Scenari e previsioni nel mondo covid-resilient. Durante la forzata convivenza con la pandemia globale oltre al consolidamento di alcune tendenze già in atto nel campo della cybersecurity, assistiamo all’improvvisa ma non imprevedibile impennata di attacchi informatici
I tempi stretti dettati dall’emergenza sanitaria hanno lasciato poche risorse da dedicare alla sicurezza, ma dalla conta dei danni questa sottovalutazione sta costando parecchio ad aziende e organizzazioni. Nello scenario in rapida evoluzione, la strategia di sicurezza informatica dovrà velocemente adeguarsi alle mutate minacce cyber. La pandemia in corso rappresenta un banco di prova importante per la tenuta delle nostre infrastrutture critiche. Durante il primo lockdown, l’erogazione di servizi essenziali come energia elettrica, gas, approvvigionamenti alimentari, servizi postali e bancari, Internet, non si è mai interrotta grazie all’impegno di tutte le società che hanno intensificato gli sforzi per servire la nazione anche in un momento di forte difficoltà. Risorse indispensabili per la vita di un paese, le infrastrutture critiche devono essere difese con qualunque mezzo: la consapevolezza, da questo punto di vista, negli anni è cresciuta, complici la frequenza, la natura e l’impatto dei blocchi di sistema. Tuttavia, secondo gli analisti, la situazione di potenziale pericolo è destinata ad aggravarsi nei prossimi mesi e anni, per tutta una serie di fattori esogeni ed endogeni, che si dipanano lungo un continuum che va dall’obsolescenza dei componenti che costituiscono l’infrastruttura a fenomeni di varia natura, tutti sulla carta, in grado di minare sia la capacità di garantire continuità ai servizi sia la capacità di ripristino in tempi ragionevoli. In ragione di queste considerazioni, la necessità di una maggiore resilienza, per resistere a eventi estremi, siano essi di origine naturale o dolosi, si è fatta ancora più urgente.
Fino ad oggi, l’impatto del coronavirus ha solo sfiorato alcuni servizi essenziali. I consumi elettrici sono calati mediamente di circa il 10%, pur in un quadro di forte non uniformità nel Paese. Analogamente, l’Agenzia internazionale dell’energia (AIE) prevede una contrazione del 4% della domanda di gas quest’anno, doppia rispetto a quella provocata dalla recessione del 2009, la più alta nella storia. Ma sia per l’elettricità che per il gas, non si registrano interruzioni gravi dei servizi. In altri settori, tuttavia, le cose sono filate meno lisce. Tra gli altri effetti nefasti, la pandemia – come da più parti denunciato – ha messo a dura prova le difese cyber del Paese, esponendo ad attacchi informatici amministrazioni centrali dello Stato e grandi gruppi, in particolare quelli operanti nel settore dell’energia (13%) e delle infrastrutture digitali (10%) come riporta l’annuale fotografia scattata dal Documento di Sicurezza Nazionale, allegato alla Relazione al Parlamento sulla politica dell’informazione per la sicurezza 2019.
Un tempo isolate dal resto del mondo ma oggi sempre di più aperte verso l’esterno, le infrastrutture critiche hanno mostrato segnali di vulnerabilità evidenti, con la conseguente esposizione a gravi minacce e con il rischio di ripercussioni a cascata su amministrazioni, aziende, cittadini. Scosse e soprassalti che complicano il quadro di una situazione già delicata per la sicurezza cyber del Paese, messa in evidenza anche dal Rapporto Clusit 2020. Le infrastrutture critiche, assieme al settore pubblico, sono state le aree maggiormente colpite da attacchi di livello critico lo scorso anno. La sanità in particolare ha fatto registrare un aumento del numero di attacchi, con i furti dei dati sanitari cresciuti in modo esponenziale. «Un’emergenza assoluta» – per usare le parole di Nunzia Ciardi, direttore della Polizia postale, intervenendo al convegno della Luiss Business School sulla sicurezza e la resilienza delle infrastrutture strategiche in Italia. In un contesto così sensibile, si inserisce il recente DPCM 131, pubblicato in Gazzetta Ufficiale il 21 ottobre 2020, che tra le altre cose individua i gestori di infrastrutture e servizi ritenuti strategici e che rientrano nel Perimetro di sicurezza cibernetica nazionale, il sistema di difesa digitale approntato dal Governo. Nell’elenco secretato, finiranno circa 150 nominativi, tra aziende ed enti pubblici, che svolgono funzioni essenziali per lo Stato: gestori di reti e dorsali, provider di connettività, utility statali e multiregionali, come acquedotti, centrali elettriche, gasdotti, e così via. In pratica, tutto il mosaico da proteggere di servizi essenziali, oggi digitalizzati, che vanno dalla sanità alle pensioni.
