Il mondo delle imprese si sta trasformando all’insegna della digitalizzazione che sta coinvolgendo gran parte dei processi di business sia interni all’azienda sia rivolti a clienti e fornitori. I processi aziendali, compresi quelli direttamente legati alla produzione dei beni, sono sempre più dipendenti da asset informatici e impongono un’adeguata strategia di Cyber Risk Management.
“Il panorama industriale diventa sempre più digitale: è una grande opportunità economica, ma porta con sé problematiche rilevanti in termini di sicurezza”, conferma infatti Roberto Baldoni, direttore del Cyber Intelligence and information Security Center dell’Università La Sapienza (CIS).
Da qui la centralità della salvaguardia del cyberspace, quell’insieme di dati e reti che si è sviluppato senza porre al centro fin dall’inizio la sicurezza: “Le esigenze che hanno dato impulso alla diffusione dei dati e delle reti erano soprattutto la semplicità e la velocità” – ricorda Baldoni – Lo stesso software nato con questi requisiti spesso contiene errori, proprio quei varchi attraverso i quali possono introdursi gli attacchi dei malintenzionati”.
L’aumento della tecnologia diffusa e di persone nelle aziende che la utilizzano senza profonde conoscenze, fa sì che anche difese sofisticate possano cadere per un click sbagliato. “Negli ultimi cinque anni stiamo assistendo alla crescita costante dei malware, delle tecniche di attacco e della numerosità di attacchi. L’obiettivo dei cybercriminali è allargare sempre di più le possibilità di successo sfruttando la pervasività delle Rete e l’aumento degli oggetti connessi: ciascun dispositivo intelligente dotato di software, se non è sviluppato correttamente e presenta dei bug che lo rendono vulnerabile, rappresenta un varco per gli attaccanti, aumentando a dismisura la superficie di attacco”, ricorda Giancarlo Caroti, esperto di sicurezza, oggi partner della società di consulenza Neumus, ma che ha maturato un’esperienza ultra-trentennale nel settore della sicurezza prima in Enel e poi in Terna, dove è stato responsabile sicurezza informatica fino allo scorso anno.
IoT, luci e ombre
Il cyber space si sta arricchendo con Internet of Things (IoT), che rappresenta una grande promessa sia per la collaborazione e l’innovazione delle attività business sia per la vita delle persone. Ma questo sviluppo fa crescere, al tempo stesso, il rischio connesso alla sicurezza. La mancanza di visibilità è uno dei problemi: chi dovrebbe provvedere alla difesa spesso non è consapevole che i dispositivi sono connessi alla propria rete. I potenziali attaccanti, invece, stanno già cercando di sfruttare le debolezze della sicurezza dei dispositivi IoT e li utilizzano per aggirare con relativa facilità le difese delle reti.
Come il Cisco 2017 – MidYear Cybersecurity Report, evidenzia, IoT e la miriade di dispositivi e sistemi con evidenti debolezze nella sicurezza giocheranno un ruolo centrale nell’abilitare le campagne di attacco. Sarà l’IoT la nuova frontiera nella corsa al riarmo fra attaccati e attaccanti. Già nel 2016 si sono registrate le prime avvisaglie con il botnet Mirai che attacca principalmente router domestici e dispositivi IoT. I botnet IoT sono caratterizzati da un set-up rapido e facile (completabile in un’ora), una distribuzione altrettanto rapida (il meccanismo ricorsivo porta a una crescita esponenziale del numero dei dispositivi infettati: 100mila in 24 ore), una grande difficoltà di individuazione (il codice maligno “vive” nella memoria del dispositivo e viene distrutto quando il dispositivo si riavvia).
Senza andare a un mondo dove saranno in rete da 20 a 50 miliardi di oggetti intelligenti (è la previsione per il 2025), già oggi l’evoluzione delle tecnologie, da elettroniche ed elettromeccaniche a informatiche, in ambiti come la climatizzazione, i controlli antincendi, le telecamere di sorveglianza, l’illuminazione intelligente, rappresenta un ulteriore rischio di fallo per la sicurezza: “Queste attività vengono spesso affidate a fornitori eterogenei che, con scarse competenze informatiche e di sicurezza, devono gestire sistemi sofisticati nelle grandi come nelle piccole organizzazioni – nota Caroti, che avverte – Il rischio è che si difendano i server dei data center mentre il varco per la sicurezza può essere rappresentato da piccoli server messi in rete per gestire la climatizzazione o l’illuminazione”.
Di questi problemi cominciano ad essere consapevoli le grandi aziende. Ma cosa accadrà quando gli oggetti intelligenti connessi entreranno in modo massiccio nelle PMI e negli studi professionali?
Le PMI rischiano e diffondono il rischio
La tendenza all’aumento della superficie degli attacchi, andando a coinvolgere sempre più aziende anche di piccole e medie dimensioni e privati, è evidenziata dal Rapporto Clusit 2017, a proposito della diffusione del flagello ransomware (malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione). Nato nella sua versione artigianale oltre 25 anni fa, nel tempo si è evoluto fino alle versioni attuali, diventando malware ben costruiti, robusti e quasi impossibili da neutralizzare. Le probabilità di recuperare i file colpiti da ransomware, senza entrare in possesso della chiave pagando il riscatto, sono estremamente basse. Oggi i ransomware sono addirittura disponibili come Malware as a Service: chiunque può creare la propria campagna ransomware sfruttando i servizi disponibili nel Deep Web.
