Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA completa

Cyber security: cos’è e come garantire la sicurezza dei sistemi informatici e delle reti

La cyber security ha l’obiettivo di proteggere il cyberspazio dai cyberattacchi: ecco i consigli e le soluzioni per individuare minacce, vulnerabilità e rischi informatici ed essere in grado di proteggere i dati da possibili attacchi e scongiurare eventuali violazioni alla rete o ai sistemi informatici

05 Set 2018
K

Jusef Khamlichi

Consulente senior presso P4I - Partners4Innovation

L

Marta Lai

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Alessio Pennasilico

Practice Leader Information & Cyber Security P4I

S

Manuela Santini

Information & Cyber Security Advisor presso P4I - Partners4Innovation

T

Claudio Telmon

Information & Cyber Security Advisor presso P4I - Partners4Innovation


Il termine cyber security è di uso piuttosto recente ed è stato diffuso principalmente dal NIST (National Institute for Standards and Technologies) degli Stati Uniti. La cyber security è focalizzata principalmente sulla protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e dell’informazione in formato digitale da attacchi interni e, soprattutto, esterni. Altri termini utilizzati in alternativa e precedentemente sono IT security, ICT security, sicurezza informatica e sicurezza delle informazioni.

Quest’ultima comprende anche la protezione delle informazioni in formato non digitale, ad esempio cartaceo. Al netto dell’informazione in formato cartaceo, sono tutti termini abbastanza interscambiabili, a meno che non si stia discutendo in un contesto estremamente specialistico. Curiosamente, e ad aumentare la confusione, il NIST distingue anche fra “cybersecurity” e “cyber security” che ha come obiettivo “la protezione del cyberspazio dai cyberattacchi”.

È invece molto più utile sottolineare che con il termine “sicurezza” si intendono alcuni concetti molto diversi, che in inglese hanno termini distinti: “security”, che si occupa di protezione dagli attacchi, e “safety”, che si occupa di protezione dagli accidenti e dai guasti. Ad esempio, le cinture di sicurezza (protezione dagli accidenti” si chiamano “safety belts”, mentre una serratura di sicurezza (protezione dagli attacchi) si chiama “security lock”.

La distinzione fra i due termini è importante, perché il modo in cui si affrontano i due problemi è radicalmente diverso. La differenza principale sta nel fatto che un attaccante si adatta alle nostre difese per cercare di superarle. Ad esempio, se ci aspettiamo un’inondazione con un’altezza massima dell’acqua di due metri, possiamo pensare di proteggerci con un terrapieno alto tre metri. Viceversa, se abbiamo dei ladri che usano scale alte due metri, erigere un muro alto tre metri avrà presumibilmente il solo effetto di far comprare ai ladri delle scale alte tre metri.

Esempi di cyber security e attacchi hacker: ransomware e minacce note, cosa fare

1. attacchi brute force (forza bruta) e password sicure

Al di là della terminologia, la cyber security è una disciplina molto pratica. Si occupa di proteggere i sistemi informatici da minacce concrete che hanno una probabilità significativa di realizzarsi, fra le tante che sarebbero concepibili. In questo, la si può vedere come uno strumento di gestione dei rischi. I rischi infatti non sono praticamente mai nulli: le misure di sicurezza sono utilizzate per ridurre i rischi, quasi mai per eliminarli. Per capire questo concetto, partiamo dalle password. Prendiamo come esempio un computer portatile che teniamo in casa. È possibile che non sia protetto da nessuna password (anche se non è una buona pratica).

Questo non vuole dire che automaticamente qualcuno acceda al computer senza il nostro permesso: deve esserci qualcuno, fra i visitatori che entrano in casa, una persona che, quando non lo guardiamo, abbia l’occasione di farlo. In queste condizioni, anche una password relativamente semplice, che non sia proprio il nostro nome o la data di nascita, può fare molto, perché il visitatore curioso proverà al più una manciata di password prima di rinunciare, ed è molto improbabile (anche se mai impossibile) che indovini quella giusta.

Supponiamo adesso di portarci il portatile in vacanza al mare, magari in campeggio, o viceversa di lasciarlo a casa quando partiamo. In queste condizioni, la probabilità che ci venga rubato aumenta molto. Il ladro a quel punto avrà tutto il tempo e gli strumenti per provare tantissime password. Se la nostra password è molto semplice e il ladro è veramente interessato ad accedere al portatile, a quel punto la nostra password banale diventa una misera protezione: servirebbe una password più complessa.

