Poste Italiane è una Spa dove il socio di maggioranza è lo Stato Italiano, tramite il MEF, ma è anche simbolo di un’identità. Come il campanile e il municipio, secondo il Presidente Sergio Mattarella. Offre servizi a 360 gradi e sempre più digitali – postali, finanziari, assicurativi, energetici e telefonici -, sempre più da proteggere in ambito cybersecurity.
Oggi, in ogni settore, è necessario conoscere il proprio perimetro d’attacco per difendersi da attacchi in aumento. E il perimetro di Poste Italiane è enorme. Forte di 160 anni di storia, Poste conta, infatti, una rete di circa 12.800 uffici postali e totalizza 586 miliardi di euro di attività finanziarie, secondo la relazione annuale del 2021. Un boccone ghiotto per un cyber crime sempre più affamato di soldi e dati. Anche da rivendere al mercato nero o da riutilizzare per sferrare altre lucrose attività criminali.
Poste Italiane deve difendersi non sono solo da attacchi DDoS, ma anche ransomware. Inoltre, i rischi cyber che minacciano i suoi 35 milioni di clienti e i suoi 121.000 dipendenti (anche in smart working) sono innumerevoli. Backdoor, exploit legacy di vulnerabilità note non risolte, phishing o smishing, campagne malware, tecniche di social engineering per svuotare conti o carpire credenziali.
Tuttavia, l’azienda tricolore si difende con grande impegno e risorse. Infatti “la strategia difensiva di Poste Italiane è imperniata su quattro direttrici fondamentali”, commenta Poste Italiane, “prevenzione dei rischi, educazione, tecnologie, ricerca e innovazione”.
“La strategia difensiva elaborata da Poste Italiane è sicuramente vincente”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “in quanto le direttrici su cui è imperniata contemplano gli aspetti tecnologici così come il fattore umano“. Ecco quali rischi corrono i servizi di Poste Italiane e i suoi utenti, assediati dai criminal hacker, e qual è la strategia dell’azienda per proteggersi.
Indice degli argomenti
I servizi di Poste Italiane: i maggiori rischi cyber
I servizi di Poste Italiane sono molteplici:
- raccomandate cartacee e PEC;
- invio e ritiro pacchi (delivery);
- SPID;
- telefonia, fissa e mobile;
- servizi energetico con Poste Energia;
- servizi bancari (Conto corrente, Postepay, Risparmio postale, Investimenti, prestiti);
- assicurazioni (Poste Assicura, Poste Vita, Poste Guidare Sicuri);
- filatelia.
Sono servizi essenziali, molto appetibili per il cyber crime sempre alla ricerca di nuove modalità per arricchirsi, attraverso attività fraudolente o attacchi estorsivi. Negli Stati Uniti i servizi energetici sono i più bersagliati da cyber attacchi, per esempio.
Dal report 2022 della Polizia postale emerge che il giro d’affari delle cyber truffe è aumentato a doppia cifra. Nel frattempo sono accresciute anche le tensioni geopolitiche che ipotecano la sicurezza informatica, attaccando servizi istituzionali o popolari.
Sono più che raddoppiati – a quota 114 milioni – gli importi rubati online nel 2022. L’aumento è significativo (+58%) sia dei casi trattati che degli indagati.
“Poste custodisce asset strategici per il Paese che giustificano l’adozione di misure di difesa eccezionali”, spiega Poste Italiane, “sostenute da investimenti proporzionali alla propria esposizione nel mondo dei servizi digitali. Organizzazione, persone, regole, tecnologie, controlli e miglioramento continuo contribuiscono ognuno per la propria parte a mitigare continuamente il rischio di attacchi cyber, inclusi quelli attuati sfruttando i famigerati ransomware”.
Allarme ransomware
Sebbene gli incidenti legati ai ransomware siano in leggero calo (-4% dal 2021 al 2022), secondo un report di IBM, grazie a una più efficace attività di rilevazione e prevenzione, la loro evoluzione rappresenta un campanello d’allarme. Infatti il tempo medio per terminare un attacco ransomware è passato da 2 mesi a meno di 4 giorni. Ad allarmare gli esperti è anche l’integrazione di backdoor, dove il 67% di questi casi si riferisce proprio a tentativi di attacchi di tipo ransomware.
Il ransomware è dunque sempre più temibile, non solo perché chiede un riscatto, ma anche per la pressione psicologica che esercita sulle vittime. Secondo la società d’analisi di Gartner, il 75% delle aziende subirà un attacco di questo tipo attacco entro il 2025. Bisogna dunque implementare misure preventive come backup regolari e software di sicurezza.
