Frodi informatiche, violazione dei dati, continuità operativa, personale infedele, sono solo alcune delle voci da considerare nella valutazione del rischio cyber. Un processo complesso e al tempo stesso fondamentale per affrontare le minacce IT

Lo scorso anno, la Polizia Postale ha ricevuto e trattato circa 160mila segnalazioni di truffe o tentate truffe, che hanno portato a 3.355 denunce, all’arrestato di 39 persone e al sequestro di 22.687 spazi virtuali. Numeri importanti, che però descrivono solo in parte il fenomeno, su cui convergono numerose tipologie di reato – dal furto di identità al bullismo, dallo stalking al prosciugamento del conto corrente – perpetrati con tecniche conosciute e ripetute nel tempo. Come dimostrano gli episodi di cronaca. Lo scorso mese di ottobre decine di aziende della provincia di Cremona si sono viste recapitare nella propria casella di posta false fatture o contabili di pagamenti, provenienti da aziende conosciute, attraverso allegati del tutto identici a normali file di testo. Con all’interno però la sorpresa: un ransomware che critta i dati presenti sul pc e chiede un riscatto; oppure reindirizza la connessione verso un sito pirata creato ad hoc per rubare le credenziali da conti correnti e carte di credito. Truffe che non richiedono nemmeno l’involontaria collaborazione della vittima come avviene con il classico phishing. Peraltro ancora molto utilizzato. Ultimo in ordine di tempo, l’attacco indirizzato alle caselle di posta elettronica certificata di pubbliche amministrazioni, aziende private e iscritti a numerosi ordini professionali investite da più di 250mila messaggi di phishing solo nella prima settimana di ottobre 2019. Attacco che, a metà novembre, il CERT-PA segnala come ancora in corso.

Trovate ingegnose, declinate nei modi più fantasiosi, che vanno dalle classiche richieste di pagamento alle segnalazioni di opportunità di lavoro; dalle vincite fasulle ai test di videogame; passando per software, libri, musica e progetti da scaricare, fino alle richieste di amicizia e tentativi di corteggiamento. Espedienti “evergreen” che non passano mai di moda, accanto alle messe in scena e agli schemi criminali più creativi, utilizzati per agganciare le vittime e in massima parte per sottrarre dati o denaro. Le email rimangono il vettore più utilizzato, ma si segnalano in forte ascesa le truffe che originano da app scaricate sullo smartphone, sfruttando meccanismi ben rodati per dirottare i malcapitati su siti fasulli di banche online, social network, agenzie di viaggi, catene di vendita e così via. Tecniche utilizzate anche per accedere o impadronirsi di dati personali, come nel caso di Collection #1 che ha portato alla luce la violazione di milioni di indirizzi mail e password. Quando parliamo di imprese sopra i 250 addetti, emergono sostanzialmente due temi importanti in materia di sicurezza e business continuity – spiega Giancarlo Vercellino, associate research director di IDC Italia. «Il timore per una grave discontinuità delle operazioni aziendali e quello legato alla diffusione di informazioni sensibili e dati personali. Dopo maggio dello scorso anno, il GDPR ha dato un impulso sostanziale a quest’ultimo timore. La giurisprudenza europea ha portato in evidenza un rischio specifico che le imprese italiane stanno cominciando a prendere seriamente in considerazione». Anche se stando ai pochi dati disponibili, le notifiche effettuate in Italia da aziende e organizzazioni al Garante per la privacy sono, in proporzione alla popolazione, una percentuale molto bassa rispetto alla media europea. L’Italia con 610 notifiche, in rapporto alla popolazione, è il paese che registra meno violazioni, preceduta solo dalla Grecia. Basso (91) anche il numero di multe comminate, molte delle quali precedenti alla data fatidica del 25 maggio 2018.

