È indiscutibile che tra i fenomeni che influenzeranno in modo sostanziale lo scenario della trasformazione digitale in generale, e della cyber security in particolare, nel 2023 ci sarà l’intelligenza artificiale. È per questo che abbiamo chiesto a beta.openai.com, noto ai più come ChatGPT-3, di darci previsioni e trend per la cyber security nel 2023, ottenendo questa risposta:
“Nel 2023 la cyber security sarà una priorità assoluta per le aziende. Con le minacce che diventano sempre più sofisticate e le aziende che diventano sempre più dipendenti dalle tecnologie digitali, è fondamentale garantire che le informazioni e i dati siano protetti in modo efficace”.
I trend 2023 secondo l’AI
Un testo su cui molti esperti si sono trovati d’accordo. Lo abbiamo, infatti, condiviso con diversi colleghi chiedendo loro: “ma se pubblicassi questo commento su LinkedIn ti sentiresti di condividerlo?”, ottenendo risposta positiva.
Come se non bastasse, alla nostra precisa domanda, l’intelligenza artificiale ha elencato una serie di trend e previsioni per il nuovo anno:
“Nell’anno 2023 ci saranno diversi trend e previsioni nell’ambito della cyber security che influenzeranno l’intero settore. In primo luogo, ci sarà una maggiore attenzione alle tecnologie di rilevamento e prevenzione delle minacce. Le aziende potranno avvalersi di tecnologie avanzate come l’analisi dei comportamenti, l’intelligenza artificiale e l’apprendimento automatico per rilevare e prevenire le minacce in modo tempestivo.
Queste tecnologie saranno fondamentali per proteggere le reti aziendali dai cyber attacchi. Inoltre, le aziende inizieranno a fare investimenti significativi nella gestione dei dati. Ciò comprenderà l’implementazione di una forte strategia di gestione dei dati che preveda la crittografia, la conservazione e l’archiviazione sicure, nonché l’utilizzo di tecnologie avanzate come la blockchain.
Infine, vedremo l’adozione di una cultura della sicurezza informatica che incoraggi la consapevolezza dei rischi e la responsabilizzazione dei dipendenti. Ciò comprenderà anche la formazione dei dipendenti su come riconoscere e affrontare le minacce informatiche e come prevenire gli incidenti di sicurezza.
In conclusione, la cybersecurity sarà una componente fondamentale delle strategie aziendali nel 2023. Le aziende dovranno prendere il controllo dei loro dati e adottare le tecnologie più avanzate per garantire una protezione adeguata. Inoltre, dovranno adottare una cultura della sicurezza informatica che incoraggi la consapevolezza dei rischi e la responsabilizzazione dei dipendenti”.
Cyber security, i trend del 2022: un anno critico per la sicurezza digitale
La chiave? Soluzioni automatizzate più efficaci
La complessità che hanno raggiunto gli ecosistemi digitali, anche delle PMI, impedisce oggi una gestione completa, omogenea e pervasiva della cyber security in ogni suo aspetto. Si pensi banalmente al processare tutti gli alert generati da sistemi di logging ed analisi del traffico. Volumi e complessità costringono oggi ad avere soluzioni automatizzate, che siano in grado di identificare ed intervenire, più efficaci che in passato.
Siamo probabilmente ancora lontani dall’intelligenza artificiale, così come raccontata nei romanzi di fantascienza, tuttavia, la maturità del machine learning permette di trovare prodotti e servizi standard, “da scaffale” verrebbe da dire, che già fanno largo uso di questa tecnologia per analizzare, correlare le informazioni, prendere decisioni ed agire attivamente.
Ove queste soluzioni sono utilizzate nel modo corretto il numero di falsi negativi e falsi positivi decresce in modo ragguardevole, lasciando agli esseri umani, meno efficienti ma più efficaci, l’onere di gestire pochi casi, quelli realmente da attenzionare.
Così l’intelligenza artificiale entra nel mercato della detection
Questo tipo di tecnologia sta influenzando in particolare il mercato della detection, dai SIEM agli EDR, proprio per aumentare la capacità di tali sistemi di identificare le minacce.
Proprio EDR e SIEM sono tra le soluzioni che, per fortuna, stanno ottenendo percentuali di adozione sempre maggiori, cercando di colmare un gap che ci trasciniamo da anni. Sono, purtroppo, ancora così poco adottati da creare un enorme vulnus, tale da essere, in alcuni casi, requisito per la stipula di una assicurazione a copertura del cyber risk.
