Nello scenario attuale di continui attacchi automatizzati lanciati su scala globale contro sistemi cyber-fisici, occorre aumentare la resilienza delle organizzazioni, abbandonando la metafora del Castello e adottando quella del Sistema Immunitario
In un articolo per Data Manager dell’aprile 2015 scrivevamo: «La ragione principale per cui gli attaccanti hanno la meglio non è solo tecnologica, ma risiede principalmente nella crescente asimmetria nell’efficacia dei differenti “modelli di business” di chi attacca e di chi difende: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopportato dai difensori (ancora legati a un modello reattivo, e dunque incapaci di anticipare le mosse degli avversari) è di milioni di dollari. Una situazione letteralmente impensabile fino a poco tempo fa, che mette in discussione tre decenni di progettazione e di gestione dell’ICT, inclusi i più recenti sviluppi in materia di cloud, mobile, social media e Internet of Things. Per adeguarsi a questo nuovo tipo di minaccia (che non è più quella degli “hacker”), occorre che i difensori cambino approccio a loro volta».
Alcuni degli attacchi più “interessanti” del 2017 non fanno che confermare questo stato di cose, aggravato dal fatto che sono trascorsi oltre due anni, un’enormità nel dominio digitale, senza che l’approccio dei difensori sia cambiato in modo apprezzabile. L’effetto catastrofico di campagne di ransomware come WannaCry e NotPetya (che peraltro appaiono mirate a distruggere più che a guadagnare denaro) dimostra in modo definitivo che la cyber security è diventata un pre-requisito essenziale non solo per fare business, ma più in generale per rendere possibile il buon funzionamento della nostra civiltà iperconnessa.
Per approcciare correttamente i nuovi problemi e definire strategie adeguate (partendo dal Board) occorre innanzitutto chiarire l’ambito di applicazione della Cyber Security, che non va confusa con l’ICT Security, e definirne le finalità. La seconda si occupa di proteggere le informazioni e le infrastrutture informatiche tramite le quali generiamo, gestiamo, trasmettiamo e archiviamo i nostri dati. La prima ha un perimetro ben più ampio e si occupa di proteggere tutti quegli asset, materiali e immateriali, spesso non IT, che oggi sono messi a rischio tramite l’applicazione dell’informatica. Per esempio, la vita dei pazienti in condizioni critiche messa in pericolo dal blocco degli ospedali inglesi causato da WannaCry, la reputazione di un’azienda derubata di milioni di record dei suoi clienti, il buon funzionamento dei circuiti di pagamento e delle infrastrutture critiche, la quotazione in Borsa di una banca che avesse i suoi account social compromessi per attaccarne i correntisti-followers.
Per sua natura quindi la Cyber Security non è un “problema IT”, ma attraversa in modo assolutamente trasversale i “silos” organizzativi e le funzioni aziendali, riguardandole tutte senza esclusioni. Questa dimensione “esistenziale” e trasversale della Cyber Security si basa sul presupposto, ancora troppo poco discusso, che oggi tutti i sistemi siano diventati cyber-fisici (intreccio indissolubile di digitale, umano e fisico). In questo contesto, la sicurezza non può essere implementata con successo applicando la metafora del Castello (buoni dentro e cattivi fuori), anche perchè nel frattempo il perimetro delle mura è, a tutti gli effetti pratici, evaporato. Bisogna imparare a funzionare anche se costantemente compromessi, a individuare velocemente i patogeni veramente pericolosi e a ignorare quelli innocui, a ottimizzare le risorse scarse dell’organismo-organizzazione per prevenire le minacce più gravi e gestire quelle minori senza subire danni inaccettabili. Una sfida eccezionale che ci impone di ripensare velocemente il nostro approccio alla sicurezza, prima che i cyber-rischi superino i cyber-vantaggi.
Andrea Zapparoli Manzoni, membro del Consiglio Direttivo di CLUSIT