LA VARIABILE UMANA

Per manager e IT, i dipendenti sono il fattore di rischio più grande. «Gli errori umani incidono sugli incidenti informatici senz’altro in modo notevolissimo, a quanto ci dicono i vendor indipendenti e gli operatori specializzati nella sicurezza» – afferma Vercellino di IDC. «Tuttavia, non disponiamo di dati circostanziati che facciano chiarezza sull’incidenza degli errori umani – comportamenti di dipendenti e collaboratori, ma anche management e IT – nel computo complessivo degli incidenti informatici». Secondo Maurizio Zacchi, marketing manager di Gruppo Daman, la maggior parte degli incidenti ha un innesco legato al comportamento inconsapevole dell’utente, che consente all’attaccante di incunearsi nelle difese dell’organizzazione. «Tuttavia, per avere successo, l’attacco sfrutta chiaramente vulnerabilità esistenti e limiti tecnologici. Una falla legata a strategie di difesa ancora troppo concentrate sul “perimetro” che svia dalle reali responsabilità, da dividere tra tutte le componenti. Processi di sicurezza immaturi – la capacità cioè dell’azienda di mettere in campo procedure di risposta all’evento di sicurezza, basate su policy – che impattano negativamente sulla tenuta complessiva della postura di sicurezza adottata. A volte, potrebbero verificarsi situazioni in cui la configurazione IT è semplicemente errata – come spiega Angelo Sbardellini, sales manager di Flowmon Networks Italia. «O non esistono best practice che guidano i dipendenti su come comportarsi. Oppure l’intero meccanismo di protezione aziendale manca di integrità. In tali contesti, le persone responsabili della sicurezza IT potrebbero incolpare i dipendenti per violazioni della sicurezza, ma il problema è altrove». L’incidenza dell’errore umano è un rischio che può essere mitigato da processi comprensibili e tecnologie efficaci. «Un approccio che funziona è quello di analizzare la situazione attuale, ottimizzando ciò che è già presente, inserendo poi strumenti o servizi per migliorare la visibilità e il controllo dello stato della sicurezza informatica» – suggerisce Alessandro Bonadio, cybersecurity specialist Axians Cybersecurity Italy.

Leggi anche:  Zucchetti e Data Management, sinergie per crescere nel segmento large enterprise

È assolutamente necessario adottare strumenti efficaci che permettano di tenere sempre sotto controllo l’infrastruttura IT – «ma è altrettanto importante “educare” e responsabilizzare tutti i dipendenti in materia di cyber sicurezza, per non mettere a rischio il futuro del proprio business» – avverte Nicola D’Ottavio, country manager Italia e Svizzera di Panda Security. Sessioni periodiche di aggiornamento e formazione del personale rappresentano l’espressione più veritiera della cultura aziendale. Tutti, manager compresi, possono essere vittime di un attacco o essere “portatori” di rischio, attraverso comportamenti anche inconsapevoli. Come nei numerosi casi di “whaling” – letteralmente pesca della balena – truffe, che si servono di false identità ai livelli più alti, per indurre un pezzo grosso, la balena appunto, ad autorizzare un bonifico bancario ingente, come quello avvenuto all’interno del gruppo internazionale Tecnimont, vittima di una frode da 17 milioni di euro. Un fenomeno taciuto, ma che secondo i dati dell’FBI ha registrato più di 30mila casi negli ultimi tre anni (da giugno 2016 a luglio 2019), causando più di 3,5 miliardi di perdite. «Tecniche di attacco sempre più sofisticate che rendono vulnerabile anche il personale più esperto e competente» – rileva Zacchi di Gruppo Daman. Il paradosso – nota Alberto Brera, country manager Italy Stormshield – è che più sono avanzate le tecnologie impiegate nelle aziende, maggiore è l’incidenza dell’errore umano come elemento scatenante di un incidente informatico: «I rischi aumentano proporzionalmente in funzione della qualità e dell’attualità dei sistemi e delle soluzioni adottate. Determinare e generalizzare la quota di rischio attribuibile al mero “fattore umano” è un esercizio puramente teorico, perché la variabile di calcolo rappresentata dal fattore tecnologico resta imprecisata».

LA VALUTAZIONE DEL RISCHIO

La percezione della minaccia è funzione del livello di maturità dell’organizzazione. Frodi informatiche, violazione dei dati, continuità operativa, personale infedele, errori umani sono solo alcune delle voci che formano la percezione dinamica della minaccia cyber. Consapevolezza e percezione del rischio cambiano radicalmente prima e dopo un evento di data breach. «Finché un’impresa non si trova in una situazione di questo tipo, non riesce a valutare effettivamente il rischio IT e il suo potenziale impatto sul business aziendale. Alcuni timori cambiano radicalmente nel momento in cui si comprende la tangibilità del danno di alcuni potenziali rischi» – spiega Vercellino di IDC. Consapevolezza che Mauro Cicognini, membro del comitato direttivo di CLUSIT, collega alla maturità dei processi in campo. «Organizzazioni con processi più solidi e collaudati, in molti casi, hanno imparato a loro spese l’importanza della cybersecurity e si comportano di conseguenza. Le realtà più “giovani”, almeno in termini organizzativi, hanno una percezione della cybersecurity che potrei definire semplicistica». Ma è proprio da queste valutazioni che originano le scelte di concentrarsi più su alcune voci di rischio rispetto ad altre, in un percorso, tutt’altro che lineare. A partire dalla scelta della tecnica di valutazione più conforme alle caratteristiche proprie dell’azienda. Per esempio, la norma EN 31010 arrivava a illustrarne 31 nel 2009. Diventate 41, con l’ultima versione.

