Sempre più attacchi e sempre più dannosi. Come preservare la fiducia di imprese e cittadini nell’ICT in un contesto di crescente insicurezza informatica?
La fiducia nell’affidabilità delle tecnologie informatiche e nei servizi che si possono realizzare grazie all’ICT è la vera valuta digitale della nostra epoca. Oggi, aziende, istituzioni e cittadini devono affrontare un paradosso: da un lato devono mantenere e rafforzare questa fiducia nelle tecnologie digitali per conseguirne al meglio gli indiscutibili vantaggi, e dall’altro devono preoccuparsi dei rischi derivanti dalla crescente insicurezza delle tecnologie informatiche e delle loro implementazioni. E questo paradosso mina alla base la fiducia.
Negli ultimi 48 mesi, il rischio derivante dall’aumento del numero e della gravità degli attacchi informatici è aumentato in modo esponenziale, tanto che nell’ultima edizione del Rapporto Clusit, presentata al Security Summit di Milano il 17 marzo scorso, abbiamo dovuto riconoscere che “in Italia i danni complessivi derivanti da attacchi informatici (stimati in nove miliardi di euro, inclusi i costi di ripristino) sono ormai pari alla somma delle perdite dovute a crash dell’hardware, del software e alla perdita di alimentazione elettrica”.
A questo significativo aumento dei rischi e dei danni – però – non è stata data una risposta efficace: a fronte di crescenti investimenti in sicurezza informatica (saliti globalmente dell’8% nel 2014, nonostante il perdurare della crisi economica), il numero e la gravità degli attacchi che vanno a buon fine continua ad aumentare.
Le organizzazioni cybercriminali hanno compiuto un significativo salto di qualità e impiegano ormai logiche industriali, indistinguibili da quelle di una qualsiasi industria high-tech di successo, realizzando malware raffinati, totalmente automatizzati, in grado di colpire milioni di vittime in poche ore e di cambiare tattiche e strategie in tempo reale.
La ragione principale per cui gli “attaccanti” hanno la meglio non è solo tecnologica, ma risiede principalmente nella crescente asimmetria nell’efficacia dei differenti “modelli di business” di chi attacca e di chi difende: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopportato dai difensori (ancora legati a un modello reattivo, e dunque incapaci di anticipare le mosse degli avversari) è di milioni di dollari.
Una situazione letteralmente impensabile fino poco tempo fa, che mette in discussione tre decenni di progettazione e di gestione dell’ICT, inclusi i più recenti sviluppi in materia di cloud, mobile, social media e Internet of Things. Per adeguarsi a questo nuovo tipo di minaccia (che non è più quella degli “hacker”), occorre che i difensori cambino approccio a loro volta. Il modello attuale, in base al quale si cerca di reagire (alla cieca e come si può) a valle di un attacco, è diventato fallimentare. Occorre puntare sulla prevenzione, per vanificare gli investimenti dei cyber criminali.
È necessario dunque introdurre nuovi strumenti (metodologici e tecnologici) utili a valutare con precisione quali potranno essere gli impatti di un’azione ostile, per capire cosa proteggere e come (ottimizzando i budget di sicurezza), e dotarsi di strumenti di cyber intelligence avanzata, per conoscere in anticipo (o nel minor tempo possibile) le intenzioni degli attaccanti.
Solo così è possibile contrastare le nuove minacce ad armi pari, fare reale prevenzione e predisporre piani efficaci di gestione e di mitigazione delle crisi, per mettere le organizzazioni colpite in condizione di riprendersi rapidamente dalle conseguenze di un attacco dal punto di vista operativo, economico e di immagine. E preservando così quella fiducia nell’ICT che, essendo diventata un pilastro del modello socio-economico contemporaneo, non può e non deve andare persa.
Andrea Zapparoli Manzoni, senior manager Information Risk Management di KPMG Advisory e membro del Consiglio Direttivo di Clusit