Un ufficio è generalmente una situazione a metà strada: è un ambiente meno riservato, in cui più persone possono avere occasione di accedere al nostro computer o anche di vederci mentre scriviamo la password. Consideriamo invece un servizio online, ad esempio un servizio di posta elettronica. In questo caso, il servizio è, come si dice, “esposto su Internet”: vuole dire che chiunque, da tutto il mondo, può provare ad accedere alla nostra casella di posta elettronica e può, di principio, provare tutte le password che vuole, fino a quando non trova quella giusta. Il problema è che le migliaia di malintenzionati che quotidianamente provano ad attaccare i servizi esposti su Internet non lo fanno a mano: utilizzano programmi specializzati che provano migliaia, se non decine o centinaia di migliaia di password al secondo, e lo fanno ventiquattro ore su ventiquattro. Quindi, la password dovrebbe essere complessa, ma quanto? Idealmente, una password dovrebbe essere composta da caratteri casuali, in modo da non dare nessun indizio all’attaccante su quale potrebbe essere la password. L’unico modo per indovinarla sarebbe allora quello che si chiama attacco di forza bruta o brute force, che consiste semplicemente nel provare tutte le password fino a che non si trova quella giusta.

Quanti tentativi dovrebbe fare l’attaccante?

Il numero di password che si può ottenere con otto caratteri scelti fra maiuscole, minuscole, cifre e un paio di segni di interpunzione è circa come un uno seguito da quattordici zeri. Anche provando qualche centinaio di migliaia di password al secondo, l’attaccante avrebbe bisogno di decine di anni per provarle tutte.

Non solo: un buon servizio online che investa nella sicurezza dei propri utenti, può utilizzare diversi sistemi per rendere più difficile l’attacco, come ad esempio rallentare la propria risposta dopo la prima password sbagliata, rallentando quindi molto l’attaccante, o meglio ancora richiedendo altri fattori di autenticazione (SMS o simili) o richiedendo che l’accesso avvenga da un pc o un cellulare registrati, realizzando quindi quella che si chiama “autenticazione forte”.

Queste protezioni non sono però disponibili in caso di furto di un portatile con dati aziendali di valore: avendo il portatile a disposizione, il numero di password che l’attaccante può provare in poco tempo, se è veramente determinato, è oltretutto enormemente superiore. Fortunatamente, nella maggior parte dei casi il ladro è interessato solo a rivendere il portatile. Ma torniamo ai nostri servizi online: purtroppo, una password casuale ha un grosso difetto, e cioè che è difficile da ricordare, ed è ancora più difficile ricordarne diverse, per i diversi servizi, e che vengono cambiate periodicamente.

La conseguenza è che la maggior parte delle persone sceglie password che sono tutt’altro che casuali, anzi: decine di studi mostrano che le persone tendono a scegliere password in modo prevedibile, usando strutture note (una cifra all’inizio o più spesso alla fine, sostituendo lettere specifiche con cifre ecc.), anche se non prevedibili quanto ci raccontano i film. Gli attaccanti quindi non utilizzano attacchi di forza bruta, ma quelli che si chiamano attacchi “di vocabolario”: hanno dei vocabolari appunto, che comprendono le parole di una lingua, i nomi propri e le password più comunemente usate, e una serie di regole per combinarle e modificarle. Provando le password generate in questo modo, la probabilità di indovinare le password aumenta e il numero di password da provare diminuisce paurosamente.

E c’è un altro grosso problema: dato che le password sono difficili da ricordare, quasi tutti tendono a riutilizzare la stessa password per più servizi. Se uno di questi servizi viene compromesso, l’attaccante può eventualmente recuperare la password e il nome utente o l’indirizzo di posta elettronica da quel servizio, e provarli su altri servizi. O eventualmente, mettere in vendita sul mercato nero interi database di nomi utente e password, in modo che altri le possano provare. In questi casi, la complessità della password non aiuta: l’unico sistema è utilizzare password diverse per servizi diversi.

Questo è un problema particolarmente in azienda: se la stessa password, magari quella utilizzata per l’accesso ai servizi aziendali, viene utilizzata su altri siti, la compromissione di quei siti espone di fatto le password e quindi i servizi aziendali.

Fortunatamente esiste da anni una soluzione per creare password sicure: sono i password manager. I password manager sono piccoli programmi che si installano sul pc o sullo smartphone, ed hanno due funzioni: ci permettono di generare senza sforzo password casuali, e che conservano al sicuro per noi, proteggendole con un’unica password. Dal password manager, quando dobbiamo accedere ad un servizio, copiamo la sua specifica password e la incolliamo nella pagina di autenticazione, senza bisogno quindi di ricordarcela. L’unica password che ci dobbiamo ricordare, e che deve essere veramente buona, è quella di accesso al password manager.

2. attacchi di phishing

Quindi, con il password manager abbiamo reso sicuro l’utilizzo delle password? Purtroppo no: la password continua ad essere uno strumento di autenticazione piuttosto debole. Il difetto principale sta nel fatto che la stessa informazione di autenticazione, la password appunto, viene riutilizzata più e più volte, da chiunque e da qualsiasi sistema, spesso anche per servizi diversi, fino a che non viene cambiata. Questo comporta due problemi.

Il primo, tipicamente aziendale, è quello della condivisione delle password: seppure spesso per motivi funzionali all’attività lavorativa, gli utenti si scambiano le password, che quindi perdono il loro scopo di autenticazione personale. Nel tempo il fenomeno può finire completamente fuori controllo. Esemplare il caso di un dirigente che aveva dato la propria password alla propria segretaria per un più semplice accesso ai servizi e a Internet. La segretaria l’aveva condivisa con una collega, per via dell’accesso facilitato ad Internet, e questa l’aveva condivisa con altri colleghi. Il problema è che con quella password, tutte quelle persone avevano anche accesso ai servizi del dirigente, comprese le sue email.