Difficile – dunque – individuare un modello univoco a cui fare riferimento. Ogni organizzazione deve giocoforza sviluppare la propria strategia di protezione dal rischio cyber capace di agire su tre fronti: persone, tecnologie e capitali. Ma al di là della pletora di metodologie disponibili, la valutazione del rischio passa sempre attraverso la raccolta delle informazioni più adatte, che – però – possono mancare nella forma più adatta in vista di un certo obiettivo. «La valutazione del rischio IT è una operazione complessa, che richiede molte informazioni» – concorda Vercellino di IDC Italia. «Perciò demandare una valutazione di questo tipo a terzi, oppure a casistiche astratte e generali, è impossibile. Meglio rimboccarsi le maniche e fare i compiti a casa propria. Mettere cioè insieme CIO, CMO e CEO per capire il valore della posta in gioco, in un mondo in cui la concorrenza, anche quella più sleale, procede attraverso i canali digitali». Di certo, la valutazione del rischio richiede una chiara consapevolezza del ruolo della sicurezza IT nella strategia digitale dell’azienda. «Sempre che l’azienda ne abbia una» – ribatte Cicognini.

Leggi anche:  Attacco malware prende di mira i router domestici sfruttando una pagina web legata a COVID-19

«In molti casi, si arriva a circoscrivere un rischio, partendo dalla comprensione tecnologica del problema invece di analizzare in modo sistemico la sua dimensione rispetto agli obiettivi della propria organizzazione» – afferma Vicki Vinci, security business line manager di Kirey Group. Manca cioè la capacità di valutare il rischio in modo strutturato e organizzato. La gestione del rischio IT richiede una attenta attività di comunicazione interna e di formazione. «Oltre a una chiara consapevolezza a livello tecnologico, il chief security officer deve comprendere come impiegare le leve del cambiamento organizzativo per sviluppare un corretto clima aziendale, una cultura e una sensibilità quanto più possibile allineate con la realtà dei fatti, in modo da preparare l’azienda alle sfide sempre più complesse che stanno arrivando dalla API Economy» – riassume Vercellino di IDC Italia. Per valutare le potenziali minacce, relative a persone, capitali e tecnologie, l’approccio più citato – il solo in teoria in grado di guidare l’azienda verso la creazione di consapevolezza e resilienza – è quello olistico. Un termine molto abusato e foriero di equivoci ed errate interpretazioni. «Sebbene un approccio olistico sia teoricamente preferibile, ci si trova spesso a fare i conti con risorse limitate e una scarsa cultura di gestione del rischio condiviso a livello direzionale» – rileva Vinci di Kirey Group. «Per questo i responsabili della cybersecurity, che devono scegliere anno per anno dove investire il proprio budget, si trovano a privilegiare il contenimento del problema più urgente invece di abbracciare la questione a tutto tondo. Sono ancora rari i casi dove un piano industriale è accompagnato da un piano di gestione del rischio di eguale durata e valore».

Cauto anche il giudizio di Cicognini di CLUSIT. «L’approccio olistico suona molto bene in teoria e nelle presentazioni commerciali. Concretamente però non mi pare sia sempre chiaro cosa significhi la parola in tutti i contesti in cui viene impiegata. Sicuramente – continua Cicognini – è opportuno, quando si adotta una tecnologia, chiedersi se si sta facendo una scelta giusta, o se ci sono degli aspetti adiacenti ai quali non si è dato sufficiente peso, oppure problemi analoghi che potrebbero essere affrontati insieme. Spesso – afferma Cicognini – sono testimone di situazioni dove si fa tantissima analisi ma non si arriva mai alla sintesi. Il che vanifica l’analisi stessa». In pratica, si tratta di applicare l’analisi del rischio a uno specifico ambito per non disperdere risorse ed energie e allo stesso tempo per controllare più agevolmente il contesto in cui si va a operare. «In molti ambiti, la ricerca della soluzione globalmente ottima è un problema di complessità non polinomiale. Perciò se abbiamo trovato una soluzione soddisfacente nell’intorno che ci interessa, anche se questo intorno non è grande, basta» – afferma Cicognini. Punto di vista su cui converge anche Morten Lehn, general manager Italy di Kaspersky: «È importante comprendere che si possono ottenere risultati tangibili solo con un’attenta valutazione del contesto e con l’integrazione di soluzioni, professionisti e strategie ben congeniate. Non solo tecnologie, ma anche servizi che consentano di elaborare strategie e fronteggiare le cyberminacce in modo rapido ed efficiente. Solo grazie a un approccio sinergico, è possibile garantire una protezione adeguata e modificare la percezione delle aziende rispetto a una potenziale vulnerabilità».

