delle infrastrutture e dei servizi per il Digitale, in uno scenario in cui i Rischi cyber diventavano giorno dopo giorno più pericolosi. A questo si aggiunga il fatto che le aziende dipendono da un livello di digitalizzazione molto più esteso rispetto al passato, in molti hanno già spostato dati, applicazioni e processi in cloud, e quest’ultimo, a sua volta, sta dimostrando numerose vulnerabilità (in alcuni casi sfortunati poi, anche la mancanza di procedure di base di Disaster Recovery …): tutto porta a mettere in primo piano l’attenzione sui temi della protezione del digitale. 

TIG: attacchi in crescita, endpoint e identità gli ambienti più colpiti 

Durante il “Cybersecurity Summit Live 2021” dello scorso 9 marzo 2021, The Innovation Group ha presentato qual è il livello di maturità della Cybersecurity raggiunto nelle organizzazioni italiane. “Gli attacchi cyber sono in continua crescita, sono diventati all’ordine del giorno – ha commentato Ezio Viola, Co-Founder, The Innovation Group, presentando i risultati della Survey “Cyber Risk Management 2021”. “La situazione è molto ampia e complessa, le aziende devono però concentrarsi non solo sugli attacchi più frequenti (phishing, malware) ma – soprattutto – su quelli potenzialmente più dannosi. Tra questi, purtroppo, sia la CEO Fraud sia il Ransomware hanno dimostrato nell’ultimo anno di poter comportare perdite finanziarie molto elevate. Considerando gli ambienti più colpiti, si confermano anche quest’anno le vulnerabilità di endpoint e credenziali. Importanti anche i danni subiti dai siti (web, ecommerce) e in crescita gli incidenti che riguardano gli ambienti cloud. Solo un’azienda su 3 è riuscita a evitare di subire danni per questi ambienti, una percentuale però in crescita (era circa il 10% lo scorso anno)”. 

“Osserviamo un trend degli attacchi in aumento, capacità tecnologiche sempre più avanzate e attacchi sempre più mirati” ha commentato Nunzia Ciardi, Direttore Polizia Postale e delle Comunicazioni. Nel 2020 si è assistito a una recrudescenza degli attacchi contro aziende del Made in Italy, con una cyber criminalità costituita sempre di più da sodalizi ben strutturati e transnazionali, cosa che naturalmente complica le investigazioni. In aggiunta, le capacità tecnologiche degli attaccanti crescono progressivamente: le organizzazioni criminali investono molto in tecnologia, per cui il livello tecnologico è in continua crescita. Nel darkweb sono in vendita software e strumenti da usare per attaccare reti e sistemi, che possono oggi essere utilizzati anche da non esperti: il Cybercrime-as-a-service è un fenomeno sempre più massiccio, e preoccupa quanto la capacità degli attaccanti di cancellare il proprio passaggio, ricorrendo a navigazioni anonime, coprendo e manipolando le tracce lasciate, anche quelle di tipo finanziario. 

“Abbiamo visto come la pandemia abbia comportato una più ampia digitalizzazione, ma questo ha avuto come effetto un ampliamento del perimetro e della superfice di attacco – ha commentato Nunzia Ciardi. Oggi le tipologie di attacco più insidiose sono Ransomware, DDoS e presa in ostaggio di dati sensibili. Le minacce BEC e CEO Fraud inoltre sono in aumento esponenziale: + 357% nel 2020 rispetto al 2018. Però abbiamo anche incrementato, del +60%, la nostra capacità di recupero dei fondi frodati, segnale che lo sforzo di difesa progredisce”.  

Polizia Postale: cosa preoccupa di più nei trend del cyber crime 

Con riferimento ai fenomeni estorsivi nei confronti di grandi imprese, le tecniche viste dalla Polizia Postale sono oggi molto più mirate e rivolte soprattutto a chi può pagare, segnale che da attacchi polverizzati a una miriade di obiettivi siamo passati oggi ad attacchi molto sofisticati, con tecniche che variano a seconda dell’obiettivo. La cifratura dei dati è una componente fondamentale: si osservano anche minacce di campagne DDoS rispetto alle quali viene chiesta una somma di denaro in cambio, o la presa in ostaggio di dati sensibili: il criminale manda una prova di quello che ha in mano e, se non riceve il riscatto, minaccia la pubblicazione dei dati. Si conferma poi la matrice puramente criminale degli attacchi, mentre quelli legati ad atti attivisti e di contrapposizione ideologica sono in diminuzione.  

