Si è di recente svolta la Tavola Rotonda di redazione “Contrastare e gestire gli attacchi cybercrime in Banche e Assicurazioni", organizzata da ZeroUno in collaborazione con Akamai (prima tappa di un percorso di quattro incontri dedicati al tema), che ha visto responsabili It e della sicurezza appartenenti al settore Finance confrontarsi su una tematica che, come ha fatto notare Stefano Uberti Foppa, Direttore di ZeroUno aprendo l’incontro, è di estrema attualità: “In un contesto di digital business, dove cioè l’elemento di digitalizzazione diventa determinante per ogni azienda nella costruzione della propria capacità competitiva, la sicurezza rappresenta un inevitabile elemento di criticità. Ciò che va evitato – ha proseguito Uberti Foppa – è che la security in un suo modello attuativo passivo, di esclusiva protezione e non disegnato invece insieme ad uno sviluppo di strategia a base digitale, diventi un freno a questo percorso, un impedimento al pieno sviluppo del business”. Il dibattito è stato accompagnato dalla presentazione dei risultati di una survey svolta da ZeroUno in collaborazione con NetConsulting e Akamai impostata sullo stesso tema della Tavola Rotonda.
Giuseppe Galati, Head of Business Relationship Management & Security per il Gruppo MediobancaUna strategia che garantisca continuità
In risposta allo spunto offerto da Uberti Foppa in apertura, Giuseppe Galati, Head of Business Relationship Management & Security per il Gruppo Mediobanca, ha sottolineato gli elementi a suo parere fondamentali per disegnare un percorso di sicurezza efficace: “È necessario riuscire a non essere discontinui”, dice Galati, che quindi spiega quali sono a suo dire le tre direttrici per realizzare questo intento: 1) Una misurazione periodica sistematica (che si traduca in report dettagliati) degli attacchi, degli incidenti, dei falsi positivi ecc. 2) un’azione che consenta di studiare le migliori difese fin dalla nascita del prodotto finanziario 3) un aggiornamento continuo sulle evoluzioni dello scenario cybercrime-sicurezza e una promozione regolare del proprio lavoro con il management. “La security va portata nei tavoli progettuali – sottolinea Galati a proposito del secondo dei punti elencati – Va legata non alla fine ma all’inizio dei processi e inserita all’interno dei prodotti stessi”.
Riccardo Zanchi, Partner di NetconsultingLa realizzazione di un disegno così orchestrato si contrappone a una tendenza generalizzata a muoversi in modo solo reattivo, in risposta a problematiche già emerse. È la stessa survey a darne evidenza; come ha fatto notare Riccardo Zanchi, Partner di Netconsulting, i dati rilevano una chiara continuità tra chi ha dichiarato di aver subìto attacchi e chi sceglie di investire di più in sicurezza e viceversa tra chi, non avendo un’esperienza negativa diretta, tende a limitare le spese in questa direzione.
Attacchi Ddos: valore distrattivo per finalità fraudolente
John Ramaioli, Responsabile Sicurezza e Business Continuity di Banca Popolare di MilanoAl centro del dibattito anche gli attacchi Ddos: “Se prima, fatta un’analisi del rischio, si potevano considerare un pericolo poco probabile, seppur noto e accettato dai vertici aziendali, adesso le stesse analisi suggeriscono che un intervento sugli attacchi Ddos è necessario”, dice John Ramaioli, Responsabile Sicurezza e Business Continuity di Banca Popolare di Milano, che quindi spiega come nella propria realtà aziendale si sia scelto di esternalizzare il compito sfruttando un servizio di “cleaning” in grado di mitigare gli effetti di un eventuale attacco.
Simone Bosetti, Coo di April ItaliaRispetto al tema esternalizzazione si è espresso anche Simone Bosetti, Coo di April Italia, che ha voluto portare l’attenzione sull’impegno che ogni service provider deve però prendersi rispetto ai propri clienti nel fornire report di aggiornamento sulle minacce rilevate, onde evitare che dall’esternalizzazione del rischio derivi una pericolosa mancanza di controllo e consapevolezza. Come ha fatto notare Galati, la pericolosità relativa ai Ddos è anche derivata dalla facilità con cui ce li si può procurare tramite siti internet che, nella logica del “servizio”, li vendono a prezzi relativamente bassi; più relatori hanno infatti ricordato che per acquistare un attacco abbastanza potente da creare a un’azienda non protetta un danno effettivo a livello reputazionale, bastano 4 mila euro.
Alessandro Livrea, Major Account Executive di AkamaiVa inoltre considerata la possibilità che questi vengano sfruttati per distogliere l’attenzione da altre azioni fraudolente parallele: “I Ddos sono il grimaldello per perpetrare altri tipi di attacco. Generalmente rappresentano un mezzo distrattivo per azioni che hanno finalità di estorsione” ha detto Alessandro Livrea, Major Account Executive di Akamai, suggerendo di non cadere nell’errore di associarli troppo alle correnti hacktivist: è vero che i Ddos sono spesso sfruttati dagli hacker che svolgono la propria azione con finalità di protesta ideologica, ma sono ormai mezzi utilizzati come diversivo anche da chi si muove con fini di lucro. È dunque bene non sottovalutare la loro pericolosità, non solo per i motivi appena raccontati, ma anche perché esistono dei danni di immagine di cui le aziende (i dati emersi nella web survey lo confermano), non hanno la giusta consapevolezza. È infine stato ricordato che la sfida è anche riuscire a non compromettere la fruibilità dei servizi offerti: “Molte aziende hanno un atteggiamento ‘leggero’, per cui tendono a non tutelarsi preventivamente salvo poi correre ai ripari una volta attaccate, cadendo nell’errore di creare barriere protettive estremamente rigide che finiscono per rendere disagevole l’accesso ai servizi persino da parte dei clienti”, commenta Zanchi, riportando all’attenzione il problema del trovare un giusto equilibrio tra sicurezza e fruibilità dei servizi.