Il secondo problema, più grave, è che se un attaccante riesce a convincerci a dargli la nostra password, potrà continuare ad utilizzarla senza che ce ne accorgiamo per molto tempo. Come può convincerci? L’insieme ti tecniche utilizzato più comunemente a questo scopo è detto phishing. Si tratta di convincere l’utente ad utilizzare le proprie credenziali su di un sito ‘fasullo”, gestito dall’attaccante, ma che si presenta come quello originale. Supponiamo ad esempio di ricevere una email con mittente la nostra banca, che ci dice di aggiornare dei dati, e con un link alla pagina web da cui fare l’aggiornamento.

Nel caso del phishing, la mail sarà fasulla. Con le email infatti, l’indirizzo mittente non è più affidabile di quanto lo sia con la posta ordinaria: in pratica, chiunque scrive sulla busta quello che vuole. Anche il link naturalmente sarà fasullo: si presenterà simile a quello della banca, ma ci porterà invece ad una pagina che l’attaccante avrà reso apparentemente identica a quella della banca, e nella quale noi inseriremo le nostre credenziali, che a quel punto l’attaccante non dovrà fare altro che leggere e riutilizzare. Il problema è particolarmente grave quando si usano servizi su Internet, magari in cloud, perché sono servizi per definizione accessibili da qualunque parte del mondo. È importante sottolineare che finché l’attaccante si limita a leggere informazioni, è difficile capire se ci sono accessi abusivi.

Ma cosa può fare l’attaccante limitandosi a leggere informazioni?

Un esempio tipico, che colpisce un grandissimo numero di imprese, è il monitoraggio della casella di posta elettronica dell’amministrazione. La casella di posta elettronica viene letta con regolarità dall’attaccante per giorni, in attesa di trovare informazioni su di un pagamento che deve essere effettuato all’azienda, tipicamente per un acquisto effettuato da un cliente. A quel punto, l’attaccante manda al cliente una mail fasulla, impersonando una persona dell’amministrazione e comunica che l’IBAN sul quale fare il pagamento è cambiato. Avendo letto tutta la corrispondenza fra l’amministrazione ed il cliente, potrà scrivere una email estremamente credibile, citando correttamente nomi, numeri d’ordine e quant’altro.

Come proteggersi? Tecnicamente, gli strumenti sono principalmente due: abbandonare la semplice password a favore di meccanismi di autenticazione forte, e monitorare gli accessi per rilevare anomalie: accessi da posti inusuali (ad esempio, da altri paesi del mondo), utilizzo di strumenti diversi dal solito, e simili. La profilazione del comportamento abituale dell’utente permette di rilevare quando viene fatto qualcosa di strano, un po’ come avviene con gli utilizzi anomali della carta di credito. I due meccanismi possono essere messi insieme per utilizzare la sola password quando si tratta di accessi “normali’ o per operazioni poco critiche, utilizzando invece l’autenticazione forte per accessi anomali od operazioni critiche: si tratta della cosiddetta autenticazione adattiva, utilizzata dalle banche e dai fornitori di servizi in cloud più evoluti.

La tecnologia però da sola non basta: la sensibilizzazione degli utenti al problema è importante. Non si tratta tanto di imparare a distinguere i mittenti fasulli da quelli veri, o gli indirizzi web dei siti fasulli, sarebbe troppo difficile e gli attaccanti sono capaci di camuffarli molto bene. Piuttosto, si tratta di inquadrare il contesto e stabilire alcuni comportamenti. Ad esempio, non seguire un link in una mail che ci chieda di inserire delle credenziali.

Piuttosto, memorizzare il link che si utilizza normalmente per accedere al servizio, e lì autenticarsi. Se il servizio è realizzato bene, avremo comunque la possibilità di ritrovare l’informazione direttamente sul sito, o di accedere al link senza ulteriori autenticazioni. In caso di dubbi, è sempre meglio verificare con qualcuno, in azienda ad esempio con l’help desk IT, o almeno con qualche collega più “informatico”: non bisogna preoccuparsi di fare una brutta figura, sono dubbi legittimi e comunque è meglio che cadere nella trappola e dare all’attaccante il modo per entrare in azienda.

3. ransomware (Petya, Cryptolocker ecc.)

Attraverso gli stessi canali, ovvero principalmente la posta elettronica, può entrare in azienda il ransomware. Si tratta di programmi ostili (malware) che, una volta installatosi su di un computer aziendale, cifra i file di dati a cui hanno accesso, in modo che l’azienda sia costretta a pagare un riscatto (ransom) per avere le chiavi di decifratura. Il fenomeno si è diffuso particolarmente a partire dal 2013 con Cryptolocker.

