cyber-security_red
adv

In un mondo sempre più legato alla rete, la consapevolezza che la minaccia eterea sia concreta al pari di quella fisica non va di pari passo con la realtà dei fatti. Qual è la situazione?

Per decenni la Cybersecurity è stato un tema capace di attrarre l’attenzione di tutti, sin dai primi anni dei moderni computer. Senza la capacità di sfruttare backdoor e di inserirsi nei sistemi, probabilmente la Morte Nera sarebbe ancora integra (Star Wars – 1977), Jeff Bridges non avrebbe dovuto combattere contro MCP (Master Control Program) nel cyberspazio (Tron – 1982) e la carriera di Matthew Broderick, se non avesse quasi scatenato la terza guerra mondiale, con tutta probabilità non sarebbe stata la stessa (War Games – 1983).

Inconsapevolezza, lo stato dell’arte

Purtroppo la trattazione di tali argomenti all’interno di film di fantascienza non significa che le minacce ivi esposte debbano essere lontani miraggi. Anzi, complici l’avanzamento tecnologico e lo spostamento di informazioni e denaro sulla rete informatica, si registra un trend di attacchi in continua crescita. Secondo le stime dei rapporti Clusit (associazione italiana per la sicurezza informatica), dal 2011 ad oggi gli attacchi informatici nel mondo sono aumentati del 240%, con conseguenti ripercussioni economiche su governi, aziende e privati.

I moventi degli attacchi alla cybersecurity, negli anni, sono passati dall’autocompiacimento nel superare le barriere di sicurezza all’acquisizione di denaro. I metodi sono cambiati: dallo sparare nella mischia, cosa che per la legge dei grandi numeri prima o poi rende i suoi frutti, si è giunti ad una tipologia di attacco più mirato la quale lentamente, sul lungo periodo, ruba informazioni di maggior valore. Gli strumenti d’attacco si sono evoluti, automatizzati, basati su intelligenza artificiale e venduti in comodi kit pronti all’uso. Anche le integrazioni tra sistemi sono un fattore di rischio in quanto giunture, punti studiati per consentire l’accesso di partner, terze parti che potrebbero, non intenzionalmente, essere poco protette e fungere così da ponte d’accesso al sistema.

Le ricerche dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano indicano che i danni legati alla mancanza di un’adeguata cybersecurity sono 10 volte superiori rispetto agli investimenti in sicurezza.

Ciò che manca è, quindi, la consapevolezza e la cultura della prevenzione in generale.

Il costo della vulnerabilità

Stando all’analisi di Forrester (una tra le più influenti società di ricerca e consulenza) le aziende, quando valutano gli investimenti in cybersecurity, dovrebbero considerare i seguenti costi:

  • Risarcimenti danni, battaglie giuridiche, sanzioni normative (specie in materia di dati sensibili).

  • Risorse impiegate in risposta agli incidenti (call center, comunicazioni ufficiali, tecnici specializzati).

  • Perdita di produttività per risorse spostate dalle normali mansioni.

  • Danno legato alla perdita di fiducia dal mercato e costi per riconquistarlo

  • Introduzione di nuove tecnologie a compensazione di quanto non è stato gradualmente fatto, considerando eventuali lavori extra imposti per rispettare disposizioni imposte al termine di eventuali battaglie legali.

Obiezioni

Ben inteso che lo sviluppo delle misure dovrebbe sempre essere un compromesso basato su un’onesta analisi di valutazione del rischio, si registrano di frequente obiezioni all’impiego di risorse in cybersecurity. Le più comuni riguardano il perché essere attaccati, il fatto di non esserlo mai stati, le dimensioni di una modesta impresa. In realtà basta un partner disonesto, un concorrente smaliziato, un impiegato licenziato o insoddisfatto per diventare un bersaglio. A volte è solo un caso non essere stati ancora attaccati o, magari, l’intrusione è avvenuta ma non si è stati in grado di rilevarla. Se un hacker mira alle informazioni la dimensione dell’azienda conta poco e le aziende più piccole, non avendo le risorse delle più grandi, possono essere bersagli più semplici. Solitamente le assicurazioni non coprono gli incidenti informatici e, anche se dedicate, difficilmente copriranno tutto il danno.

Cultura della prevenzione

Sempre secondo Forrester, le stringenti policy aziendali che spesso complicano il lavoro quotidiano ed i training sulla sicurezza sono spesso visti come obblighi di compliance dai dipendenti e, pertanto, seguiti in modo superficiale. Da qui nasce l’esigenza di un approccio differente. La formula proposta segue l’equazione 3P+IP = TD, dove

  • le 3P sono:

    • Personally Identifiable Information

    • Personal Health Information

    • Personal Cardholder Information

  • IP = Intellectual property.

  • TD = Toxic Data, i dati di maggior valore per i cybercriminali ma che i responsabili della sicurezza tengono in minor conto.

I TD e le loro implicazioni nel business vanno analizzati al fine di arrivare a realizzare adeguati sistemi di difesa per proteggerli. Il processo non è mai statico ma richiede una cooperazione continua tra gestori delle informazioni ed esperti di sicurezza.

Sottovalutati sono anche i test di sicurezza come i penetration test che vedono la simulazione di un attacco. Andrebbero analizzati tutti gli scenari immaginabili per capire le falle e poterle prevenire prima di un attacco reale. Tali attacchi possono avvenire da remoto, sfruttando delle falle nella cybersecurity o dall’interno, grazie a server compromessi o dipendenti infedeli. Spesso ci si affida a società esterne specializzate, definendo le regole d’ingaggio. I costi sono considerevoli ed andrebbero ripetuti periodicamente vista l’evoluzione di tecnologie e tecniche di attacco.

Il linguaggio dei soldi

Un ultimo consiglio che da la società di consulenza ai responsabili della cybersecurity aziendale è quello di parlare la stessa lingua. Essi, infatti, devono tener sempre conto delle esigenze di bilancio ed è, quindi, importante presentare le necessarie misure di sicurezza anche in termini di impatto economico.