Gianbattista Caragnini, Responsabile Service Management – Cto di Ge.Si.AssGianbattista Caragnini, Responsabile Service Management – Cto di Ge.Si.Ass, ha quindi voluto sottolineare che questa riflessione sulla fruibilità è da estendersi a qualsiasi device, anche mobile: in un panorama in cui la mobility ha un valore di business centrale, riuscire a rendere, sia per il personale interno sia per i collaboratori esterni, i servizi aziendali disponibili su ogni piattaforma è un obiettivo non trattabile, anche se si opera nel più delicato settore del Finance.
Sicurezza nelle multinazionali: un panorama di luci ed ombre
Domenico Finucci, Ciso di FiditaliaPer quanto riguarda le dinamiche proprie delle ampie realtà multinazionali, i presenti hanno evidenziato fenomeni positivi e negativi: “Abbiamo strutture interamente dedicate alla sicurezza che ci forniscono regolarmente informazioni sulle evoluzioni degli attacchi e gestiscono molti aspetti, compreso quello della scelta dei prodotti, omologati a livello globale”, ha detto Domenico Finucci, Ciso di Fiditalia; ma di contro, come è stato evidenziato da Bosetti, esistono due rischi tra loro interconnessi: un Cso unico a livello internazionale “lontano” dalla realtà dei singoli paesi da un lato, dall’altro la difficoltà a disegnare una strategia capace di tener conto delle particolarità nazionali e della singola filiale. Anche sul piano della compliance, per lo stesso motivo, una gestione centralizzata può riscontrare difficoltà, faticando a entrare nel merito dei singoli contesti o generando situazioni di “sovrapposizione di policy”.
Un problema di consapevolezza e reticenza nel condividere informazioni
Il tema della mancanza di consapevolezza si manifesta nel panorama aziendale soprattutto su due fronti: quello del management da un lato, quello degli utenti dall’altro.
Francesco Tusino, It & Infrastructure Manager di Cnp Assurances“È importante riuscire a sensibilizzare il top management”, ha detto Francesco Tusino, It & Infrastructure Manager di Cnp Assurances. Per farlo serve trovare il linguaggio e le argomentazioni corretti: “Si deve fare attenzione a ‘parlare la giusta lingua’, evitando tecnicismi, e a portare all’attenzione dati che possano dare una reale misura del problema”; obiettivo non scontato se si considera che, sebbene si riescano a produrre ovviamente studi e report sul tema, esiste di fondo, come lo stesso Tusino ha sottolineato, una forte omertà da parte delle aziende, una ritrosia comprensibile nella condivisione delle informazioni, data la loro sensibilità, che però si paga con l’impossibilità di capitalizzare, come si potrebbe, l’esperienza degli altri. Come è stato fatto notare, il dialogo con il top management risulta agevolato, come ha detto Finucci, quando la figura del Cso riesce a uscire dall’It e diviene parte del management: “Aiuta a far passare l’idea che la sicurezza faccia parte della qualità dei prodotti e non è qualcosa di accessorio”.
Massimiliano Vaccaro, Senior It Security Specialist di Aviva ItaliaAltro capitolo, quello degli utenti: “Nel 2014 nel mirino ci sono stati loro; sono l’anello più debole: è più facile accedere ai dati prendendo il controllo di un utente con dei buoni privilegi che violare un server”, ha affermato Tusino, in linea con quanto detto da Massimiliano Vaccaro, Senior It Security Specialist di Aviva Italia, che ha sottolineato l’importanza di una educazione alla sicurezza per ovviare all’ingenuità che inevitabilmente emerge in molti dipendenti, capaci magari di riconoscere delle operazioni di phishing, ma non altrettanto scaltri nel rispondere a operazioni, per esempio, di social engineering (azioni di manipolazione psicologica delle persone fatta per indurle a divulgare informazioni confidenziali; per esempio una telefonata in cui si dichiara di essere l’Help Desk aziendale e si chiedono delle credenziali per svolgere attività d’assistenza).
Stefano Uberti Foppa, direttore di ZeroUnoEsiste infine un problema di consapevolezza a livello paese? “Effettivamente – come sottolinea Livrea – la sicurezza in molti altri paesi europei è il primo pensiero, e si percepisce un’urgenza diversa”. Ma, come è stato sottolineato, la “colpa” non dovrebbe ricadere sul sistema normativo italiano: “Non siamo sprovveduti: esistono molte norme che insieme indicano la strada per un ‘buon governo’ del problema”, dice Galati, per il quale la responsabilità è in realtà delle aziende, che faticano ad applicare tali norme, e dei partner tecnologici: “A volte non sono sufficientemente informati o si sforzano di promuovere soluzioni solo parzialmente efficaci per l’implementazione del processo di adeguamento”.
Come ha sottolineato Uberti Foppa in chiusura di incontro, il problema potrebbe avere radici più profonde: “Ancora manca la consapevolezza che il business si sta digitalizzando, che il digitale è sempre più il cuore di un modello competitivo efficace. È questo salto culturale che non è ancora stato fatto dalla maggior parte delle aziende: l’attenzione per la sicurezza è la sua logica conseguenza”.