La diffusione di questo tipo di malware ha cambiato sensibilmente il panorama della sicurezza. Fino ad allora, molte aziende, specialmente quelle medio-piccole, erano convinte di non essere “interessanti” per gli attacchi da Internet e di non avere particolari vulnerabilità, e quindi di non avere bisogno di difese migliori.

Il ransomware ha cambiato prima di tutto il concetto di “interessante”: se i dati sono interessanti per l’azienda, sono interessanti per l’attaccante, perché permettono di chiedere un riscatto. Ma soprattutto, le aziende si sono accorte di quanto fossero vulnerabili: il ransomware ha solo reso evidenti i canali utilizzati già prima da altre tipologie di malware, che a differenza del ransomware non avevano bisogno di farsi notare. Ad esempio, un’azienda, nell’affrontare la gestione del ransomware, si è accorta di avere già in casa da tempo un malware specializzato nel furto di disegni CAD: per questo malware però, a differenza del ransomware, non era necessario farsi notare, e quini l’azienda fino ad allora non se ne era mai accorta.

Come proteggersi dal ransomware?

Sicuramente uno strumento fondamentale sono gli antimalware/antivirus, che ormai sono strumenti complessi che analizzando vari aspetti dei pc, della posta elettronica e della navigazione Internet, per cercare di prevenire le infezioni. Va anche detto che però da soli sono sempre meno efficaci. La ragione è semplice: anche chi scrive i malware può acquistare gli antimalware e testare i propri prodotti fino a che non riescono a non essere rilevati. A quel punto li diffondono, e i produttori di antivirus hanno bisogno di un po’ di tempo per rilevare queste nuove varianti di malware e istruire i propri prodotti a riconoscerle.

A quel punto, le aziende ottengono gli aggiornamenti che le proteggono, ma gli stessi aggiornamenti li ottengono anche i produttori di malware, che sanno quindi di dover produrre una nuova variante. Data la diffusione sempre più veloce del malware, misurabile in pochi giorni o addirittura ore, questi cicli sono sempre più stretti. La sicurezza in effetti non può essere demandata semplicemente a “un prodotto”: richiede comportamenti corretti e consapevoli (da parte degli utenti), strumenti (fra cui l’antimalware) e procedure di gestione.

Fra le procedure, nel caso specifico della protezione dal ransomware, è fondamentale quella di backup: dei backup, mantenuti protetti (offline) per non essere a loro volta cifrati, sono lo strumento che permette all’azienda di ripristinare i dati con danni limitati. Non è infatti assolutamente garantito che, una volta pagato il riscatto, si otterrà effettivamente una chiave efficace per decifrare i file, anzi: spesso la chiave non viene inviata, o addirittura un difetto del malware non permette di recuperare i file neanche con la chiave. Negli ultimi anni, sono stati prodotti e diffusi molti malware, alcuni dei quali sono divenuti famosi anche attraverso la stampa generalista: oltre a Cryptolocker, abbiamo Petya, WannaCry e altri.

Naturalmente, gli attacchi possono essere anche di altro tipo, e sfruttare altre vulnerabilità. Esattamente come c’è una continua lotta fra i produttori di malware e quelli di antimalware, è continua la scoperta di nuove vulnerabilità nei software, di creazione di programmi che le sfruttano e di produzione di aggiornamenti che le correggono (“chiudono” le vulnerabilità). Queste vulnerabilità sono scoperte e sfruttate in vari modi, e non va trascurato il fatto che anche diverse agenzie governative ed aziende private cercano vulnerabilità da sfruttare contro i propri nemici, nel corso di attività di guerra cibernetica (cyberwarfare), o contro gli avversari dei propri clienti.

Queste agenzie ed aziende arrivano ad accumulare veri e propri arsenali, che utilizzano cercando di mantenerli segreti il più a lungo possibile, in modo che le vulnerabilità non vengano corrette e così da poter quindi mantenere dei canali di accesso alle reti ed ai sistemi dei propri avversari. Purtroppo, questi arsenali a volte vengono trafugati e quindi diffusi o venduti al mercato nero, dove c’è un fiorente commercio di vulnerabilità cosiddette 0-day, ovvero non ancora pubblicate.

In questi casi, la corsa si fa ancora più frenetica: faranno prima le aziende a chiudere le vulnerabilità e a proteggersi, o gli attaccanti sfruttare questi strumenti, spesso sofisticati, per accedere illegalmente ai sistemi aziendali? Un esempio particolarmente noto e significativo si è avuto con una variante di Petya, chiamata NotPetya, che utilizzava un tool che si ritiene facesse parte di un arsenale dell’NSA statunitense. Il tool, detto EternalBlue, sfruttava appunto una vunerabilità 0-day. NotPetya venne utilizzato nel 2017 per un attacco su larga scala principalmente ad aziende ed enti dell’Ucraina, ma interessando diversi paesi europei fra cui l’Italia.

