Le minacce 2016, tra identità digitali e il caos delle regole: l’analisi di EY

Home PA Digitale Sicurezza Digitale Le minacce 2016, tra identità digitali e il caos delle regole: l’analisi di EY

Le tipologie tradizionali di cyber attacker, le loro motivazioni e i loro livelli di abilità sono in rapida evoluzione. Il personale qualificato è ormai in grado di pubblicizzare e vendere i propri servizi a qualsiasi gruppo interessato. Questa minaccia è ben rappresentata nei risultati della GISS, dalla quale è emerso che le organizzazioni criminali sono la fonte più probabile per un attacco (59%)

25 Gennaio 2016

F

Fabio Cappelli, Ernst & Young

La natura delle minacce informatiche è in continua evoluzione in virtù del cambio di strategia dei cyber attacker e dell’aumento delle loro abilità. Ad oggi, i cyber attacker stanno trovando nuovi metodi più efficaci per sfruttare la rapida espansione della digitalizzazione e l’incremento di connettività dei commerci. La necessità di aumentare il controllo in tal senso emerge anche dai risultati della Global Information Security Survey (GISS) 2015 di EY (l’analisi che ha coinvolto più di 1.750 CIO, CISO e altri Information Security Executive e Manager provenienti da 67 paesi) secondo la quale il 40% delle aziende coinvolte ha dichiarato che difficilmente sarebbe in grado di rilevare un sofisticato attacco informatico.

Le pubbliche amministrazioni attualmente impegnate nella comprensione e nella gestione della sicurezza informatica dovranno quindi monitorare i seguenti trend:

Minacce informatiche dal “mondo interconnesso”

La complessità degli attacchi informatici è in aumento, soprattutto per quanto riguarda i percorsi di attacco, che stanno crescendo in maniera esponenziale a causa dell’avvento dell’ Internet-of-Things (IoT). L’adozione di queste tecnologie risulta particolarmente appetibile alle aziende coinvolte (fonte GISS), in quanto mosse dal desiderio di portare benefici al cittadino (38%) e dall’opportunità di ridurre i costi (35%). L’avvento dei social media, degli strumenti mobile e dei sistemi di gestione dei clienti e dei fornitori ha ormai reso lontani i tempi delle architetture client-server e dei gateway di accesso limitato ad internet, relativamente semplici da proteggere. Ora, con l’“Internet delle cose”, tutti i device sono interconnessi. I sistemi precedentemente disconnessi – le “cose” – stanno diventando raggiungibili da internet, e le connessioni tra un sistema e l’altro rappresentano una minaccia reale per le pubbliche organizzazioni. Gli approcci alla sicurezza informatica dovranno quindi comprendere l’IoT. Ne sono un esempio i Security Operation Center (SOC) che dovranno estendere la loro copertura per includere l’IoT, che dovrebbe essere soggetto a controlli di sicurezza e penetration test.

Crescita delle identità digitali

La crescita esponenziale dell’IoT impone alle pubbliche organizzazioni la necessità di ripensare il modo in cui esse riconoscono e trattano le identità che fino a poco tempo fa, erano tutte associate a persone fisiche. Per gestire queste identità tradizionali, le pubbliche organizzazioni hanno utilizzato directory – semplici elenchi di personale – allo scopo di determinare chi deve avere accesso a cosa. Lo stesso approccio è stato utilizzato con clienti, fornitori e terze parti. Quando “le cose” entrano in gioco, e possono essere di proprietà e governate da entità diverse, la ricerca tramite directory non è più sufficiente. Al suo posto, dovranno essere sviluppati nuovi modelli di fiducia collaborativi per consentire la condivisione di questa tra i dispositivi IoT interconnessi. Questo approccio richiederà alle pubbliche organizzazioni di stabilire politiche robuste per la proprietà e per la protezione dei dati.

Il trend, disciplinato in Europa il 23 luglio 2014 dal Regolamento (UE) n.910/2014 del Parlamento europeo e del Consiglio, definisce le regole in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Regolamento eIDAS). Ciò al fine di fornire un contesto normativo prevedibile per consentire interazioni elettroniche sicure e senza interruzioni tra le imprese, i cittadini e le autorità pubbliche.