Non solo phishing
Ma non ci sono solo i ransomware a minacciare Poste Italiane e i suoi utenti. Criminal hacker senza scrupoli usano le più svariate tecniche e truffe per rubare le credenziali attraverso fasulle app o siti truffaldini che imitano la grafica di siti autentici molto popolari, proprio come quello di Poste Italiane.
I cyber criminali diffondono link malevoli che indirizzano verso siti truffa, diffusi attraverso phishing (via email) o smishing (via SMS), adottando tecniche di social engineering. Di solito inviano messaggi mail o Sms allarmanti che invitano a ciccare su un link, inducendo le vittime ad inserire le credenziali autentiche da trafugare su siti truffaldini.
I messaggi sono di varia natura: spaziano dalla falsa consegna di un pacco a quelli su presenta assistenza bancaria o assicurativa ecctera. Nessuna azienda chiederebbe agli utenti di inserire credenziali, cliccando su un link. Le comunicazioni avvengono dentro le app ufficiali o all’ufficio postale.
“La sforzo di tutto il personale”, evidenzia Poste Italiane, “per contenere adeguatamente i rischi, è sostenuto da politiche di educazione alla sicurezza e dall’impegno costante nel promuovere comportamenti consapevoli e informati“.
“Tali sforzi”, afferma l’azienda, “includono attività di formazione del personale di supporto alla clientela che deve necessariamente poter fornire competenza e indirizzo alle vittime di tentativi di frode o raggiri“.
“Verifica Postepay”, la truffa corre su sms rubando soldi e dati
Come proteggere le credenziali
La prima arma della cyber difesa da parte degli utenti è la consapevolezza. Ma bisogna anche utilizzare tutte le tecnologie esistenti per ridurre i rischi e le loro conseguenze.
“L’azienda”, spiega Poste Italiane, “sostiene continuamente campagne di education & awareness per la clientela attraverso i propri canali online e implementa da tempo sulle proprie applicazioni – web/mobile – sistemi per l’autenticazione multi-fattore e biometrica, svolgendo una intensa attività di monitoraggio anti-frode e anti-abuso che viene portata avanti sfruttando tecnologie per la Big-Data Analytics e sistemi basati su Intelligenza Artificiale per l’individuazione di schemi d’attacco e di frode invisibili all’occhio umano“.
Gli utenti devono impostare password forti: contenenti caratteri alfanumerici, un mix di minuscole e maiuscole, intercalati da caratteri speciali). Inoltre devono implementare sistemi di autenticazione a due fattori e biometrica, per difendere le proprie credenziali, le chiavi per aprire le cassaforti digitali. Infine, non bisogna mai condividere la stessa password con più servizi, per evitare furti a catena.
Poste Italiane, SMS truffa chiede di “convalidare i dati”: come funziona
Monitoraggio delle attività
“Un consistente presidio di risorse umane supervisiona le operazioni di sicurezza e analizza le minacce incombenti”, illustra Poste Italiane, “informando tempestivamente anche direttamente in clienti interessati. Per Poste Italiane le attività di cybersecurity e di tutela dei clienti, oltre a fondarsi su una puntuale azione di contrasto del crimine, rappresentano dei valori fondanti della propria responsabilità sociale d’impresa“.
L’assenza di incidenti gravi testimonia lo sforzo di Poste Italiane, capace di aver maturato programmi di gestione delle falle, a partire da una più accurata e puntuale comprensione del perimetro di attacco e dalla necessità di definire le priorità delle patch in base al rischio delle vulnerabilità.
“L’impegno dell’azienda è tangibile ed è grazie ad esso che sebbene i suoi sistemi siano costantemente sotto attacco, non si siano registrati ad oggi incidenti gravi. Il CERT (Computer Emergency Response Team) di Poste Italiane è un centro di eccellenza che ritengo possa esser preso a modello soprattutto per quanto concerne i processi alla base delle attività di Threat Intelligence e Data Analysis“, conferma Paganini.
Poste Italiane: la strategia cybersecurity per mitigare i rischi
Dal report annuale di IBM, l’Italia rappresenta l’8% di tutti gli attacchi in Europa. Le aziende più nel mirino, anche di estorsioni, dopo quelle del manifatturiero, sono quelle del comparto finanziario e assicurativo, in cui opera Poste Italiane.
“Oltre a queste direttrici (prevenzione dei rischi, educazione, tecnologie, ricerca e innovazione, ndr), lo sguardo va alle necessarie attività di prevenzione“, illustra Poste Italiane: “Nel contesto della ‘quarta rivoluzione’ il cyber spazio è la prima frontiera da presidiare, a dimostrazione di quanto sia difficile trovare un equilibrio sostenibile tra la libertà che innerva e nutre la democrazia e la sicurezza, da cui dipende la sua stessa tenuta”.