IL VORTICE DEGLI ATTACCHI CYBER
La pandemia lascerà a lungo la sua impronta sul panorama delle minacce cyber. In questi mesi di forzata convivenza con la pandemia globale – accanto al consolidamento di una serie di tendenze già in atto da tempo nel campo della cybersecurity – abbiamo assistito all’improvvisa ma non imprevedibile impennata di attacchi informatici. Il Covid-19, attraverso il massivo ricorso al lavoro da remoto, ha impresso una forte accelerazione ai piani delle aziende di ottimizzazione dei costi e di incremento della produttività.
Da fenomeno di nicchia, siamo passati a veri e propri esodi, con picchi del 90-95% della forza lavoro attiva da remoto. I tempi stretti dettati dalla pandemia hanno lasciato poco spazio per dare il giusto peso alla sicurezza, ma dalla conta dei danni questa sottovalutazione sta costando parecchio ad aziende e organizzazioni. Negli ultimi mesi, la recrudescenza degli attacchi phishing e soprattutto ransomware sono forse l’esempio più eclatante. Campagne virulente e targettizzate hanno letteralmente messo in ginocchio colossi del calibro di Telecom Argentina, Garmin, Canon, Honda. L’aumento del traffico dati invece ha sottoposto a stress notevoli la stabilità delle reti, già colpite da reiterati attacchi di tipo DDoS, cresciuti di un terzo durante i mesi della pandemia. La sempre maggiore diffusione di oggetti connessi e vulnerabili provoca giornaliere perdite di dati e violazioni, in molti casi innescate da comportamenti irresponsabili interni alle organizzazioni, che potrebbero addirittura aggravare la situazione. Sul fronte del cloud, la crescente fiducia del pubblico sta accelerando il processo di trasformazione digitale delle nostre aziende. Ma la migrazione verso la nuvola è minata dalla mancata adozione di tecnologie e procedure a protezione dell’infrastruttura, e adeguate alla gravità della minaccia.
Su questo canovaccio tutt’altro che rassicurante, il documento annuale redatto da ENISA, l’Agenzia dell’Unione europea per la cybersecurity, riguardo alle minacce cyber, chiarisce alcune dinamiche di fondo. Anzitutto, il report sottolinea due cambiamenti significativi nel panorama delle minacce informatiche nel biennio 2019-2020: l’accelerazione sul digitale innescata dall’emergenza sanitaria e la tendenza in progressivo consolidamento all’aumento delle capacità del crimine informatico di presidiare lo spazio cyber. Personalizzazione dei vettori di attacco, impiego di metodi avanzati di furto delle credenziali, affinamento costante delle tecniche di phishing mirato, ingegneria sociale, metodologie avanzate di offuscamento, sono alcune delle leve utilizzate. «Tecniche, che nel periodo di emergenza sanitaria hanno avuto una crescita esponenziale» – spiega Paolo Da Ros, membro del direttivo di CLUSIT. «Grazie alla capacità da parte della criminalità cyber di sfruttare la situazione di stress psicologico e il desiderio di trovare delle soluzioni di protezione dal Covid-19 diffuse tra la popolazione e gli operatori, la debolezza emotiva delle persone è stato il punto debole del sistema».
L’emergenza sanitaria ha costretto aziende e organizzazioni ad adottare su larga scala soluzioni tecnologiche per fronteggiare una serie di criticità, come il coordinamento dei servizi sanitari, la risposta internazionale alla diffusione del Covid-19, il ricorso massivo al lavoro da remoto, la formazione a distanza, la comunicazione interpersonale, il controllo delle misure restrittive, e così via. Questa transizione ha costretto i responsabili della sicurezza a integrare, nella valutazione del rischio calcolato in passato, l’impatto derivante dall’adozione improvvisa e non pianificata delle nuove tecnologie, innescata dalla pandemia. Questi cambiamenti forzati – si legge nel Rapporto dell’Agenzia europea – hanno indebolito le misure di sicurezza informatica esistenti. Nel tentativo di adattare le difese esistenti, i team di sicurezza hanno provato a ridurre al minimo l’esposizione a una varietà di nuovi attacchi i cui punti di ingresso sono diventate le case connesse a Internet di dipendenti e collaboratori. Con i risultati che abbiamo visto. Allo stesso tempo, spinti dalla forte pressione a mantenere o recuperare in fretta la maggiore operatività possibile, l’IT si è trovato costretto a utilizzare soluzioni basate su componenti IT non sempre affidabili, come l’accesso remoto attraverso Internet, i servizi in cloud, streaming video non protetto e app. Pratiche e modelli organizzativi, rapidamente adattati a tradizionali routine di lavoro, hanno messo a nudo le vulnerabilità strutturali dell’IT.