Per la stessa ragione (necessità di tutela aziendale, di compliance o di requisito contrattuale, di certificazione o di stipula di prodotti assicurativi) sono in crescita anche l’adozione di modelli organizzativi specifici, con funzioni o team dedicati alla cyber security, spesso con un vero e proprio CISO a presidiare il tema, con tutti gli aspetti di governance a contorno (policy, analisi dei rischi, business impact analysis e continuità operativa).
Proprio la quantità di incidenti e conseguenti sinistri aperti, con richieste di danni spesso ragguardevoli, ha portato molte compagnie a stringere le maglie delle assicurazioni cyber, alzando la soglia di assicurabilità, diminuendo i massimali e aumentando franchigie e premi.
Il ransomware fa sempre paura
Ransomware, attacchi o frodi che sfruttano ancora troppo efficacemente il fattore umano e catena di fornitura si dimostrano ancora tra i principali rischi che le Organizzazioni devono affrontare.
È proprio il ransomware a terrorizzare moltissime aziende e pubbliche amministrazioni, spingendo ad adottare le tecnologie ed i modelli organizzativi sopra citati. Il ricorso a tali soluzioni in modalità “as a Service”, tanto per le piattaforme tanto per figure come il CISO, è sempre più frequente, non solo per le PMI, proprio per indirizzare la mancanza di competenze ed infrastrutture interne e per ottenere il corretto bilanciamento costi-benefici.
Per la stessa ragione anche l’adozione di soluzioni che permettano di fare backup offline, air gapped o immutabili è in crescita, proprio per contrastare la tendenza degli attacchi mirati a colpire i backup prima di sferrare l’attacco ransomware.
Anche in questo caso, l’adozione di servizi sempre più complessi e distribuiti costringe ad implementare soluzioni di backup diverse da quelle tradizionali a cui molte organizzazioni si erano storicamente abituate, spesso con costi molto diversi dal passato, ma troppo spesso necessari.
Quando l’ecosistema diventa un elemento di rischio
Proprio l’ecosistema, comprensivo di tutti i fornitori, anche quelli non ICT, è una delle principali fonti di rischio, soprattutto in ambito large enterprise, proprio perché i partner sono spesso aziende di dimensioni più piccole e con minor cultura aziendale e strumenti rispetto al tema cyber security.
Questo si unisce ad un fattore caratterizzante del tessuto socio economico italiano, che vede una schiacciante prevalenza di piccole e micro imprese, spesso indispensabili per l’erogazione di servizi o la realizzazione di prodotti per organizzazioni più grandi e strutturate.
Anche in questo, dal 2018 con l’applicabilità del GDPR, si assistite ad una sempre crescente pressione verso la definizione di misure di sicurezza nei contratti e nei DPA, con un aumento non solo dei contratti che coprono tali aspetti, ma con un sempre maggior dettaglio ed integrazione di presidi in ottica di tutela aziendale e non solo di compliance.
Investimenti in sicurezza informatica, il trend è in netta ascesa
La sfida: essere più sicuri e resilienti dei competitor
Questo ha portato nel tempo la cyber security ad essere “driver di vendita”, perché dimostrare di essere più sicuri e resilienti dei propri competitor è oramai un vantaggio commerciale. Le aziende che prima di altre lo hanno capito, vedono addirittura il marketing e la Direzione Commerciale lavorare con le società di consulenza sui temi cyber, per scrivere le brochure destinate ai clienti.
Questo aspetto è alla base anche di un aumento delle aziende che, per diligenza o richiesta di mercato, hanno intrapreso percorsi di certificazione specifici, come possono essere ISO/IEC 27001, ISO 22301, o altre certificazioni specifiche di alcuni mercati (es. Tisax nell’automotive).
Come cambia il comportamento delle aziende
Proprio questa necessità di presidiare un ecosistema e non un semplice perimetro aziendale sta portando moltissime organizzazioni ad adottare modelli zero trust, con diversi livelli di impegno, pervasività ed efficacia.
Da chi ha iniziato a segmentare l’enorme rete piatta sulla quale ha collegato tutto nei decenni precedenti fino a chi ha utilizzato davvero questo approccio, adottando tecnologie in grado di gestire le identità, i dispositivi, applicare politiche di accesso e controllo e analizzare tutto quel che accade per intervenire in caso di anomalia.
Sempre la comprensione della necessità di presidiare un ecosistema e non un perimetro sta portando molte organizzazioni ad integrare i tradizionali servizi dei SOC con servizi di Cyber Threat Intelligence.
