CYBER SECURITY TRENDS & CYBER SECURITY E PROTEZIONE DEGLI ASSET AZIENDALI DAI NUOVI RISCHI
Se ne è parlato in maniera esaustiva in occasione della Fiera Sicurezza 2019 nel corso dell’evento organizzato da Business International, con il Patrocinio di AIPSA. Presenti Nunzia Ciardi, Direttore del Servizio di Polizia Postale e delle Comunicazioni, Andrea Chittaro, Presidente, AIPSA - Head of Global Security & Cyber Defence Department, SNAM; Manuel Di Casoli, Chief Security Officer, Fiera Milano; Michele Fabbri, CISO, Saras; Alfio Rapisarda, SVP Security, Eni; Gaetano Sanacore, Group Security & Cyber Defence OT Security Manager, A2A.
SCENARIO
Assistiamo ogni giorno a un continuo aumento di attacchi cyber, sempre più complessi ed articolati. Attacchi facilitati da una combinazione di vulnerabilità umane e tecnologiche che consentono ai cyber criminali di penetrare all’interno delle organizzazioni. Basti pensare che negli ultimi tempi, in Italia, abbiamo avuto un +170% di perdite economiche causate da malware. I cyber criminali non attaccano solo banche, grandi multinazionali ed infrastrutture critiche, ma anche migliaia di piccole-medie imprese che risultano impreparate ad affrontare in modo efficace la minaccia. Attacchi cyber che possono bloccare l’operatività delle aziende per poi chiedere un riscatto, rubare gli asset, i dati, fino ad arrivare a spiare le strategie di business, mettendone a rischio l’esistenza stessa. Attacchi che sfruttano vulnerabilità dei sistemi informativi impiegati, unitamente alla mancanza di una consapevolezza del rischio cyber da parte del personale interno.
LA POLIZIA POSTALE ITALIANA - RUOLO
La nostra Polizia Postale, in questo scenario, svolge un ruolo importante di prevenzione e contrasto del cyber crime e, in particolare, del financial cyber crime con l’obiettivo di prevenire e reprimere fenomeni criminosi volti ad arrecare danni patrimoniali ingenti a singoli cittadini, piccole-medie imprese e grandi aziende. Come un Giano bifronte, la Rete costituisce sia una notevole opportunità di sviluppo e di progresso per cittadini, istituzioni ed operatori economici, sia un importante fattore di attrazione per gli interessi della criminalità comune e organizzata, nazionale e internazionale. Pertanto, la Polizia Postale ha potenziato i rapporti con i portatori di interessi nell’ambito della sicurezza informatica, instaurando collaborazioni e partenariati sia con soggetti privati che pubblici.
NIS & INFRASTRUTTURE CRITICHE
A fronte dei famosi attacchi cyber che si sono verificati tramite la diffusione dei malware come Wannacry e Not-Petya, attacchi che hanno causato ingenti danni a numerosi Paesi in termini di interruzione di servizi essenziali e di interi settori economico-industriali, è stata implementata a livello nazionale la recente direttiva NIS (Network and information security) volta a migliorare il livello di cyber security all’interno dell’Unione Europea.
IL DARK WEB & FINANCIAL CYBER CRIME
Esiste un mondo virtuale sommerso nel quale proliferano le attività illecite, grazie a raffinate tecniche di anonimizzazione, che dissimulano le tracce informatiche e rendono più complesse le attività di accertamento delle identità on line, i.e. il dark web, da considerarsi come un vero e proprio luogo di installazione di imponenti mercati mondiali virtuali che mettono a disposizione ogni tipo di servizio o prodotto, soprattutto di natura illecita, come software per lanciare attacchi cyber, per rubare credenziali bancarie e dati personali, ecc. Anche la continua evoluzione degli strumenti di pagamento elettronico (e-payment, mobile-payment, ecc.), con l’aumento della velocità e della semplicità degli scambi, ha contribuito a innalzare vertiginosamente il volume globale dei traffici criminali, con conseguenti ripercussioni sul versante della sicurezza.