La gestione della sicurezza in azienda comprende quindi comportamenti corretti, strumenti e procedure, che sono ad esempio raccolti nello standard ISO/IEC 27001 e negli altri documenti ISO della famiglia 27000 che lo completano. Questo ed altri standard partono da una analisi dei rischi per una organizzazione, e ne derivano un sistema di gestione della sicurezza delle informazioni (SGSI) che, se correttamente realizzato, permette all’azienda di mitigare adeguatamente i rischi per le proprie informazioni.

Negli ultimi anni però, con l’evoluzione dei sistemi informativi, sempre più aperti e con un perimetro sempre più permeabile e con la diffusione sempre più veloce di attacchi sempre più sofisticati, è ormai evidente che cercare di prevenire gli incidenti non è più sufficiente: è sempre più necessario essere in grado di rilevarli, contenerli e gestire il successivo ripristino dell’operatività. Su questi aspetti è particolarmente focalizzato il cyber security framework sviluppato dal NIST, al quale si sono poi ispirate altre iniziative simili.

Il framework mette l’accento su due attività principali: il monitoraggio del sistema informativo, per individuare anomalie ed eventi che siano indicativi di possibili incidenti, e la preparazione alla gestione delle emergenze, ovvero la capacità di gestire gli incidenti e limitarne l’impatto. Purtroppo, su queste attività la maggior parte delle aziende sono molto in ritardo.

Cyber security in Italia, lo stato dell’arte

In Italia già da molto tempo si parla di cyber security e sicurezza informatica nazionale. È ovviamente un tema caldo, e sia pubblica amministrazione che aziende sono costantemente alla ricerca di professionisti di sicurezza informatica che possano proteggere le infrastrutture e le reti dagli attacchi hacker. Vediamo quindi lo scenario in Italia per quanto riguarda la cyber sicurezza in azienda, come sono messe le aziende italiane oggi, e cosa dovrebbero fare per incrementare la sicurezza delle proprie infrastrutture e reti.

Cyber security: sono pronte le aziende?

Qual è allora lo stato della sicurezza informatica per le aziende italiane? Possiamo dire che per quanto riguarda le aziende, è più o meno lo stesso degli altri paesi dell’Unione. Ci sono forti differenze fra settore e settore, legate principalmente al contesto regolatorio. Infatti tuttora, nonostante il ransomware e in parte lo sviluppo dell’industria 4.0 stiano cambiando leggermente lo scenario, l’adozione di buone pratiche di sicurezza nelle aziende è legata più a requisiti di conformità normativa che ad una sensibilità delle aziende per il valore dei propri sistemi informativi.

Dato che per i settori regolamentati che hanno requisiti normativi sulla sicurezza delle informazioni, la normativa è principalmente di derivazione europea (regolamenti, direttive ecc.), c’è una certa uniformità. Così, settori come quello bancario e quello delle telecomunicazioni hanno una gestione dei rischi di sicurezza mediamente abbastanza buona, e certamente molto più matura di quella degli altri settori. Allo stesso modo, mediamente le grandi aziende, quelle quotate e quelle parte di gruppi multinazionali hanno una gestione della sicurezza più avanzata. Infine, le aziende che offrono servizi digitali hanno una gestione della sicurezza derivata dall’impatto di immagine che possono avere in caso di incidenti (di cui si venga a conoscenza).

A livello nazionale, sono in corso diverse iniziative sia per la gestione della cyber security in linea e coordinandosi con l’Unione e con l’agenzia europea ENISA in particolare, sia per migliorare lo stato della sicurezza delle nostre PA, molto variabile e con alcune eccellenze, ma mediamente non entusiasmante.

La sicurezza è in effetti uno dei pilastri delle diverse azioni in corso da parte di Agid, ad esempio con la pubblicazione delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” e da parte del Team per la Trasformazione Digitale. È inoltre uno dei capitoli del piano triennale per l’informatica nella PA, e il tema è rilevante anche nelle iniziative a supporto dell’Industria 4.0. Anche a livello di sicurezza nazionale negli ultimi anni sono stati colmati alcuni gap fra l’Italia e gli altri paesi dell’Unione, ad esempio attraverso la definizione del “Piano nazionale per la sicurezza cibernetica e la sicurezza informatica” e l’attribuzione di compiti e responsabilità su questi temi. Infine, è utile segnalare l’iniziativa del CINI che ha pubblicato un “Framework Nazionale per la cyber security” ispirato a quello del NIST.

Siamo naturalmente lontani dal livello raggiunto da alcune strutture di altri paesi dell’Unione, come ad esempio il BSI tedesco, o anche il Garante francese per la protezione dei dati personali (CNIL) che ha pubblicato materiale e software per la valutazione dei rischi, anche in inglese, che è utilizzato anche all’estero ed in particolare in Italia. Ancora più lontani siamo dal livello del British Standards Institute, i cui documenti hanno dato origine a molti dei principali standard di settore, primo fra tutti la ISO/IEC 27001. E naturalmente, la capacità delle nostre PA di recepire e attuare le norme e le indicazioni deve fare i conti con una serie di problemi noti e non specifici per il tema della sicurezza, legati alle risorse, alle competenze e spesso anche al committment.