Strettamente correlata all’analisi del rischio, l’analisi degli investimenti in security è un ulteriore banco di prova del livello di maturità raggiunto dall’azienda. «Purtroppo, è assai raro che si faccia una reale valutazione dell’efficacia degli investimenti in cybersecurity» – afferma Cicognini di CLUSIT. «Le decisioni vengono prese sulla base di sensazioni personali. Solo in settori più maturi, nei quali lo spazio decisionale lasciato alla sensazione soggettiva è decisamente più scarso, esiste un largo consenso sugli indicatori quantitativi da considerare» – spiega Cicognini. E così, non sorprende più di tanto constatare che nonostante oltre tre quarti della spesa aziendale per la cybersecurity sia indirizzata verso soluzioni informatiche e operative – la percezione tipica nella maggior parte delle aziende è quella di sentirsi comunque vulnerabile agli attacchi. «Se la spesa per le tecnologie di sicurezza è cresciuta negli ultimi anni, non si può dire lo stesso per l’investimento sulle persone e su un’organizzazione strutturata per gestirla» – concorda Vinci, Kirey Group. «Il risultato è la proliferazione di console di gestione di prodotti e la mancanza di tempo e know-how per poterne trarre i benefici attesi».

Leggi anche:  Online learning: ecco le falle nella sicurezza

ASSICURARE IL RISCHIO CYBER

Non decolla la spesa destinata al trasferimento del rischio. L’effetto GDPR/NIS non c’è stato. Il trasferimento del rischio residuo a terzi è o dovrebbe essere parte integrante di qualsiasi strategia matura di gestione del rischio. Non solo: «La combinazione di spesa per la protezione e il trasferimento del rischio a terzi, permette di raggiungere una “cyber-resilienza”, vero obiettivo per le organizzazioni di ogni settore» – osserva Marco Rottigni, CTSO EMEA di Qualys. Tuttavia, permangono nel settore assicurativo alcune criticità non facilmente risolvibili. Idealmente, ogni organizzazione vorrebbe massimizzare il trasferimento dei rischi cyber sulle spalle degli operatori, ancora molto prudenti però ad accollarsi il peso di rischi in alcuni casi difficili da quantificare, come il danno reputazionale e i mancati ricavi derivanti dal danno. In questo limbo, si fatica a trovare un punto di equilibrio condiviso. «La parte che posso ragionevolmente trasferire all’assicurazione è il rischio residuo, cioè quello che mi rimane dopo avere adottato tutte le altre misure che mi posso permettere per coprirmi dai danni frequenti e gestibili» – spiega Cicognini di CLUSIT. «L’assicurazione dovrebbe invece coprire gli eventi che capitano assai di rado, quelli vanno al di là delle mie forze. L’esempio tipico è l’incendio del fabbricato. Giusta e doverosa l’assicurazione, quando però ho già adottato tutte le contromisure che posso ragionevolmente mettere in campo con le mie forze». Trasferire il rischio cyber su terzi non esclude perciò che l’azienda adotti strategie di contenimento. «Al contrario – osserva Brera di Stormshield – alcune compagnie assicurative impongono l’adozione di misure di sicurezza IT, pena la non stipula della polizza cyber, che di norma contempla coperture per il rischio “residuo” a fronte di strumenti e strategie di protezione adeguate».

Il concetto è chiaro: senza cybersecurity, la cyber insurance non può spiegare i suoi effetti. «Si tratta di stabilire quali rischi possano essere valutati in modo condiviso, negoziando eventualmente con terze parti per mitigare e/o trasferire alcune problematiche, e quali invece non possono essere valutati in modo oggettivamente condivisibile, ma che occorre comunque valutare e gestire in modo opportuno all’interno dell’azienda» – spiega Vercellino. Facciamo un esempio. Misurare il danno in modo oggettivo di un data breach che mette a repentaglio l’operatività aziendale è possibile, valutando il costo opportunità delle giornate di fermo. Nel caso di una violazione di dati che danneggia l’immagine aziendale, compromettendo la fiducia che clienti e fornitori ripongono in un brand aziendale, la valutazione del danno – altrettanto significativo e in alcuni casi anche più grave – è più difficile da valutare. «Nel primo caso, un cloud platform provider, se adeguatamente remunerato, potrebbe anche valutare di garantire l’azienda, proteggendola da una discontinuità operativa» – afferma Vercellino. «Nel secondo caso, è molto difficile che la compagnia assicurativa sia disponibile a proteggere un asset, come il brand aziendale, la cui valutazione è ampiamente soggettiva». Un altro nodo è dato dalla difficoltà di trovare sul mercato polizze cyber competitive nel rapporto costi/benefici. Un ritardo che relega – a differenza di quanto sta avvenendo per esempio negli USA dove la discussione al riguardo è più matura e una azienda su tre assicura il rischio cyber – alla marginalità questi strumenti, rallentando al tempo stesso la diffusione di una cultura più moderna in tema di prevenzione del rischio.