“Il cybercrime è diventato più redditizio del traffico di droga, di armi e di esseri umani e la violazione di dati e sistemi informatici sta assumendo livelli di vera e propria industria”. Questo lo scenario dipinto da Andrea Gelpi, security expert di Security Brokers, realtà che fornisce servizi di ICT Security e Cyber Defense, in occasione di un recente evento tenutosi a Milano dedicato alla sicurezza del software, organizzato da Cast Italia in collaborazione con l’azienda. Un’evoluzione criminale che ha mutato la logica tradizionale delle difese informatiche: “Dall’impegno nel creare barriere per prevenire violazioni alla creazione di contromisure per quando qualcosa inevitabilmente accadrà”. I ransomware, che prendono in ostaggio i dati dei sistemi crittografandoli e rilasciandoli solo dopo pagamento di un riscatto, sono tra i principali incidenti segnalati nell’ultimo rapporto 2017 Clusit a danno di ospedali, banche e aziende di trasporti a livello mondiale. Non meno gravi, anche se con effetti non valutabili economicamente, le fughe di informazioni di cui sono stati vittima nel 2017 società internet, partiti politici e il Ministero degli Esteri Italiano.
Security by design per ridurre i rischi
Who's Who
Olivier Bonsignour
Alla base del rischio c’è spesso la fragilità delle applicazioni aziendali, malamente disegnate, peggio interfacciate e non sempre basate su librerie di sviluppo sicure. Lo rileva la più recente indagine fatta dai Cast Research Labs su circa 2500 applicazioni testate in oltre 400 aziende globali; impegno che ha richiesto l’elaborazione di oltre 2 miliardi di linee di codice. “Abbiamo rilevato come lo sviluppo applicativo conti per il 50% nei problemi di sicurezza del software – spiega Olivier Bonsignour, EVP of product development di Cast. – Un altro 50% dipende dal passaggio dei dati tra i diversi strati applicativi, ossia dalla vulnerabilità delle interfacce e delle sincronizzazioni tra le diverse componenti software”. Lo studio rileva inoltre come il livello di rischio non risulti inferiore nelle applicazioni “piccole”, scritte con poche righe di codice, rispetto a quelle più grandi (è ipotizzato un differente livello di cura messo dagli sviluppatori nella realizzazione) e di come siano significativamente più rischiose le applicazioni in ambiente .NET rispetto a quelle sugli appserver J2EE.
Con lo Static Application Security Testing (SAST), Cast si propone d’indirizzare la sicurezza applicativa , analizzando il codice e fornendo le opportune raccomandazioni ai team leaders, verificando l’architettura dell’applicazione ed identificando le violazioni alle practice standard, costituendo un workflow di governance delle azioni che indirizzano ed informano gli sviluppatori.
La sicurezza applicativa nel GDPR
Who's Who
Michele Slocovich
Nell’evento ci si è poi focalizzati sul GDPR, di imminente definitiva attuazione (per approfondimenti sulla strategia Cast in questo ambito clicca qui). Per Michele Slocovich, solution design director di Cast e docente di Computer Science all’Università Bocconi, la regolamentazione GDPR pone oggi l’enfasi sulla protezione dei dati, laddove il legislatore si era in precedenza limitato ai soli aspetti di privacy. “Con il GDPR c’è un cambio di scenario. Il legislatore prende atto che i dati sensibili si possono estendere alle informazioni comportamentali ed economiche del consumatore e le pratiche di sicurezza, altrettanto difficili da definire, devono essere proporzionate al livello di rischio. Il legislatore ha inoltre imposto un cambio culturale alle aziende, imponendo la trasparenza sugli incidenti, laddove in precedenza si preferiva occultare la polvere sotto il tappeto”, spiega il manager. Un contesto che attribuisce un più grande peso ai rischi associati con la vulnerabilità delle applicazioni e all’impegno concreto che le aziende fanno per mitigarli. Impegno che deve essere opportunamente documentato. Con la Cast Application Intelligence Platform, viene proposta una soluzione di assessment sfruttabile in ambito GDPR. “soluzione che analizza applicazioni d’ogni tipo, fornendo l’inventario automatizzato di come sono trattati i dati sensibili – spiega Slocovich. – permettendo ai team IT di scoprire interazioni sconosciute, processi dimenticati o che operano in violazione delle policy”.
Se da una parte il GDPR può essere visto come tema puntuale da affrontare con interviste e documentazioni idonee, dall’altro è occasione per affrontare il rischio informatico in modo sistemico, migliorando processi e applicazioni. “L’inventario aiuta a capire come i processi di business si sovrappongono con quelli tecnici – precisa Slocovich -, aspetto che in molte realtà non viene assolto dagli obsoleti sistemi di documentazione tecnica. Permette di determinare, assieme ai consulenti legali, quali processi è opportuno documentare o aggiornare per poter essere in regola con le policy”.
L’analisi, fatta in concerto sia sull’architettura delle applicazioni sia sulla mappa delle transazioni, non solo aiuta a individuare elementi utili alla compliance GDPR, ma accresce la visibilità dei team IT sui fronti della sicurezza e del risk management. “Il cambiamento culturale associato al GDPR va nella direzione di rendere più sicura l’intera catena IT, dallo sviluppo al procurement software – spiega Slocovich – ottenendo più trasparenza su come applicazioni e dati si collegano ai processi aziendali”. Questo è in sintesi l’approccio che Cast propone alla compliance GDPR per poter affrontare insieme i problemi normativi con quelli di sicurezza creati dall’abbattimento, per scopi di flessibilità e di business, delle tradizionali protezioni perimetrali e quindi con l’esposizione di applicazioni che non erano pensate per gli attuali contesti d’uso.
