ROMA – Sta crescendo il gap fra le capacità di criminali, attivisti, centri sponsorizzati da governi e le capacità di difesa delle aziende. Secondo una recente indagine di mercato condotta da Rsa su 500 grandi imprese in 61 Paesi, il 75% conferma un’alta esposizione al rischio cyber e solo il 5% risulta resiliente, mentre i malware nei primi 4 mesi del 2016 hanno superato il numero dell’intero 2015 (si parla di centinaia di milioni) e le violazioni dei dati sono aumentate del 40%. Come confermano anche i più recenti report Verizon (azienda con la quale Rsa ha una solida parternship e i cui dati si basano sull’analisi di migliaia di incidenti reali), negli attacchi, la compromissione avviene nell’arco di pochi minuti e il 50% delle vulnerabilità pubblicate vengono risolte nell’arco del primo mese; ma cosa accade nel frattempo?
Massimo Vulpiani, Europe South Regional Director, RsaQuesti dati indicano il fallimento delle aziende rispetto alla loro capacità di affrontare i rischi relativi alla sicurezza informatica. Ma, come sostiene Massimo Vulpiani, Europe South Regional Director di Rsa aprendo la sessione plenaria del Summit romano dell’azienda interamente dedicata a questa tematica, possiamo permetterci di fallire rispetto ai rischi cyber? Di fronte al regolamento europeo che imporrà nuovi standard a cui sottostare e che entrerà in vigore entro due anni, le imprese possono permettersi di rischiare sanzioni che arrivano fino al 4% del fatturato in caso di mancato adeguamento?
Secondo Vulpiani, serve un cambiamento culturale che veda la sicurezza informatica non solo come un modo per proteggere gli asset aziendali ma per creare valore e un’evoluzione da un approccio reattivo a uno proattivo in cui siano coinvolti tutti i processi aziendali. La proposta di Rsa, ha detto il top manager, è “un cammino per far crescere la maturità dell’azienda nel suo complesso in modo da poter gestire rischi noti e non noti, standardizzare i processi che tengano conto del contesto di business e prendere decisioni basate sul rischio. Con queste capacità si otterrà un vantaggio competitivo rispetto a chi non ha la capacità di valutare tutti i rischi”.
Ma se questa è la meta, non si può ignorare il punto di partenza che vede, nella maggior parte dei casi, i diversi livelli di sicurezza ancora a silos, con decisioni dall’alto verso il basso e l’assenza di comunicazione interaziendale, con una focalizzazione sulle emergenze immediate. “La ragione è che oggi la maggior parte delle risorse viene utilizzata nella fase di prevenzione, per creare muri in difesa dell’organizzazione”, sottolinea Vulpiani. Muri che oggi sono caduti a causa delle aperture create da trend tecnologici come social, mobile, cloud: “Oggi viviamo in un mondo dove il rischio di compromissione non è evitabile, ma va contenuto il danno riducendo il tempo a disposizione degli attaccanti”. Va di conseguenza riequilibrata la distribuzione delle risorse fra prevention, detection e reaction.
A supporto di questo percorso Rsa rende disponibili, soluzioni e servizi che coprono tutte le aree: gestione e governance delle identità, aumento della visibilità attraverso sistemi di analytics, gestione dei rischi e della compliance, supporto alla creazione di Security Operation Center (Soc) avanzati. L’offerta Rsa è stata oggetto delle sessioni parallele pomeridiane focalizzate su Advanced Security Operations, Identity e Risk.
Software sicuro by design
Remo Marini, Head of service line security, Unicredit Business Integrated SolutionsVa nella direzione del riequilibrio fra le diverse aree la strategia messa in atto, per esempio, da UniCredit, come ricorda Remo Marini, Head of Service Line Security di Business Integrated Soluzion Unicredit, società di servizi del Gruppo. “La sicurezza per le banche è uno dei principali punti di attenzione, fra i primi 5 punti che interessano i Ceo. Fra gli aspetti più critici vi sono gli attacchi alla brand reputation (come per esempio le minacce di Anonimous alla banche) che si aggiungono ai rischi tradizionali come le frodi alla clientela”. Oltre alla prevenzione, l’area storica per creare contromisure agli attacchi, e la reazione, orientata a intervenire rapidamente in caso di attacco, è indispensabile, per Marini, un sistema di intelligence per catturare le informazioni necessarie a irrobustire i sistemi di prevention. La strategia di UniCredit passa dalla continua innovazione dei sistemi, dalla crescita professionale dei collaboratori e dalla capacità di trasmettere la consapevolezza all’interno dell’organizzazione: “Operiamo a stretto contatto con il business per radicare la sicurezza anche nelle aree di sviluppo applicativo dove lavorano migliaia di persone che non hanno mai avuto un background di sicurezza”, sottolinea Marini.