Per il resto, la gestione della sicurezza è generalmente minima: sono adottati gli strumenti essenziali (antimalware, firewall e generalmente backup dei dati) senza che però vi sia una vera gestione attiva di questi strumenti, né tantomeno un’attività di monitoraggio, quindi di fatto le violazioni vengono rilevate sono quando hanno qualche effetto evidente come il ransomware.

È diffusa anche la gestione degli aggiornamenti di sicurezza dei sistemi, mentre la formazione e la sensibilizzazione specifica sulla sicurezza sono stati finora abbastanza limitate. Tutto questo sta però cambiando sotto la spinta principalmente del GDPR, e secondariamente dell’industria 4.0. Dato che tutte le aziende trattano in qualche modo dati personali, il GDPR infatti interessa ogni azienda e ogni organizzazione.

Il GDPR impone una gestione della sicurezza basata sul rischio, e richiede indirettamente una grande attenzione alla rilevazione ed alla gestione efficace degli incidenti, ed è in generale molto allineato con le buone pratiche. Può quindi essere più facilmente integrato nella gestione della sicurezza da parte delle aziende ed organizzazioni che sono già orientate alle buone pratiche, mentre per contro è impegnativo soprattutto per le aziende che cercano una “checklist” di azioni da compiere per risultare conformi, senza interessarsi dell’efficacia delle azioni stesse. Questa era in effetti l’impostazione della normativa precedente, il cui elenco di “misure minime” dell’allegato B era implementato da molte aziende focalizzandosi su di una conformità di forma, senza interesse all’efficacia.

Questioni giuridiche legate alla cyber security

In effetti, la gestione della sicurezza prevista dal GDPR si inquadra in una tendenza ed un’azione coerente a livello europeo in termini di requisiti normativi, a loro volta coerenti in particolare con le logiche del cyber security Framework del NIST. La necessità di monitoraggio e rilevazione degli incidenti è un esempio di requisito o indicazione che permea la normativa europea recente. Oltre alle normative dei settori già citati, vale la pena di evidenziare cosiddetta “Direttiva NIS”, che punta a migliorare la gestione della sicurezza delle infrastrutture critiche (fra questi vale la pena di evidenziare la sanità, i trasporti e l’energia) e ad aumentare la collaborazione e lo scambio di informazioni a livello europeo sugli incidenti di sicurezza.

E proprio il tema delle informazioni sugli incidenti è uno degli ambiti su cui le norme si stanno muovendo in modo coerente. Abbiamo infatti due problemi: il primo è che le organizzazioni tendono a mantenere segreto il fatto che ci siano stati incidenti, anche quando questi incidenti possono causare danni importanti a terzi o alla collettività, si pensi ad esempio al furto di informazioni sanitarie o finanziarie. Questi incidenti possono anche essere indice di una gestione carente della sicurezza, ma se gli incidenti sono tenuti segreti, le organizzazioni non sono spinte a migliorarla, né possono essere sanzionate.

Il secondo problema è che la valutazione dei rischi e la gestione efficace della sicurezza del Paese e dell’Unione da parte delle autorità competenti, richiede di avere informazioni di scenario il più possibile corrette e complete, cosa che al momento è difficile avere. Le normative di cui sopra hanno come comune denominatore, fra l’altro, l’obbligo di notifica degli incidenti significativi alle autorità di controllo competenti per i diversi settori (il Garante per i dati personali, ad esempio); nei casi più gravi, dell’incidente devono essere informati anche i soggetti potenzialmente danneggiati (nel caso del GDPR gli interessati, ad esempio i clienti o i dipendenti dell’azienda).

La mancata notifica è sanzionabile di per sé se l’organizzazione è a conoscenza dell’incidente. Viceversa, se l’autorità di controllo viene a sapere dell’incidente da altri soggetti, e l’organizzazione non ne era a conoscenza, può voler dire che le misure di sicurezza e l’attività di monitoraggio non erano adeguate. Comunque la si metta, per le aziende è una forte spinta da una parte a migliorare la gestione della propria sicurezza, dall’altra a rilevare ed a gestire efficacemente gli incidenti. Nello stesso tempo, le autorità di controllo saranno in grado di produrre quelle informazioni statistiche sugli incidenti che sono così importanti per un’efficace stima dei rischi.

Cyber security: prevenzione e difesa

Di seguito approfondiremo alcuni accorgimenti che è bene prendere per mantenere in sicurezza i propri sistemi informatici, infrastrutture e reti, oltre che i propri dati personali e di privacy.

Suggerimenti per garantire la sicurezza dei sistemi informatici e delle reti, a casa e in azienda

Cosa può fare quindi un’azienda per gestire efficacemente la propria sicurezza e la propria conformità normativa? Lo standard ISO/IEC 27001 può essere una buona guida, anche per le aziende che non hanno interesse ad ottenere la relativa certificazione per il proprio SGSI. Il primo passo è certamente che i vertici aziendali sponsorizzino le iniziative sulla sicurezza, rendendosi conto che non si tratta di un problema “dell’IT” ma di tutela del patrimonio aziendale: quello che si vuole proteggere non sono i computer, ma le informazioni di valore per l’azienda ed i servizi che supportano i suoi processi più critici.