La frammentazione di regolamentazione sta portando ad uno scenario più complesso

La regolamentazione per ogni sfaccettatura della sicurezza informatica renderà lo scenario di compliance sempre più complesso. Date le differenze di regolamentazioni tra le giurisdizioni, questa “iper-regolamentazione” non porterà necessariamente ad un incremento della sicurezza informatica per molte pubbliche amministrazioni. Ad esempio, con la conclusione dell’accordo di Safe Harbour, tra l’Unione Europea e gli Stati Uniti è probabile che nel corso del prossimo anno gli stati membri dell’UE svilupperanno diverse regolamentazioni nell’ambito della riservatezza dei dati, ponendo ulteriori sfide per le pubbliche amministrazioni operanti in più giurisdizioni. In questo contesto, il 15 dicembre 2015, il Parlamento Europeo, il Consiglio e la Commissione hanno raggiunto un accordo sulle nuove regole in merito alla protezione dei dati tramite l’emissione del testo finale del nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR ). Inoltre, le normative inerenti le segnalazioni sui Data Breach ed i self-assessment sul livello di maturità della sicurezza informatica e le previste richieste di pianificazione della gestione degli incidenti si stanno moltiplicando, con scarsa coerenza tra le singole giurisdizioni. Il pericolo è che le organizzazioni saranno così focalizzate sul rispetto dei differenti requisiti tra le giurisdizioni che la loro capacità di sviluppare un approccio strategico ed equilibrato ai miglioramenti di sicurezza informatica sarà compromesso.

Il mercato criminale diventerà sempre più professionistico

Le tipologie tradizionali di cyber attacker, le loro motivazioni e i loro livelli di abilità sono in rapida evoluzione. Il personale qualificato è ormai in grado di pubblicizzare e vendere i propri servizi a qualsiasi gruppo interessato. Questa minaccia è ben rappresentata nei risultati della GISS, dalla quale è emerso che le organizzazioni criminali sono la fonte più probabile per un attacco (59%).

Come risultato, tali attacchi diventano più facili da lanciare, nel momento in cui le risorse a disposizione degli acquirenti consentono l’adozione di tali competenze. Ad esempio risulta più facile:

  1. Acquistare malware sofisticato da fornitori accreditati;
  2. Distribuire questo malware tramite l’acquisto di consulenze o istruzioni specifiche;
  3. Pubblicizzare l’acquisto o la vendita di servizi criminali.

A causa di questi cambiamenti, per le pubbliche amministrazioni sarà essenziale condurre valutazioni ad-hoc al fine di proteggere i dati maggiormente critici, e implementare misure volte a mitigare le vulnerabilità. Infatti per tutti gli attacker – sia che si tratti di un ragazzo di 16 anni, di una rete criminale organizzata, o un insider – è sempre più facile avere accesso agli strumenti utilizzati per colpire i propri target.

I modelli tradizionali di difesa non sono più adeguati

Lo scenario mondiale attuale, in cui ci sono sempre più dispositivi connessi, obbliga le pubbliche organizzazioni, anche quelle con sistemi di controllo più maturi, ad aumentare le proprie capacità difensive. A questo si aggiunge l’incremento degli attacchi informatici, la vasta gamma di motivazioni che li generano e le diverse tecniche di attacco sempre più complesse e in continua evoluzione. Il verificarsi periodico di attacchi informatici indica che i modelli tradizionali per la difesa non sono più adeguati. Le principali organizzazioni infatti sono alla ricerca di modi per contrastare in modo proattivo i loro potenziali “avversari” e proteggere i dati più critici.

Metodi innovativi di “difesa attiva” per rilevare e rispondere agli attacchi informatici avanzati

Funzionalità avanzate, come la “difesa attiva”, sono possibili grazie all’utilizzo di analisi di sicurezza che, ad esempio possono essere utilizzate per rilevare attività anomale riconducibili a determinati attacchi informatici. Tale mancata gestione viene messa in evidenza anche dallo studio GISS di EY, dal quale emerge che il 57% delle aziende coinvolte dichiara che i loro SOC non partecipano alle Distribution List a pagamento sulle minacce di sicurezza informatica. Un altro esempio può essere fornito dall’analisi di comportamento, che ha un ruolo significativo nella “difesa attiva”, grazie anche alle capacità di auto-apprendimento, spostando l’attenzione dall’analisi consuntiva alla prevenzione. La nostra visione è che un set maturo e integrato di capacità operative di sicurezza – alimentate dall’analisi scientifica dei dati e da piattaforme di analisi di sicurezza – alimenti la consapevolezza, la capacità e le conoscenze necessarie per rilevare e rispondere ad attacchi informatici avanzati. Inoltre, mediante l’applicazione di tecniche di “difesa attiva” e l’utilizzo delle analisi di sicurezza, le aziende saranno in grado di spostare il paradigma da reattivo a proattivo.