Oggi, infatti, non basta identificare gli attacchi alla propria infrastruttura tecnologica: è necessario identificare eventuali dati esfiltrati ad un partner in vendita sul Dark Web o truffe basate sull’utilizzo del proprio brand ad esempio sui social.
Il mercato della CTI è sempre più maturo, tuttavia sono ancora troppo pochi i servizi che, oltre a notificare il problema, sono realmente in grado di risolverlo. Questo è, troppo spesso, il desiderata inconsapevole di chi sottoscrive questi servizi, vivendo poi la frustrazione di conoscere il problema senza sapere come risolverlo.
Il “gap” delle competenze cyber: ovvero, la realtà delle minacce interne all’azienda
Il fattore umano
Proprio perché, come detto, tali attacchi e truffe si basano sempre più spesso su tecniche che sfruttano le debolezze del fattore umano, sono in fortissima ascesa tutte le iniziative mirate ad aumentare la consapevolezza degli utilizzatori.
Da chi ha iniziato a fare mere campagne spot di phishing, unite a qualche webinar, fino a chi ha adottato sistemi di misurazione della capacità di identificare il phishing in modo automatico e governati dal machine learning sopra citato, a chi ha adottato percorsi di e-learning più completi ed esaustivi da spalmare sul lungo periodo, fino a chi ha adottato piattaforme per supportare i propri utenti in modo contestuale durante le proprie azioni quotidiane, sono moltissime le organizzazioni che hanno intrapreso progetti di awareness.
Come impattano le nuove regole
Questo è spesso dovuto anche ad imposizioni di legge, anche a causa del continuo aumento della pressione di compliance sui temi della cyber security. Oltre al fin troppo citato GDPR, che ancora impegna molti sui temi specifici, si pensi a quanto NIS/NIS2 e PSNC stanno impattando su molte organizzazioni italiane, non solo sugli OSE, ma su tutti i loro fornitori critici. Si pensi a quale “terremoto” rappresenti DORA nel mercato finance o come lo sarà il Cyber Resiliency Act nel mondo del manufactoring in primis.
La strategia dell’ACN
Vedremo per certo il proseguo del perseguire gli obiettivi della strategia nazionale pubblicata dall’ACN, che con il passare del tempo avrà modo di rafforzare e consolidare la sua posizione, vista la sua giovane età, diventando ancora più efficace, continuando a colmare il ritardo con cui ci siamo dotati di una simile istituzione rispetto ad altri paesi.
Un’istituzione che ci permetterà di restare diligenti, e per una volta non fanalino di coda, anche grazie all’integrazione di quanto previsto da NIS e NIS2 con applicazione del PSNC più orientato alle specifiche esigenze nazionali.
Questo corrisponde anche ad un approccio caratterizzato da una vicinanza sempre maggiore rispetto a tutte le Organizzazioni e cittadini, di diverse istituzioni, dall’ACN all’Autorità Garante per i dati personali passando per il CNAIPIC, a mero titolo esemplificativo, che pur dotate di poteri sanzionatori, sono decisamente aperte al dialogo ed al confronto, così da essere sempre più efficaci nella tutela dei propri stakeholder.
Una realtà ancora a macchia di leopardo
A volte si percepisce uno scollamento molto grande, a seconda dell’Organizzazione con cui si sta interloquendo. Se la lamentela che chi si occupava di information security 25 anni fa (“il Board non si preoccupa della sicurezza”) non è più vera (poi sarà da capire il delta tra preoccupazione, budget ed efficacia), oggi ci si trova a fare i conti con organizzazioni che ancora arrancano sui temi del vulnerability management, faticando a fare le remediation a valle dei penetration test ed altre che stanno implementando SOC applicativi rendendo SAST e DAST un servizio continuativo.
Alcune organizzazioni stanno ancora valutando se implementare MFA (oggi presidio indispensabile in qualsiasi organizzazione) e la cifratura dei dischi dei laptop, mentre altri stanno integrando KPI di cyber security nel loro sistema ESG, all’interno del loro bilancio di sostenibilità per aumentare il proprio rating. Tra i due estremi si riscontra al solito una infinita scala di grigi.
Non come chi si occupa professionalmente di cyber security, ma come cittadini preoccupati che i nostri dati vengano gestiti correttamente e che il tessuto economico e sociale del nostro paese e delle realtà che ci circondano quotidianamente siano in grado di resistere all’attuale scenario di rischio, non possiamo che augurarci che il 2023 sia l’anno in cui, anche grazie al sempre maggiore supporto delle istituzioni, si possa assistere ad un balzo in avanti sul tema, che permetta di recuperare anni di ritardo.