La reazione alla pandemia per ridurre l’impatto sull’operatività delle imprese e lo sforzo di garantire comunque il massimo della protezione possibile hanno spinto le organizzazioni ai limiti delle loro capacità. L’incremento del lavoro in remoto – concorda Cesare Radaelli, senior director channel account di Fortinet – «ha creato, quasi da un giorno all’altro, un’inversione nella struttura delle reti aziendali, un varco immediatamente visto dal cybercrime come un’opportunità da sfruttare». Poiché la pandemia è ancora in corso e permane l’incertezza circa la sua futura diffusione, è molto probabile che i problemi connessi alla cybersecurity – in questa seconda fase – continueranno a pesare parecchio sull’IT e la sicurezza aziendale. La pandemia, dilatando i tempi di detection, lascerà la sua impronta sul panorama delle minacce informatiche per molto tempo a venire.
STRATEGIA CYBER DA RIDISEGNARE
La “nuova normalità” impone l’adeguamento delle strategie di sicurezza. Strette tra le conseguenze economiche della pandemia, gli attacchi in crescita e la necessità di adeguare il loro business alle mutate condizioni ambientali – le aziende dovranno ridisegnare la strategia cyber e adattare i budget per la sicurezza. In particolare, ci si interroga sulle modalità con le quali la pandemia globale cambierà la strategia di cybersecurity delle PMI italiane. «Le aziende, anche quelle di minori dimensioni – spiega Diego Pandolfi, research and consulting manager di IDC Italia – oltre a confrontarsi con minacce informatiche diversificate e sempre più sofisticate, mostrano la necessità di accelerare sul business digitale, dovendo rispondere inoltre ai cambiamenti dirompenti e improvvisi derivanti dalla pandemia globale, come la massiva diffusione del lavoro da remoto e l’esplosione della vendita di prodotti e servizi attraverso canali digitali. In questo scenario – prosegue Pandolfi – «la nuova normalità impone un’evoluzione delle strategie di sicurezza delle aziende medio-piccole, oggi maggiormente indirizzate ad assicurare la piena continuità del business e una completa capacità di monitoraggio e risposta tempestiva a eventuali errori, attacchi o disastri». Le aziende devono comprendere – sottolinea Paolo Da Ros di CLUSIT – che per la sicurezza delle loro informazioni hanno tre armi a disposizione: un mix di formazione, procedure formalizzate e tecnologie. «Nelle PMI le tecnologie sono meno presenti, quindi probabilmente occorre puntare su formazione del personale e attenzione alle cose “piccole ma ovvie” come backup, patching, l’aggiornamento dei sistemi e delle protezioni per le postazioni utente. In molti casi, sottovalutate».
La complessità dello scenario rende necessario approntare una strategia di protezione che tenga conto delle specificità dell’azienda. «In termini di asset, architettura IT e logica di business» – rileva Fabio Sammartino, head of Pre-sales di Kaspersky. «Un’accurata analisi dei rischi e delle vulnerabilità è il punto di partenza per raggiungere un livello di resilienza adeguato. Poi bisogna essere pronti ad adattare rapidamente i propri piani in funzione delle nuove minacce in rapida evoluzione».
Una strategia degna di questo nome deve integrare misure di prevenzione attiva, che non può fermarsi all’acquisizione di soluzioni di sicurezza. «La vera prevenzione – osserva Alberto Brera, country manager di Stormshield per l’Italia – consiste nell’implementazione di strategie essenziali per assicurare all’azienda una sufficiente cyber-resilienza e il coinvolgimento attivo di tutti i dipendenti, ai quali vanno forniti gli strumenti per mettere in pratica le migliori prassi di igiene digitale. Uno sforzo – rileva Brera – di cui le aziende ancora non si sono fatte carico».
