Rsa tiene la sua storica Conferenza Europea 2012 a Londra in un momento cruciale dove, a fronte del dilagare delle minacce si evidenzia la necessità di una strategia globale, non solo aziendale ma di sistemi Paese.
Art Coviello, Rsa Executive Chairman ed Executive Vice President di EmcArt Coviello, Rsa Executive Chairman ed Executive Vice President di Emc, scomoda un detto di Einstein: “Follia è fare la stessa cosa, farla di nuovo e ancora, e attendersi risultati diversi”. Lo fa per deplorare il settore della sicurezza cibernetica che “insiste a costruire infrastrutture di sicurezza intorno a un perimetro in via di disintegrazione”. Perché gli attori di Internet sono sotto minaccia crescente da hactivist, criminali e stati nazionali, ormai capaci, per dirne una, di Intelligence nel big data a loro danno. E si sa, nel big data un perimetro è inconcepibile.
La svolta invocata da Coviello è un modello nuovo di cybersecurity, un “Sistema di sicurezza multistrati, basato sull’intelligence”, strutturato secondo almeno cinque livelli. Anzitutto serve una “approfondita comprensione del rischio, con strategie di mitigazione da cui discenda la compliance come naturale sottoprodotto” anziché come imposizione esterna (primo livello). Questo livello qualitativo poggia su due assunti tecnologici: controlli agili basati sul riconoscimento di pattern e su analitici predittivi, e analitici big data, che diano contesto ai vari torrenti di dati dalle fonti più disparate, derivandone informazione tempestiva e sulla cui base agire (secondo livello). A tali componenti si affiderà una vera e propria “difesa in profondità” – imperativa se svanisce il perimetro – la quale agisca dinamicamente tra azioni di contenimento o risposte appropriate, sulla base di una vera e propria intelligence (terzo livello). L’obiettivo cruciale è ridurre agli attaccanti la “finestra” di accesso alla rete aziendale (ossia il tempo in cui l’applicazione lascia, per il suo stesso funzionamento, “varchi” aperti verso l’esterno), nota come tempo di dimora: la contaminazione è scontata, ma minimizzata.
Altro elemento da tenere in considerazione (che rischia di collidere con un concetto restrittivo di privacy) è la necessità di condivisione di informazione su vasta scala: ci si difende meglio se si condividono le esperienze (quarto livello). Naturalmente l’ultimo livello è il requisito di personale con skill set adatto ad operare il modello, ai vari livelli.
Un indispensabile salto di qualità nella sicurezza digitale
Una riflessione sui fattori abilitanti o inibitori della transizione al nuovo modello. L’inibitore più importante (e indice di consapevolezza inadeguata) è l’allocazione dei budget, che soffre perlomeno di “inerzia”. Le aziende continuano a spendere il 75% in Intrusion Prevention System (orientati a difesa perimetrale), il 20% in monitoraggio e individuazione (ove l’indirizzo perimetrale resta prevalente) e solo il 5% in risposta, che può significare difesa più attiva e dinamica. Un secondo inibitore è l’ennesimo “skill shortage” di professionisti della sicurezza: dove andrà la Cybersecurity a prendere due milioni di persone – che è la differenza stimata da Frost & Sullivan fra i 2,25 milioni del 2012 e i 4,25 previsti nel 2015? Qui si parla di nuove professioni, tra le quali figura il Data scientist.
Il primo fattore abilitante è la conoscenza della portata dei problemi da fronteggiare e dei nemici da combattere. Serve comprensione collaborativa: informazione condivisa su larga scala, che abbatta un blocco drammatico, il fatto che nessuno, proprio nessuno vuole che si sappiano in giro le violazioni e le perdite subite dalla propria organizzazione (e quante aziende non sanno nemmeno di esser state violate? La maggioranza secondo Verizon 2012 Data Breach Investigation Report, storico partner di Rsa nel suo report annuale). L’effetto è il disallinearsi tra Percezione e Realtà. “Oggi questo gap, Pr gap, lo vedono solo Polizia postale, Difesa nazionale e società come Rsa, mentre solo la condivisione collaborativa delle vulnerabilità rafforza le comuni difese”, ha affermato Coviello.