Di conseguenza, il primo passo è identificare e valutare i rischi principali, per capire dove ha senso spendere e dove no, e soprattutto quanto. Prima ancora che in soluzioni tecniche e procedure, questi concetti si concretizzano in due documenti fondamentali: la policy di sicurezza ed il regolamento utente. La policy di sicurezza è un documento, anche breve e di alto livello, approvato dall’azienda (tipicamente, dal CdA) in cui si stabiliscono i principi fondamentali nella gestione della sicurezza in azienda, si dichiara il commitment dell’azienda verso la protezione del proprio patrimonio informativo e si identificano le figure chiave che hanno in carico la gestione della cyber security, dando quindi loro l’autorevolezza per stabilire regole nell’uso e nella gestione del sistema informativo, che altrimenti sono difficili da far valere verso il personale. Il regolamento utente, invece, chiarisce quali sono gli usi corretti e legittimi del sistema informativo e quali sono i comportamenti che gli utenti (personale ma anche consulenti, fornitori ecc.) devono tenere nell’utilizzo del sistema informativo aziendale e delle risorse quali Internet, la posta elettronica, ecc. Senza questo regolamento, è difficile aspettarsi che gli utenti abbiano un comportamento sicuro e corretto.

A questi due documenti fondamentali si possono affiancare altre policy e procedure (gestione dei backup, gestione degli incidenti, ecc.) più o meno strutturate e complesse a seconda delle caratteristiche dell’organizzazione, l’importante è che siano documenti usabili, ovvero snelli, chiari ed efficaci. A prescindere dalla produzione di documenti, ci sono alcune attività che devono essere strutturate, ad esempio attraverso procedure, in modo da assicurarne l’efficacia. Ad esempio, la gestione degli incidenti, come tutte le attività in emergenza, non può essere improvvisata sul momento. Deve essere invece chiaramente pianificato cosa fare e chi lo deve fare, in modo da evitare errori e dimenticanze che possono causare anche più danni dell’incidente stesso.

La scelta di strumenti e tecnologie deriva quindi dalla valutazione di come supportare efficacemente queste attività e questi controlli. Certo, non serve la ISO/IEC 27001 per sapere che l’azienda deve avere un antimalware aggiornato, un firewall, deve fare i backup e deve aggiornare regolarmente i sistemi. Serve però per capire ad esempio come gestire in sicurezza le utenze ed i permessi, come integrare la sicurezza nello sviluppo del sistema informativo, e soprattutto come gestire i fornitori.

L’utilizzo sempre più massiccio di servizi esternalizzati, e in cloud in particolare, sta spostando in molte aziende la gestione della sicurezza da un’attività tecnica e organizzativa interna ad una principalmente di governo di fornitori esterni. Si tratta di un tema molto importante, l’azienda non può esternalizzare un servizio e dare per scontato che la relativa sicurezza sia diventata un problema del fornitore: le risorse che si vogliono proteggere continuano ad essere patrimonio e responsabilità dell’azienda, che quindi dovrà assicurarsi che il livello della sicurezza del fornitore si mantenga adeguato, prima di tutto attraverso impegni contrattuali adeguati, e poi mediante audit, reportistica e quant’altro. Anche qui, c’è naturalmente differenza fra azienda e azienda: se le aziende più grandi potranno effettuare in proprio le attività di audit, aziende più piccole dovranno accontentarsi di audit di terza parte che il fornitore potrà esibire a dimostrazione della qualità del proprio operato. E naturalmente, nel caso dei grossi fornitori di servizi in cloud questa sarà in generale l’unica strada percorribile da quasi ogni azienda.

Infine, sono fondamentali la formazione e la sensibilizzazione del personale. Come abbiamo visto, il comportamento e la disattenzione del personale sono la strada principale attraverso cui gli attaccanti riescono ad accedere al sistema informativo aziendale, molto più che attraverso vulnerabilità tecniche. La capacità degli utenti di comportarsi in modo sicuro, e la formazione del personale tecnico sulle buone pratiche di sicurezza nella gestione del sistema informativo, sono quindi essenziali.

Perdita di dati e come comportarsi

Anche con la migliore gestione della sicurezza però, gli incidenti avvengono: è nella logica della mitigazione del rischio che questo non si riduca praticamente mai a zero. Cosa deve fare l’azienda? Per prima cosa, come detto poco sopra, il “cosa fare” deve essere già stato pianificato in anticipo, per quanto possibile. E naturalmente, prima di tutto l’azienda si deve accorgere che l’incidente c’è stato.