“La sicurezza informatica è un orizzonte che si allontana continuamente e che bisogna continuamente raggiungere: anche nel contrasto e nella difesa bisogna sempre evolvere” ha commentato Nunzia Ciardi. Come devono reagire le aziende? “È un tema delicato – conclude Ciardi – Far emergere una sottrazione di dati può essere un problema, perché aggiunge il danno di reputazione a quello già subito dall’azienda, ma rimane il fatto che va denunciato l’attacco e ricercata l’alleanza con i settori pubblici che hanno queste attività nella loro missione istituzionale. È fondamentale per spezzare la catena criminale: non si può continuare a pagare riscatti nascondendo attività di questo tipo perché in termini di collettività il costo sarà alto. In conclusione, oggi bisogna investire in sicurezza, essere consapevoli che un eventuale costo legato a un incidente può essere molto elevato, come dimostrato dai casi in cui attività industriali e cicli produttivi sono rimasti fermi per giorni. Bisogna investire in modo intelligente in sicurezza, nei processi di digitalizzazione, una quota inscindibile è la sicurezza”.

Perimetro Nazionale di sicurezza e piani di digitalizzazione delle aziende 

Come investire quindi al meglio in Cybersecurity? numerosi gli spunti emersi nel corso dell’intera giornata del Summit. Parlando di applicazione del Perimetro Nazionale di sicurezza (nella Sessione Plenaria 2, a cui hanno partecipato Paolo Ardemagni, Senior Regional Director Southern Europe, Emerging Markets, SentinelOne, Andrea Chittaro, Presidente, AIPSA, Rocco De Nicola, Full Professor, IMT Lucca, Fabio Lazzini, DPO / CISO, Sogei, Yuri Rassega, Head of Cyber Security, Global Digital Solutions, Enel, Luca Calindri, Country Sales Manager Italy & Malta, Thales), è emerso che 

1. La definizione di un Perimetro Nazionale è stata ed è un’esigenza sentita, soprattutto in aziende che rappresentano il mondo delle Infrastrutture critiche nazionale, e che per prime hanno promosso e favorito nel tempo iniziative di infosharing e collaborazione con le parti istituzionali. 

2. L’adozione del Perimetro, così come si è configurato negli ultimi mesi, può però mettere in luce alcune criticità e punti di attenzione. La velocità con cui le aziende sono oggi chiamate a rispondere con misure di sicurezza continuamente al passo con gli sviluppi in chiave Digitale delle organizzazioni, non può essere frenata da norme nazionali (proprio per questo motivo, quelle principali a livello internazionali sono andate sempre di più nella direzione di fornire indicazioni di massima, non stringenti sulle misure da adottare in ogni singola organizzazione). Il rischio è anche una perdita di competitività delle nostre industrie.  

3. Un punto importante è che, nel corso del recente dibattito delle Commissioni parlamentari sul nuovo DPCM del Perimetro, sia stato proposto di introdurre un periodo di sperimentazione nella prima attuazione delle nuove norme. Questo aiuterebbe anche a responsabilizzare le aziende. Le tempistiche di notifica di eventuali incident presenti nelle ultime norme del Perimetro risultano molto stringenti, bisogna verificare che siano attuabili. Bisogna verificare che gli aspetti relativi al procurement e al nuovo ruolo del CVCN, non siano penalizzanti anche in ottica di supply chain allargate: il tessuto industriale italiano è molto frammentato, bisognerebbe investire in cultura della cybersecurity e soprattutto in un security-by-design per evitare possibili penalizzazioni una volta che le norme saranno a regime.  

“Bisogna costruire modelli effective e sostenibili per la sicurezza – ha commentato Yuri Rassega, Head of Cyber Security, Global Digital Solutions di Enel – Quando si spinge troppo sull’indicazione esatta di cosa fare, con un modello impositivo, paradossalmente si può avere un effetto contrario. Serve invece indicare elementi sufficienti e disimpegnare la fase creativa, che in questo contesto deve esserci, perché le minacce sono molto dinamiche, è evidente che nessuna norma sarà così rapida da tenere il passo con questa evoluzione. Devono invece esserci processi di inseguimento continuo delle minacce, di reazione comune organizzata lungo la catena del valore, quindi allargata alle supply chain.  L’unica prescrizione deve essere sull’esistenza di processi di gestione, con persone che ragionano secondo questa logica e che collaborano e creano infosharing con i settori adiacenti e con le istituzioni. Questo è l’unico modello sostenibile”.