Numerosi fattori hanno determinato negli ultimi anni un aumento degli investimenti per la cybersecurity. Investimenti dei quali hanno beneficiato CISO e team di sicurezza che hanno contribuito a rafforzare le difese per gestire e respingere violazioni e attacchi, esterni e interni. Oggi, però, questa tendenza con il perdurare dell’emergenza sanitaria potrebbe interrompersi, impattando pesantemente sugli investimenti in cybersecurity. Secondo la ricerca condotta da IDC nel 2020, oltre il 35% delle aziende italiane ha dichiarato che il Covid-19 ha avuto un impatto significativo sul budget di sicurezza IT. «Gli investimenti – spiega Pandolfi di IDC Italia – si indirizzano principalmente verso la necessità di rispondere a nuove policy, normative e operations, tra le quali spicca sicuramente il lavoro da remoto. In questo contesto, la priorità è quella di migliorare le capacità di controllo, visibilità, monitoraggio e risposta sia per supportare gli utenti da remoto e prevenire eventuali attacchi, sia per continuare a operare anche durante un attacco ed essere in grado di ripristinare in maniera tempestiva i sistemi».
Esigenze complesse per le quali è assai problematico raggiungere un equilibrio soddisfacente tra gli investimenti da mettere a budget per la security e quello complessivo assegnato all’IT. «La formazione del budget IT – continua Pandolfi – rappresenta una scelta sempre più importante per le imprese di qualsiasi dimensione. Molto spesso però le realtà italiane faticano a comprendere il ruolo che la sicurezza IT gioca come infrastruttura abilitante per la competizione sui mercati digitali. In particolare, quando si tratta di piccole e medie imprese. Soltanto il 40% circa delle imprese – spiega Pandolfi – spende regolarmente per la sicurezza nell’ambito del budget generale IT. La maggior parte spende in modo del tutto saltuario e contingente, con una allocazione di risorse che molto spesso è annegata in progetti e investimenti più generali». Complessivamente, i dati IDC raccontano che la quota del budget IT assorbito dagli investimenti in sicurezza varia a seconda della dimensione aziendale e della stessa sensibilità al tema. «Secondo i dati delle ultime ricerche IDC in Italia – rileva Pandolfi – emerge che circa il 30% delle imprese dispone di un budget per la sicurezza inferiore al 5% del budget IT complessivo, mentre una quota disponibile superiore è appannaggio soltanto del 3% delle imprese. Come prevedibile, le grandi e medie imprese si posizionano sopra la media, attestandosi rispettivamente tra il 7 e il 18% di quota del budget IT speso in sicurezza. Considerando la struttura dimensionale delle imprese in Italia si tratta di numeri davvero molto piccoli in termini assoluti. «Un fatto dal quale emerge un chiaro divario tra piccole e grandi imprese rispetto al grande tema del rischio IT» – come rileva Alberto Brera di Stormshield. «Se per la maggioranza delle grandi aziende, gli investimenti in sicurezza IT hanno un ruolo strategico, soltanto una piccola quota delle micro e piccole imprese esprime la stessa analoga sensibilità».
Un divario – secondo Enzo Veiluva, membro del direttivo di CLUSIT – in parte livellato dall’assenza di benchmark di settore e di una analisi dei rischi che consenta alle direzioni aziendali di valutare il livello di rischio accettabile. «Con il risultato però di procedere su una base più umorale che strutturata. In molti casi poi, le aziende non hanno neppure le competenze per comprendere ciò di cui effettivamente hanno bisogno». La sottovalutazione dell’importanza di un’adeguata protezione è sistemica e difficile da sradicare. «Il “non capiterà certo a me” la fa purtroppo ancora da padrone specie nelle PMI» – commenta Brera di Stormshield. «E il Covid non ha migliorato la situazione. Sebbene da un lato diversi studi indichino una potenziale impennata degli investimenti in cybersecurity, dall’altro recenti ricerche a livello europeo hanno evidenziato che il 40% delle aziende ha congelato i propri budget e non intende investire a breve, per compensare almeno in parte le perdite subite in questi mesi».
VERSO UNA SECURITY PIÙ SMART
Organizzazioni e aziende alle prese con una profonda recessione economica, probabilmente taglieranno i fondi stanziati per il settore IT, con ripercussioni anche sui budget per la sicurezza informatica. Ma lasciata alle spalle l’emergenza sanitaria, l’attenzione alla security dovrà tornare a essere alta. Dalla ricerca “Head in Clouds” di Trend Micro – che ha coinvolto i dipendenti in remoto di tutto il mondo, Italia compresa, emerge che la consapevolezza circa la security e il relativo senso di responsabilità sono aumentati. «Tuttavia – spiega Alessandro Fontana, head of Sales di Trend Micro Italia – si fatica ancora a tradurre questo approccio in comportamenti pratici reali e responsabili. Ovviamente, in questo momento di bassa congiuntura economica è importante ottimizzare gli investimenti supportando le aziende di security in grado di garantire la protezione di infrastrutture Hybrid».
