Le conseguenze di un attacco cyber, oggi, non provocano soltanto il blocco di servizi come la posta elettronica, come poteva avvenire in passato, ma possono arrivare a interrompere la supply chain o i flussi produttivi di un’azienda. Se si considera, poi, che molte infrastrutture strategiche dei paesi adottano sistemi IoT per il loro normale funzionamento, si intuisce quali possano essere gli effetti di una violazione di questi sistemi digitali.
La sintesi è che nessuno è al sicuro, neppure chi ritiene – a torto – di non avere nulla da temere. Quando si parla di cyber security, infatti, è quasi d’obbligo citare John Chambers, ex CEO di Cisco, il quale a suo tempo ha avuto modo di sostenere che esistono due tipi di aziende: quelle che sono state compromesse e quelle che ancora non se ne sono accorte.
Lo ricorda Daniele Grandini, Chief Innovation Officer di 4wardPRO, la società di Impresoft Group che offre tecnologie e consulenza in tutti gli ambiti della corporate resilience: “L’approccio alla cyber security deve essere strutturato e deve essere parte integrante di un percorso che le aziende devono compiere e che inizia dalla consapevolezza”. Nel caso di 4wardPRO, tale approccio è proposto mediante la metafora dell’ombrello.
La metafora dell’ombrello di 4wardPRO
In un’epoca nella quale la cyber security non deve difendere le organizzazioni dagli attacchi di qualche hacker estemporaneo, ma si trova dinanzi a fenomeni mondiali come la cyberwarfare, un ombrello che via via si allarghi per coprire le imprese sempre di più e sempre meglio dai rischi di attacchi informatici, può essere la risposta. L’idea dell’ombrello prende le mosse dalla consapevolezza che tutti siamo esposti alle minacce e aiuta a comprendete quali sono in particolare quelle più pericolose in funzione della situazione specifica.
“Un aspetto da considerare in questa consapevolezza è che oggi il dato delle aziende è available” sottolinea Grandini, spiegando che “qualunque organizzazione sia stata oggetto di attacchi, ha vissuto il medesimo pattern. Prima un’infiltrazione silente all’interno dei propri sistemi, poi un’esfiltrazione del dato che viene venduto sul mercato nero e alla fine un ransomware per ottenere il riscatto e nascondere le tracce”.
Una modalità che tende a ripetersi e che, rispetto a qualche anno fa, non distingue l’importanza del dato fra quello gestito in aziende strategiche di settori come quello energetico o industriale e quello che invece possiede un’azienda di medie e grandi dimensioni. Tutti i dati fanno potenzialmente gola agli hacker, perché hanno un valore sul dark web. Da qui la metafora dell’ombrello con cui “riparare” le aziende, in grado cioè di allargarsi in base alle effettive minacce a cui l’organizzazione è sottoposta.
Mettere al centro la persona e l’identità digitale
Non c’è ombrello che tenga, tuttavia, se la strategia di cyber security non mette al centro la persona e la sua identità digitale. “La persona in genere è l’anello più debole e normalmente il nostro viaggio inizia proteggendo l’utente e mettendo in opera non solo quegli strumenti tecnologici che permettono di tutelarne l’identità, ma anche attraverso un percorso di educazione alla sicurezza” dice ancora Grandini.
Affermazione confermata dalle varie rilevazioni in materia, a cominciare dai rapporti annuali pubblicati da Clusit, nonché dall’esperienza sul campo di 4wardPRO che durante le sue simulazioni di attacco nei confronti dei clienti registra percentuali molto alte, pari al 65-70%, di compromissione. Una percentuale che però diminuisce man mano che aumentano le ore di formazione per colmare quel gap in cui l’insufficiente cultura di chi subisce i cyber attack si nutre di una forte sottovalutazione delle implicazioni fisiche di tali attacchi.
“Oggi un attacco di cyber security non impatta soltanto sui processi digitali, ma anche sui processi produttivi. Ormai assistiamo a fermi macchina nelle industrie che possono durare giorni o settimane dopo un attacco cyber andato a buon fine. Per questo preferiamo parlare di security con riferimento a una sicurezza che non si limita più al processo digitale, ma all’intero processo produttivo dell’azienda e alla sicurezza stessa della persona” precisa Grandini, ribadendo la centralità di quest’ultima nei confronti della quale la tecnologia va vista come uno strumento abilitante.
La security posture che occorre adottare nel tempo
Christian Parmigiani, CEO di 4wardPRO, si chiede provocatoriamente se abbia ancora senso parlare di cyber security e cyber crime. A supporto della sua affermazione chiama in causa Brad Smith, Vice Chair e President di Microsoft che nel suo libro Tools and weapons: the promise and the peril of the digital age illustra in che modo le “armi” digitali colpiscano nel mondo reale, tanto che il confine tra sfera digitale e fisica appare sempre più sfumato.
“È un po’ come con il Coronavirus” esemplifica Parmigiani, per far capire quali sono gli effetti di fronte a un “nemico invisibile” che, secondo il CEO di 4wardPRO, sono almeno due: “Uno è che non si sa bene come contrastarlo, perché si ha difficoltà a collocarlo nello spazio e nel tempo. Il secondo effetto è che si tende a sottovalutare il suo potenziale devastante. E quando si manifesta, è troppo tardi. Perché non abbiamo la stessa sensibilità sulla parte digitale che poi può trasferire i suoi effetti nel mondo fisico? Perché il nemico non lo vediamo. Ma se cominciassimo a percepire un rischio fisico, correremmo ai ripari come già facciamo ad esempio per le nostre case”.
Fuor di metafora, questi effetti influiscono nella propensione delle aziende a cogliere l’importanza di una security posture che potrebbe anticipare molti dei problemi di sicurezza prima che vengano alla luce. “Il più delle volte invece facciamo i ‘pompieri’ – dice Parmigiani -, vale a dire che i clienti ci chiamano dopo che l’attacco o l’incidente è avvenuto. Manca la prevenzione con cui si potrebbe mitigare il rischio e che si ottiene attraverso una ‘postura’ appunto. La postura, infatti, non la correggi in un giorno, bisogna fare un esercizio e un allenamento costanti. Anche perché con l’evolvere della tecnologia, evolve anche la tipologia di attacchi e di conseguenza la tecnica di difesa”. Serve l’ombrello, ma bisogna imparare anche la giusta postura per tenerlo in maniera corretta.