Il ransomware è emblematico della tendenza dei cybercriminali che puntano soprattutto a trarre il maggior ritorno economico con il minimo sforzo sfruttando le debolezze della rete. Come già accennato le imprese maggiori, già da tempo informatizzate sono corse ai ripari. Una grande impresa può in ogni caso resistere meglio di una impresa media o piccola all’impatto di un attacco: “A differenza delle PMI, degli studi professionali e dei singoli cittadini, le grandi organizzazioni sono generalmente dotate di reti strutturate, di competenze interne e di risorse”, sottolinea Caroti.
Tuttavia anche le grandi organizzazioni possono avere punti di debolezza come utenti interni “inconsapevoli” che possono far “entrare” codice malevolo con comportamenti non corretti oppure come fornitori inseriti nelle supply chain che possono essere altri veicoli per attacchi: in un mondo interconnesso le PMI che fanno parte di catene logistiche diventano spesso la più facile chiave di accesso alle grandi imprese che hanno, come fornitori nella propria supply chain, migliaia di piccole imprese.
In una situazione così complessa non può essere lasciato alla singola impresa, tanto più se media e piccola, il compito di garantire la sicurezza.
Alcune soluzioni per contrastare il cybercrime
“L’ideale sarebbe un progetto globale, visto che Internet è un sistema mondiale, legato all’economia di qualunque Paese”, afferma Baldoni, spiegando che chi non protegge il cyberspace non protegge la propria economia, in particolare la propria industria. In assenza di una normativa globale bisogna muoversi a livello locale, come già tanti Paesi hanno già fatto, adottando programmi nazionali di protezione del proprio cyberspace. Si parla di oltre un centinaio di Paesi dotati di una strategia cyber e che stanno implementano piani di messa in sicurezza del proprio cyberspace: “Chi è più avanti ha un vantaggio economico. Sempre più gli investitori selezioneranno infatti il Paese anche sulla base della sua resilienza di tipo cibernetico”, sostiene Baldoni, secondo il quale l’Italia è ben posizionata, in termini di strategia. La prima azione è stata la direttiva sicurezza del governo Monti (DPCM 24 gennaio 2013), sostituita lo scorso febbraio con il Programma nazionale per la Cybersecurity grazie al decreto del governo Gentiloni: “Si tratta, a mio parere, di un adeguamento opportuno che ci pone come strategia nelle migliori posizioni a livello mondiale – è il giudizio di Baldoni – La strategia va però messa in atto, da qui verrà il nostro vero posizionamento che deriverà dall’adeguatezza della velocità e della qualità dell’attuazione”. Ma la struttura economica dell’Italia, basata su PMI non aiuta.
“Come Centro Sapienza e come Laboratorio nazionale di Cyber Security, abbiamo messo a punto metodologie per aiutare a comprendere il problema e affrontarlo”, ricorda Baldoni.
Il Laboratorio nazionale di Cybersecurity in collaborazione con Enel, Eni, CERT, Presidenza del Consiglio, e che include 39 Università pubbliche e private, ha lavorato per definire un framework nazionale pubblicato nel 2016: “Si tratta di un insieme di metodologie che aiutano le aziende a capire quali problematiche stiano realmente affrontando e, qualora non lo facciano in modo adeguato, identificare con quali priorità correre ai ripari – spiega Baldoni – Secondo i miei riscontri, il framework, anche se personalizzabile per PMI, viene adottato da diverse aziende, ma per lo più di grandi dimensioni”. L’ostacolo è la scarsa consapevolezza del rischio da parte delle PMI e la difficoltà di raggiungerle per far capire l’emergenza cybersecurity.
“Per convincere le piccole e medie aziende è necessario realizzare una cyber security efficiente e sostenibile anche per queste realtà. Bisogna che cresca il costo dell’attacco per i cyber criminali, aumentando le barriere, rendendo sempre meno appetibile la potenziale vittima”, suggerisce Baldoni. Da qui la scelta di affrontare, un anno dopo il lancio del framework, una sua semplificazione andando a definire i “Controlli Essenziali di Cybersecurity”. Si tratta di 15 attività da svolgere, pensate per le PMI, con costi stimati per loro sostenibili, che si possono mettere in atto con facilità e rappresentano il primo gradino per una introduzione successiva del framework, per esempio nel caso l’azienda cresca di dimensioni.
Ma questo è solo il primo passo; resta il problema di come raggiungere i milioni di imprese presenti in Italia. Le grandi aziende capo-filiera possono svolgere un ruolo importate verso quelle che fanno parte della loro supply chain: “Le prime a essere consapevoli della necessità di rafforzare difese delle PMI – afferma Baldoni – sono proprio le grandi imprese. Non a caso aziende come Enel, Eni, Terna, Barilla, Fincantieri sono state molto vicine alla creazione del framework e hanno supportato in modo convinto la realizzazione dei controlli essenziali di sicurezza”, evidenzia. Un ulteriore incentivo per la diffusione della cyber security può venire dal Piano Industria 4.0: “Spero che all’interno del programma Industria 4.0, per il quale già sono partiti gli incentivi fiscali, ci sia un ruolo importante per la cyber security all’interno dei Digital Innovation Hub” [i centri, previsti dal Piano Calenda, che si stanno costruendo sul territorio per aiutare le PMI nella trasformazione verso l’Industria 4.0, ndr], auspica Baldoni.
In parallelo, sul versante della cyber security nella PA, sono state pubblicate ad aprile, in Gazzetta Ufficiale (Circolare 18 aprile 2017, n. 2/2017), le linee guida di Agid, “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, che dovranno essere attuate entro dicembre 2017. Ma ancora non basta. “Servono programmi nazionali multidimensionali, in termini di awarness, formazione, creazione di centri di eccellenza, come accade per i piani lanciati da paesi come Francia, Germania, Uk, Usa”, è l’appello di Baldoni.