COME GARANTIRE LA CYBER SECURITY
L’attuale scenario in cui viviamo non ci permette di lasciare la cyber security ai soli interventi sporadici e congiunturali dei tecnici, dato che tutti i principali attori economici, industriali, personali, ed anche criminali, si muovono in questo enorme scenario digitalizzato, richiedendo la mobilitazione di risorse pluridisciplinari, tecniche e politiche, collettive, private e istituzionali. Se da un lato le aziende più strutturate cominciano a ragionare in termini di cyber security come un investimento necessario e non più come costo, dall’altro le piccole-medie aziende hanno ancora scarsa consapevolezza del problema e dispongono di poche risorse economiche, diventando, in questo modo, facili bersagli: attacchi anche non particolarmente evoluti dal punto di vista tecnico (i.e. malware; attacchi D-Dos; frodi informatiche) possono arrecare danni economici assai rilevanti a piccole realtà aziendali e, al tempo stesso, molti degli attacchi più devastanti aventi come obiettivo le grandi aziende, sono scaturiti dalla violazione dei sistemi informatici delle realtà imprenditoriali minori, aventi livelli di sicurezza più bassi, ma dotate di accessi privilegiati a dati ed infrastrutture delle società cosiddette “capo-filiera”. È quindi fondamentale che le imprese inizino a pensare a sé stesse non più come monadi disgiunte dal sistema, ma come parti di una rete fortemente interconnessa. Solo facendo sistema, creando modelli di prevenzione e contrasto sempre più immediati ed efficaci si riuscirà a gestire la problematica della cyber security. Bisognerà garantire un giusto equilibrio tra la sicurezza istituzionale e la sicurezza dei privati. Inoltre, sarà necessaria una legislazione sovranazionale in grado di garantire la sicurezza della Rete a livello globale dal momento che una rete sicura è fortemente abilitante allo sviluppo economico e sociale di un Paese e contribuisce a garantirne la competitività internazionale.
E GLI ASSET AZIENDALI?
Durante la tavola rotonda è stato altresì evidenziato come sia sempre più urgente il problema della salvaguardia degli asset aziendali, soprattutto considerando il maggiore utilizzo di dispositivi IoT interconnessi, AI e Machine Learning che si connetteranno alla rete o computer con potenza di calcolo molto più elevata di quella che abbiamo in questo momento, soprattutto dopo l’avvento del 5G. “Every company is a cyber security company” - è stato detto - in quanto la cyber security non può essere un add-on o un silo, ma deve investire l’intera azienda, fino a diventare parte integrante di ogni decisione: non solo gestione del rischio e compliance, ma anche competenza strategica del business. Come sostenuto dai vari relatori, ora più che mai, bisogna eliminare i costrutti legacy in cui l’Information Technology (IT) e l’Operational Technology (OT) sono separate: tutto deve essere integrato e tutti devono collaborare in un’ottica di cyber security.
COME DIFFONDERE LA CULTURA DELLA CYBER SECURITY & RUOLO DEL SECURITY MANAGER È necessario sviluppare una cultura in cui la cyber security sia ovunque; bisogna focalizzarsi sul training, disporre dei migliori strumenti, testarli regolarmente, misurare i risultati e tenere traccia dei progressi. Dunque, una cyber security “interfunzionale”, in cui il Security Manager deve essere in grado di parlare linguaggi diversi e di comunicare in modo capillare con tutte le funzioni aziendali. Un Security Manager 4.0 che deve avere una conoscenza a 360° e con competenze globali. Di concerto l’IT Manager e il Security Manager devono acquisire status e ruoli peculiari e riconosciuti all’interno della organizzazione, svolgendo in sinergia i propri ruoli di servizio e protezione del business aziendale. L’analisi dei rischi IT e le attività di penetration test ed assessment, consentiranno al Security Manager di fornire al Top Management una fotografia dello status dell’azienda in termini di cyber security, di evidenziare i punti critici e vulnerabili e di identificare le risorse critiche e prioritarie da proteggere in base agli obiettivi aziendali. In questo modo il Security Manager riuscirà a comunicare, utilizzando un linguaggio maggiormente comprensibile, con i propri interlocutori e a condividere con il Top Management la strategia di sicurezza da implementare. Solo in questo modo si può creare una struttura robusta per la governance del rischio informatico, in grado di migliorare i processi decisionali dell’impresa, garantire l’identificazione, la quantificazione e la gestione dei rischi cyber oltre che la protezione degli asset aziendali.
Federica Maria Rita Livelli
Socia AISPA, Business Continuity & Risk Manager Consultant