Fra le nuove frontiere della cybersecurity aziendale, esiste un ventaglio di tecnologie in grado di affrontare con più efficacia le peculiarità delle nascenti minacce, conciliando al contempo bisogno di sicurezza e tutela dell’efficienza operativa: questo le rende destinate più di altre a prendere piede in futuro. L’approccio passwordless è fra queste. Forse, addirittura, al loro vertice.
Quello di abbandonare progressivamente il ricorso alle password per sostituirle con sistemi di autenticazione meno critici è un mantra sempre più diffuso fra gli analisti di settore. Non si tratta solo di rendere più semplice l’accesso ai sistemi, evitando di memorizzare combinazioni più o meno complesse di caratteri e simboli: si tratta di attuare un modus operandi in grado di superare e risolvere i problemi che le password comportano a ogni livello.
Eppure, scardinare abitudini consolidate, integrate da anni nei sistemi IT aziendali, può essere difficile. Ecco perché seguire un percorso strutturato è considerata l’unica opzione efficace in questo senso.
Passwordless: la soluzione ideale per superare i problemi di sicurezza delle password tradizionali
In che modo le password, anche alla luce dei più recenti progressi tecnologici, continuano a rappresentare un problema per la sicurezza delle imprese? Il Rapporto Clusit 2024 ricorda che i rischi che maggiormente preoccupano Business e Cyber Leader sono quelliderivanti dalle identità compromesse e che, nel 74% di breach, il fattore umano è preponderante.
Si tratta di uno scenario favorito dall’uso “ancora piuttosto diffuso” delle password e da un’adozione “solo good enough” della Multi Factor Authentication (MFA), per lo più atta a “smarcare esigenze di compliance” più che a “coprire anche aspetti di sicurezza, di interoperabilità, di easy-to-use, di fall-back in condizioni critiche o emergenziali”.
L’ultimo report Verizon in materia, in particolare, puntualizza che le credenziali utente compromesse sono state il “punto di ingresso più popolare per le violazioni” negli ultimi cinque anni. E il quiz RSA ID IQ 2023 aggiunge che il 65% degli utenti ammette di riciclare la stessa password su più account, mentre il 42% degli esperti di Identity and Access Management (IAM) confessa di non conoscere o di aver sottovalutato significativamente la frequenza con cui gli utenti ammettono di riciclare le loro password.
Complicare le password, ma con quali esiti?
Il capitolo è evidentemente denso di rilevanti criticità. Secondo Mirko Rinaldi, CTO di Quanture “siamo a un punto in cui ci troviamo costretti a rendere le password sempre più difficili: un meccanismo che da un lato porta a esiti difficilmente memorizzabili e dall’altro ci vincola all’uso di strumenti che rendano le parole chiave particolarmente complesse. Si tratta, in realtà, di una complessità fittizia, perché il grado medio di “indovinabilità” resta sempre elevato e questo ha spinto a creare una nuova forma di autenticazione includendo il secondo fattore di verifica: da una password semplice a una password unita a un fattore che sia solo mio. In pratica una “complicazione in più”: prima bastava ricordare solo la parola chiave, dopo era necessario avere con sé anche lo smartphone”. Un passo avanti, insomma, ma non risolutivo.
La risposta “efficace”: il passwordless
In questo loop di complessità che si autoalimenta, l’evoluzione al passwordless appare come la risposta più semplice e naturale all’esigenza di efficacia. “Con questo approccio si elimina in pratica l’elemento che si deve ricordare o sapere obbligatoriamente – chiarisce Rinaldi – per affidarsi a qualcosa di diverso: un’impronta digitale, ad esempio, ovvero un fattore inequivocabilmente proprio, abbinato a uno specifico device, ad esempio il dispositivo mobile dell’utente. Continuiamo in sostanza a pretendere un’autenticazione a due fattori, ma lo facciamo attraverso una soluzione estremamente funzionale per la persona, che esclude il ricorso a password da ricordare o da salvare sui propri sistemi”.
Che questa sia la tendenza verso cui si proietta il mondo della cybersecurity pare ormai assodato. “In uno scenario – chiarisce il CTO di Quanture -in cui storicamente l’incremento della sicurezza va a scapito dell’usabilità, il passwordless cambia le carte in tavola e mette i due piani in posizione di equilibrio. Eliminando la password, elimino un fattore importante di rischio: se non ce l’ho, non può neppure essermi chiesta, e questo da un lato riduce le superfici di attacco e dall’altro migliora l’esperienza utente”.
Passwordless in concreto: il caso Florim
Nonostante i benefici e le evidenti caratteristiche future-proof, sull’approccio passwordless la maturità dello scenario italiano è ancora fortemente arretrata. Quanture, che da tempo abilita il modello su tecnologia Microsoft, racconta un Manufacturing fatto spesso di “necessità di business e sistemi vecchi, implementati quando la sicurezza non era ancora così importante”.
Ambienti che “influenzano per lo più l’ambiente produttivo – chiarisce Rinaldi – all’interno di un ecosistema a più livelli: uffici e mondo IT più al passo con i tempi e predisposti già in partenza per questi percorsi, e un’area produttiva più arretrata e bisognosa di percorsi più complicati per un eventuale adeguamento”.