L’azienda si deve porre quindi almeno alcune domande:

  • ci sono requisiti normativi che devo rispettare? Da questo punto di vista ad esempio, in caso di violazione di dati personali il GDPR può richiedere molto, sia esplicitamente (notifica al garante, comunicazione agli interessati ecc.), sia implicitamente, ad esempio il tracciamento delle attività svolte nella gestione dell’incidente per dimostrare la conformità e l’efficacia di quanto si è fatto
  • quali sono le risorse e i processi aziendali interessati, e quali conseguenze potrebbe avere l’incidente?
  • l’azienda potrebbe voler avviare o essere coinvolta in azioni legali legate all’incidente? In questo caso può diventare importante non solo la raccolta di evidenze utili a sostenere la posizione dell’azienda, ma queste evidenze devono essere anche raccolte e conservate in modo da essere utilizzabili efficacemente

A questo punto, sarà possibile decidere cosa fare: se l’attenzione dell’azienda debba essere ad esempio prima di tutto ripristinare i sistemi e servizi, o se invece non sia più opportuno contenere l’incidente ma anche raccogliere informazioni su come l’attacco sia stato possibile, attraverso quali canali è stato praticato e quali altre parti del sistema informativo siano coinvolte, in modo da eliminare le vulnerabilità ed imparare dai propri errori per migliorare la gestione della sicurezza.

Per gli incidenti più gravi può anche scattare il piano di continuità operativa aziendale, se è definito, ed in particolare le attività di disaster recovery che si occupano specificamente del ripristino dell’operatività del sistema informativo, che è il sistema nervoso dell’azienda e senza il quale questa non può funzionare a lungo.

Come e dove si formano i criminali informatici (e gli ethical hacker) e come assumerli

Una volta impostata la gestione della sicurezza del sistema informativo e realizzati i primi interventi tecnici, c’è un’altra attività che è utile svolgere, per verificare che l’impostazione sia corretta e che le misure di sicurezza siano efficaci: provare ad attaccare il proprio sistema informativo. Si tratta dei cosiddetti vunerability assessment e penetration test. In pratica, personale specializzato viene assoldato per fare le stesse operazioni e attività che farebbe un attaccante, individuando vulnerabilità ancora presenti nel sistema informativo in modo che possano essere eliminate prima che le trovi un attaccante vero.

Le buone pratiche prevedono che questo tipo di verifiche venga svolto periodicamente, in modo da tenere conto sia dell’evoluzione del sistema informativo che della scoperta di nuove tipologie di vulnerabilità o di tecniche di attacco. Si pongono però due problemi: il primo è come assicurarsi che chi effettua il test abbia competenze e capacità paragonabili a quelle di un attaccante vero; il secondo, è che comunichi all’azienda tutte le vulnerabilità che trova, e non approfitti dell’occasione per violare realmente il sistema informativo.

I due problemi sono collegati, perché il modo più efficace per formarsi come “penetration tester” è frequentare gli ambienti in cui si trovano gli attaccanti veri, che sono spesso ai margini della legge o del tutto illegali, ma non è semplice poi affidare la sicurezza dei propri sistemi a chi frequenta questi ambienti. Naturalmente, ci sono anche contesti, particolarmente nell’ambito della formazione universitaria, in cui alcune tecniche di base sono insegnate ai futuri tester senza bisogno di strane frequentazioni, ma questo tipo di attività è estremamente specialistica e richiede un aggiornamento continuo, senza il quale le competenze diventano rapidamente obsolete, quindi le opzioni sono poche.

Per quanto riguarda l’onestà e l’affidabilità, per le aziende l’unica scelta è rivolgersi a fornitori specializzati che abbiano una reputazione di correttezza e qualità del lavoro. Rimane il problema dell’effettiva competenza: è molto difficile per un’azienda valutare se le vulnerabilità non sono state trovate perché non ci sono, o perché il tester non era abbastanza bravo. La prassi è generalmente di cambiare fornitore di anno in anno, in modo da provare diverse competenze ed evitare che il fornitore, conoscendo già il sistema informativo, faccia un lavoro meno completo anche per non contraddire magari i risultati di un test precedente.

La gestione della sicurezza, come si vede, richiede quindi un impegno che per grandi aziende o per aziende esposte a rischi particolarmente alti, può diventare notevole. È importante quindi che all’attività siano assegnate risorse coerenti con le esigenze aziendali: non è un; attività che possa essere data semplicemente come “incarico aggiuntivo” a chi si occupa della gestione del sistema informativo aziendale, perché in mancanza di risorse, la sicurezza sarà la prima ad essere sacrificata, a fronte delle richieste generalmente più pressanti che arrivano dall’azienda tipicamente sull’implementazione di nuovi servizi e sulla gestione della manutenzione ordinaria e straordinaria del sistema informativo.

Questa esigenza comincia ad essere compresa dalle aziende, ed in effetti i professionisti della cyber security sono molto ricercati, certamente la domanda supera l’offerta, anche perché è una competenza molto specialistica che richiede molto tempo e passione per essere acquisita, ma che nello stesso tempo richiede di avere una competenza ampia sulle tematiche IT in generale. La sicurezza infatti deve permeare tutti gli aspetti della gestione e dell’utilizzo del sistema informativo: dove c’è un punto debole, è dove l’attaccante cercherà di entrare.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5