Stefano Plantemoli, Security Manager del Ministero dell’InternoL’allarme sul tema del software è condiviso da Stefano Plantemoli, Security Manager del Ministero dell’Interno: “I servizi di natura infrastrutturale che utilizzano le tecnologie avanzate per la sicurezza coprono il 60% dei rischi, ma lasciano scoperta la componente di natura applicativa. Oggi chi sviluppa applicazioni si preoccupa delle funzionalità, ma non di quello che c’è intorno”. Secondo Plantemoli oggi ci sono almeno tre ragioni per cambiare:
• la partenza di Spid, il Sistema Pubblico di Identità Digitale che rappresenterà la porta di accesso a tutti i servizi online della Pubblica Amministrazione e dei privati con un’unica identità; la sua diffusione costringerà ad adattare gli applicativi rapidamente per poter accettare in modo sicuro la massa di utenti in arrivo;
• la prossima partenza di Anpr (l’anagrafe nazionale dei residenti);
• la nuova Direttiva Europea sulla privacy, che prevede il data protection officer per dati personali sensibili e la segnalazione di incidenti informatici.
La Direttiva entrerà in vigore entro 2 anni, ma i tempi sono stretti, soprattutto per la Pa, che deve partire subito, visto che lo sviluppo di applicativi va assegnato tramite gara, con relativo allungamento dei tempi.
La preoccupazione di Plantemoli è non solo la difesa dei dati sensibili del Ministero dell’Interno, ma anche la necessità di non essere la porta di accesso per l’attacco ad altre amministrazioni, vista la stretta connessione fra le diverse banche dati. Con un ulteriore rompicapo da affrontare: “Gli Usa hanno dichiarato che attaccheranno l’Isis anche dal punto di vista cyber. C’è da aspettarsi, come reazione, un attacco sullo stesso terreno ai paesi Nato più deboli sul piano della cybersecurity”.
Condividere le minacce per ridurre i rischi
Andrea Campora, Senior Vp e Responsabile Lob Cybersecurity, Leonardo (ex Finmeccanica) A questo proposito è particolarmente interessante l’analisi sull’evoluzione della capacità di difesa del nostro sistema paese fatta da Andrea Campora, Senior Vp di Leonardo (il nuovo nome che, dallo scorso 28 aprile, ha assunto Finmeccanica), responsabile Lob Cybersecurity. “La crescita digitale viene vista da qualcuno come opportunità di commettere un crimine. Per evitarlo è fondamentale il coordinamento di enti a livello europeo e degli Usa. Di fronte all’asimmetria della minaccia, la condivisione delle informazioni non è più un’opzione ma una necessità anche economica”. Leonardo è un attore dell’iniziativa Public Private Partnership dell’Unione Europea che ha fra gli obiettivi la creazione di un tavolo di confronto fra attori istituzionali e aziende tecnologiche per definire gli indirizzi della spesa della R&D in ambito Horizon 2020 e lanciare cooperazioni fra pubblico e privato sulla sicurezza; indispensabile anche la creazione di una trusted community per la condivisione delle informazioni.
“Nel nostro Paese è aumentata la capacità di difesa nel campo delle cybersecurity, ma si è ancora molto lontani da un coordinamento efficace”, aggiunge Campora, mettendo in guardia dal gap fra rischio reale e percepito. Un’analisi di Leonardo, a integrazione dell’Italian Cyber Security Report (realizzato da Agid e Cisa Sapienza), evidenzia per esempio che il gap è massimo nella Pa, in particolare nella Sanità, e nell’industria, dove rischia di aumentare con l’avvento del Manufacturing 4.0, caratterizzato dal massiccio utilizzo del protocollo Internet anche in ambienti di produzione. Campora conclude con la citazione di Obama in occasione del discorso sullo Stato dell’Unione: “Facciamo sì che la tecnologia lavori per noi e non contro di noi”. Messaggio certamente condivisibile, ricordando che gli Usa hanno destinato 19 miliardi di dollari sulla cybersecurity, mentre al momento in Italia sono stati stanziati 150 milioni di euro.