Ripensare il rapporto tra cybersecurity e privacy
Un inibitore a innovare il modello è infine la privacy, o perlomeno una interpretazione “rigida” e da rivedere. Mentre ad avversari stranieri, criminali e hactivist si lascia mano libera nel calpestare la privacy (lo fanno se ci derubano di identità, beni e know-how), le iniziative governative o di industry per proteggerci suscitano grida contro il Grande Fratello. Il problema è, di nuovo, di comprendere la portata del pericolo sicurezza digitale. I difensori della Privacy devono capire che di scena non c’è più un pericolo ragionevole di violazione della sicurezza accettato a protezione della nostra libertà. Il protagonista è un comune pericolo di violazioni, devastante e in crescita esponenziale; serve come antagonista l’intelligenza difensiva comune, alla quale ordinare isole di privacy.
Il Pr Gap sulla Sicurezza Digitale non decresce affatto a dimensioni aziendali maggiori. C’è piuttosto tutta una distribuzione di maturità nelle aziende che praticano Cybersecurity, e si possono identificare 4 livelli organizzativi, dal meno al più maturo, a seconda della loro focalizzazione su di essa.
La prima categoria è quella del Controllo, ferma al “datemi un’appliance o del software”, toglietemi il problema. Chi è in questa categoria è tra i non informati o inconsapevoli; è fortunato se il suo sistema informativo non è compromesso, ma se non lo è ancora “è un botnet node in fieri”.
Alla categoria della Compliance appartengono organizzazioni sotto pressione regolatoria, un po’ “monomaniacali” su Iso27001, con il rischio di privilegiare la forma sulla sostanza. Resta loro da capire l’importanza di un modello di Governance, di un’approfondita comprensione del Rischio e delle capacità di mitigarlo, trasformando la compliance in sottoprodotto di queste buone pratiche.
La categoria It Risk comprende organizzazioni che capiscono la portata delle minacce It e fanno i giusti passi per evolvere le loro infrastrutture che rischiano però di perdersi in mosse solo tattiche, se non le pesano sui risultati di business in funzione del rischio.
Nella categoria Business Risk le organizzazioni vedono le opportunità sulla base della tecnologia disponibile, sfruttano al massimo mobilità e cloud e adattano le loro infrastrutture di concerto. Taglio meno tattico e più strategico dell’It risk.
Ma il punto è che non ci si può considerare al riparo se si è nella categoria più illuminata, bisogna cogliere le disparità che ci sono. In Internet si è interdipendenti, la forza comune è la consapevolezza che ci sono organizzazioni vulnerabili già con il loro Ip. In positivo, dobbiamo costruire una comunità on line che fa fronte comune, di cui ci fidiamo e che ha fiducia in noi.
Dcp, per contrastare il furto di credenziali
Nel corso del Convegno è stato annunciato Rsa Distributed Credential Protector (Dcp), che sul principio della crittografia distribuita è un valido contrasto ai furti di credenziali di tipo “Smash-and-grab” (sfonda la vetrina e afferra un bottino non di gioielli ma di credenziali – in grande quantità, se custodite in un Password server unico). Rsa Dcp è progettato per mescolare, randomizzare e suddividere password, informazioni riservate e credenziali di autenticazione in due location separate (due server, due data center o nel cloud), il che riduce in maniera significativa la probabilità di attacchi che ogni anno compromettono portali aziendali, retail e finanziari, lasciando milioni di credenziali e password a rischio: gli hacker devono compromettere due server o data center separati in contemporanea e senza essere individuati, al fine di ottenere qualcosa di utile. Se una delle due location viene compromessa, le informazioni rubate sono inutili, i dati possono essere randomizzati nuovamente e riassegnati a un server sostitutivo che affianca il superstite.
