La tecnologia non basta: la cybersecurity è un progetto

L’Italia è uno dei Paesi più colpiti dal cybercrime, in particolare di tipo ramsoware, come emerge dall’ultimo report Trend Micro. L’aumento degli attacchi è stato favorito dalla pandemia che ha trovato impreparate non solo gran parte delle PA, ma anche molte aziende; per far fronte all’emergenza anche attraverso il lavoro da remoto, è stato dunque inevitabile impiegare sistemi non sempre sicuri.

L’aumento delle minacce è d’altra parte collegato anche al crescere della complessità dei sistemi, sia in ambito IT sia OT, che si manifesta non solo a livello tecnologico, ma anche organizzativo e umano, come ricorda nel suo scenario Paolo Prinetto, Direttore del Laboratorio Nazionale Cybersecurity CINI. La complessità prevede infatti numerosi dettagli che possono presentare punti deboli e trasformarsi in vulnerabilità, sfruttate poi dal cybercrime per sferrare i suoi attacchi. “Il fattore umano è il punto debole”, ricorda Prinetto, portando ad esempio le violazioni basate sul social engineering che non possono essere bloccati dalla sola tecnologia. Per prevenirle servono:

• Addestramento ed educazione
• Consapevolezza
• Igiene cibernetica
• Strumenti di assessment
• Formazione continua
• Certificazioni

Il suo suggerimento è ricorrere a un ente terzo per identificare le vulnerabilità a livello di organizzazione, tecnologia e persone, attivare programmi di bug bounty e hacking etico, organizzare campagne di social engineering rivolte ai dipendenti.

Evoluzione del modello di sicurezza e criticità nella PA

L’integrazione fra ambienti IT e OT e la diffusione dell’IoT stanno producendo un cambio di paradigma; la sicurezza non si può più limitare alla tutela delle informazioni e della privacy, ma entra nel mondo fisico con il coinvolgimento delle infrastrutture critiche. Un attacco a una struttura sanitaria può ad esempio mettere in pericolo la vita delle persone.

Nel caso di Acea, in quanto multiutility che fornisce servizi nel mondo idrico, elettrico, nella gestione rifiuti, serve ad esempio una visione che comprenda tecnologie molto diverse e una sicurezza che va garantita dal classico mondo IT fino a OT, IoT, Industrial Internet of Things (lloT).

L’evoluzione riguarda anche il modello di sicurezza che, come ha ricordato un partecipante al dibattito, non può limitarsi solo alla difesa perimetrale per evitare le intrusioni, visto che gran parte del traffico e delle interazioni avvengono con l’esterno. Il nuovo framework deve concentrarsi soprattutto sull’attenta gestione dell’attacco nella convinzione che prima o poi capiterà.

Per saper gestire gli incidenti, non solo plateali come ramsonware ma spesso silenti per centinaia di giorni prima di venire scoperti, è necessaria la conoscenza della propria infrastruttura (asset management) e il monitoraggio continuo della postura di sicurezza dell’organizzazione.

Alcuni interventi hanno anche evidenziato problemi tipici della PA che derivano dall’obsolescenza dei sistemi operativi non più supportati, spesso all’interno di apparecchiature elettromedicali che per ragioni di certificazione non possono essere modificate. “Se non è contrattualmente previsto è impossibile effettuare il patching – sottolinea Prinetto – Il procurement dovrebbe imporre al vendor, in fase di acquisto delle soluzioni, il compito di aggiornamento”.

Un’ulteriore difficoltà segnalata è la capacità di intercettare le vulnerabilità in applicazioni sviluppate da terze parti che comprendono componenti open source all’interno.

Per affrontare queste situazioni, Trend Micro suggerisce un approccio che entra nella pipe line di sviluppo in un’evoluzione continua. “Grazie al patching virtuale che può realizzare il controllo e la protezione anche in fase di delivery, ci si può permettere di rilasciare codice vulnerabile”, è l’indicazione di Alessandro Fontana, Head of Sales Trend Micro, evidenziando che da un lato ogni singola parte deve essere verificata e sicura dall’altra le singole parti e le tecnologie devono cooperare in modo integrato per garantire la protezione.

La sicurezza come processo: serve un approccio consulenziale e integrato

Da quanto fin qui evidenziato e da molti interventi emerge che la cybersecurity non si affronta con un prodotto, ma va vista piuttosto come un processo che parte a livello organizzativo.

“Abbiamo scelto di inserire il concetto di security operation all’interno del business, anche per evitare che la sicurezza possa rallentare il lavoro di campo”, sottolinea Massimo Ravenna, Head of Cyber Security ACEA. L’azienda si è dotata di una struttura di cybersecurity sia nella holding sia nelle diverse società operative, con specifiche responsabilità e che rispondo alla capogruppo con un’ottica di campo. La componente di security operation svolge attività di real time monitoring, gestione incidenti, prevenzione, track intelligence mentre la componente di enginering, sia nel campo IT sia in quello OT, non si limita a rincorrere la messa in sicurezza delle soluzioni, ma opera in un’ottica di security by design e by default. Il team si occupa direttamente anche di awarness traning e di diffusione della cultura della sicurezza, a livello di formazione orizzontale.

Al fornitore di sicurezza, Acea chiede, di conseguenza, la disponibilità di progettare in partnership le soluzioni tecnologiche e l’architettura. “Valutiamo l’affidabilità del partner in base alla sua capacità di integrazione e al suo orizzonte temporale che deve essere di almeno due anni, per tener conto delle esigenze dell’OT che per noi guida le scelte – sottolinea Ravenna – Il partner deve essere in grado di analizzare i processi di business e capire l’equilibrio più corretto fra le esigenze aziendali e quanto lo strumento e la tecnologia possono fornire; deve inoltre fare l’analisi del rischio sul singolo progetto insieme a noi”.

È su questa linea la risposta di Trend Micro, con un approccio consulenziale e la disponibilità all’integrazione fra soluzioni di vendor differenti, spesso concorrenti, una progettazione multi-ambiante, una sicurezza estesa al mondo OT e IoT.

 “Il nostro approccio prevede di integrare quanto già fatto dall’organizzazione cliente – conclude Fontana – Se le amministrazioni hanno, ad esempio, già investito in tecnologie concorrenti, la nostra offerta sarà in grado di integrarsi nativamente. Entriamo con un progetto che non distrugga ma integri quanto già fatto”.