L’emergenza sanitaria e il ricorso massivo allo smart working hanno accentuato una situazione di fragilità già presente. «Vulnerabilità che erano sotto gli occhi di tutti anche in precedenza» – osserva Gianni Baroni, CEO di Gruppo Daman e Cyber Guru. «Vulnerabilità conosciute e al tempo stesso sottovalutate, ma che durante la pandemia hanno visto aumentare il loro potenziale di rischio, aprendo la strada alla criminalità cyber». La debolezza del fattore umano è diventata la principale leva su cui agiscono le organizzazioni criminali. «Per questo la formazione è il primo investimento strategico che le aziende dovranno affrontare» – rimarca Baroni. «Perché se non si chiude questo gap tra cultura cyber e innovazione tecnologica, tutti gli investimenti in tecnologie di sicurezza rischiano di essere vani».
La protezione dal rischio cyber passa attraverso tre fronti: capitali, tecnologie e persone. Su ognuno di questi aspetti, le aziende dovranno spingere e far evolvere la loro capacità di proteggere dati, reti, infrastrutture, apparati, dispositivi. «Pilastri fondamentali» – concorda Fabio Sammartino di Kaspersky. «L’esigenza che emerge maggiormente è quella di garantire un adeguato livello di competenza agli operatori di cybersecurity. Un bene assai raro. Non è un caso – prosegue Sammartino – che si stia assistendo alla crescente esternalizzazione dei servizi SOC, gestiti a favore di partner qualificati che possono garantire un adeguato livello di competenza anche a quelle aziende che non possono avere un team di IT security particolarmente nutrito o evoluto». Ma investire nella formazione delle persone non basta – spiega Donato Paladino, regional channel manager di Pulse Secure. «Occorre investire in nuove tecnologie in grado di limitare o prevenire eventuali attacchi che sfruttano social engineering o phishing».
L’IMPORTANZA DEL BUDGET
La tecnologia da sempre cerca di presentarsi come un rimedio efficace per la protezione, ci dice Marc Lueck, CISO EMEA di Zscaler. «Tuttavia, i rischi informatici passano attraverso diversi fronti, tra cui il capitale. Le imprese valutano quanto vale il loro rischio e quanto vogliono ridurlo. E poi valutano a bilancio quanto denaro sono disposte a spendere». Per Alessandro Biagini, regional manager Sales Italia di Forcepoint – il futuro della sicurezza IT è incentrato sul cloud. Sul quale occorre far convergere tre aspetti fondamentali: sicurezza nell’accesso alle risorse, protezione dei dati e analisi comportamentale. All’inizio degli anni duemila – spiega Biagini – le aziende concentravano ancora tutti i loro sforzi per la sicurezza sulla costruzione di muri ma da allora il perimetro aziendale ha continuato a evolversi. Un cambiamento importante che ha evidenziato l’importanza di proteggere le risorse critiche. A partire da utenti e dati che sono ovunque e vanno difesi in qualsiasi momento e su qualsiasi dispositivo. «Spesso però il perimetro aziendale è ancora incentrato unicamente sulla rete, senza tenere conto del fatto che le persone rappresentano il nuovo perimetro. Si tratta, quindi – prosegue Biagini – di proteggere utenti e dati in un ambiente distribuito e diversificato, che collega le infrastrutture locali, compreso l’home office, a quelle multi-cloud e multi-SaaS».
L’emergenza Covid ha costretto aziende e organizzazioni ad affrontare problemi di vera e propria “sopravvivenza fisica”. Uno sforzo che probabilmente si prolungherà ancora per mesi e che ha ulteriormente distolto l’attenzione dai temi della sicurezza. «Nella speranza che prima o poi la situazione si normalizzi, sarà importante che le aziende possano ritrovare la calma mentale per tornare a riflettere anche sugli altri aspetti di protezione del loro business, come appunto la sicurezza» – auspica Veiluva di CLUSIT. «È importante prima sistematizzare gli aspetti fondamentali della sicurezza, per poi crescere con sistemi più complessi. Certamente – conclude Veiluva – la strategia di sicurezza, indispensabile per la crescita del business, continuerà a fondarsi sulla garanzia continuativa di riservatezza, integrazione e disponibilità delle informazioni gestite dalle aziende».