Eppure, in Italia, esiste anche una fascia di business matura su questo fronte. È il mondo dei reparti IT, che già oggi fanno software selection con un occhio di riguardo al tema. È il caso, ad esempio, di Florim, realtà produttiva con sede a Fiorano Modenese che da sei decenni produce superfici ceramiche di alta qualità: una parabola che dal distretto di Sassuolo è decollata nel tempo oltre oceano sino a contare nel 2022 1.500 dipendenti nel mondo, per 584 milioni di euro di fatturato, unità produttive all’avanguardia, società commerciali e partnership nelle principali capitali mondiali del design e un ricco portfolio di brand e marchi.
La sfida delle password tradizionali: la scelta dell’approccio passwordless
“In un tale contesto – racconta il CISO Gerardo Forliano – è difficile immaginare che possa permanere un’arretratezza sui temi dell’innovazione tecnologica. E infatti, in Florim la consapevolezza sui temi della cybersecurity si respira da sempre in modo molto forte”.
L’esigenza di superare e risolvere i rischi delle password tradizionali, in particolare, è emersa in tutta la sua forza davanti alla complessità del quadro aziendale: “Con una realtà così articolata – spiega Forliano – gestire il ‘monte password’ significava affrontare numerose sfide, non ultima la scarsa robustezza della parola chiave, pur a fronte di una sua apparente complessità. Significa essere vincolati all’utente, alle sue scelte, al possibile riuso delle stesse password, trovandosi costretti a sostenere gli alti costi, in tempo e risorse, di un eventuale reset. Si tratta di uno scenario molto complesso, che l’aumento del lavoro da remoto e del ricorso al cloud, con una conseguente direzione sempre più massiccia verso il “single sign on”, ha reso ancor più critico”.
Il CISO sottolinea la necessità di un cambio di rotta. “I test hanno fatto emergere come una password possa essere un importante veicolo di compromissione della sicurezza, e quindi la scelta è venuta da sé. O si aumentava ulteriormente la complessità delle password, imponendo una soluzione che sarebbe stata comunque da riaggiornare in futuro, o si optava per l’approccio passwordless. Noi abbiamo scelto quest’ultimo” riporta Forliano.
Un iter di trasformazione con il supporto di Quanture
Con il supporto di Quanture, partner di un percorso che aveva già interessato l’autenticazione a doppio fattore e l’abilitazione dell’approccio zero trust, Florim ha implementato il nuovo modello sulla base di un assessment a più livelli.
Il CISO racconta che “dai requisiti alle tecnologie, sino alle applicazioni e alle tipologie di utenti, tutto è stato valutato in modo approfondito per arrivare alla soluzione più adeguata”: un ecosistema totalmente privo di password, e quindi di fattori violabili, che si avvale anche dell’uso di smartcard per le utenze amministrative che necessitano di accedere ai sistemi on premise, e che mette a disposizione di tutti dispositivi all’avanguardia, abilitando di fatto molte applicazioni in single sign on.
“L’avvio – chiarisce Forliano – è avvenuto con il coinvolgimento di 50 utenti di diversi dipartimenti. Davanti al buon livello di soddisfazione e alla sensibile riduzione del rischio di compromissione, in circa 6 mesi abbiamo portato sotto il paradigma passwordless circa 200 utenti e ora miriamo alla totalità”.
Sfide e strategie nell’era dell’AI
Questo stesso atteggiamento di attenzione alle nuove evoluzioni della cybersicurezza è quello che il futuro richiede davanti alle minacce che il Manufacturing può trovarsi ad affrontare nell’era dell’AI. Un panorama in continua evoluzione, sempre più articolato e insidioso, che richiede uno sforzo corale per essere interpretato in maniera efficace.
Secondo Simone Ponzoni, CEO di Quanture, “l’AI ha trasformato il mondo in termini di rapidità e di creazione dei benefici e dei pericoli: prima le sfide si gestivano con una frequenza più o meno mensile, mentre ora il ritmo si fa più serrato”. In questo quadro, l’AI rappresenta da un lato un veicolo utile “a trovare nuovi punti di vulnerabilità, magari inattesi e inaspettati e ad allargare la platea dei possibili autori degli attacchi”. Dall’altro, si pone come possibile strumento di difesa. “Il problema – fa notare Ponzoni – è che non sappiamo ancora quale sarà la sua reale efficacia in questo senso”.
La carta vincente in questo vorticoso mondo in evoluzione – aggiunge Rinaldi – è far sì che business, sicurezza e reparti informatici lavorino sempre insieme, anche davanti a valutazioni sempre più complesse, in uno spirito di continuo miglioramento”.
“Il tutto senza scordare la necessità di valutare le proprie strategie in ottica di rischio” conclude Forliano di Florim. Comprendere la natura delle minacce e istituire piani pluriennali di sicurezza sono passaggi che in futuro non potremo più esimerci dal compiere, perché solo grazie a essi il dipartimento cyber, con il supporto del partner, può veicolare in modo più efficace gli investimenti”.
Per essere concreti, comprendere ad esempio che la violazione delle identità è fra le minacce più importanti del momento rappresenta il primo passo per arrivare a definire la strategia di sicurezza più efficace. Investire sul passwordless, davanti a questo dato, è la risposta che un business lungimirante non può che sentire naturale dare.