La cyber sicurezza è una priorità proprio per difendere servizi essenziali e infrastrutture critiche, da attacchi che aggrediscono il risparmio privato, colpiscono l’identità digitale, dati sensibili, attraverso il furto di credenziali o di identità.
Inoltre, il lavoro ibrido, cui ricorre parte del personale, ha ampliato il perimetro d’attacco, rendendo necessario il monitoraggio. Bisogna sempre sapere chi accede e cosa fa con quei dati, per bloccare accessi non autorizzati od altro.
Infatti “non vi sono oggi solo target ‘protetti’ attraverso i sistemi di difesa che aziende e istituzioni devono mettere in atto; si aggiungono almeno altri due temi sui quali è necessario focalizzarsi: il prepotente progresso scientifico e tecnologico che sta modificando i modi di concepire e praticare il lavoro, e l’aggiornamento costante dei saperi e delle professionalità che operano nell’ambito della cybersecurity, cui viene ormai riconosciuto un valore strategico, tanto da figurare ai primi posti nell’agenda di molte aziende e di molti Stati nazionali, in uno scenario geopolitico in costante divenire”, sottolinea Poste Italiane.
AI e Data analysis per un approccio proattivo
Uno scenario geopolitico complesso dove una buona difesa non è più sufficiente, ma serve una strategia di sicurezza proattiva e basata sulle minacce, per evitare l’infinita rincorsa degli aggressori. Il 44% delle estorsioni osservate è infatti avvenuto in Europa, dove gli attori delle minacce hanno tentato di sfruttare le tensioni geopolitiche.
“Siamo chiamati a disciplinare gli aspetti della sicurezza informatica in un mondo complesso, pensiamo al ‘Metaverso’ ed alle sfide dell’AI, di cui ancora oggi non conosciamo l’esatta geografia e le direttrici di sviluppo, ma non possiamo permetterci di farci trovare impreparati”, prosegue Poste Italiane: “Ecco, la sfida che si profila oggi per chi opera nella sicurezza informatica si intreccia direttamente con la continua innovazione tecnologica, che va compresa e governata, attraverso tutti gli strumenti disponibili: competenze, tecnologie, investimenti, sperimentazioni eccetera”. “Senza dimenticare il piano etico e giuridico, in un fitto intreccio di saperi che saranno tutti necessari per dare le risposte di tutela e protezione che i cittadini e le nostre aziende si aspettano”, evidenzia Poste Italiane.
Priorità: focus sul perimetro d’attacco
Conoscere la propria superficie d’attacco ed essere consapevoli del suo ampliamento e dell’aumento della complessità è il primo passo per impostare un piano di cybersecurity.
“L’aumentata superficie di attacco di servizi ed infrastrutture strategiche per il sistema Paese e gestite dall’azienda”, mette in guardia Paganini, “necessita di importanti investimenti soprattutto in ricerca ed innovazione“.
“La capacità di Poste Italiane di sviluppare ed adottare nuove tecnologie”, sottolinea l’esperto di cybersecurity, “come soluzioni basate su l’intelligenza artificiale, è fondamentale per riuscire a identificare e mitigare minacce sempre più sofisticate quanto evasive“.
Poste Italiane: la formazione rafforza la cybersecurity
Il 90% dei CISO globali considera il fattore umano come la maggior vulnerabilità anche in azienda.
“Da diversi anni Poste Italiane organizza test di permeabilità ad attacchi phishing con l’intenzione di misurare e mantenere il livello di esposizione a questo tipo di minacce e allo stesso tempo mantenere alta l’attenzione del personale al problema“, spiega Poste Italiane: “L’educazione di tutto il personale alla ‘cyber hygiene’ è un obiettivo perseguito con perseveranza da molti anni, sostenuto da una piattaforma per la formazione online e da materiale formativo di elevata qualità, sempre aggiornato sulle più importanti minacce informatiche”. Infatti è necessario abbracciare pratiche non solo formative, ma anche esercitazioni pratiche, da svolgere con regolarità attività, come per esempio i test di phishing diventati ormai di routine.
“Bisogna anche partire dall’assunto di base che la formazione è davvero un asset strategico, nell’orizzonte mutante di quella che Luciano Floridi ha definito ‘infosfera’, una condizione in cui reale e virtuale si mescolano in maniera inscindibile e continuo“.
“Un’azienda virtuosa, consapevole della debolezza intrinseca nel fattore umano, sviluppa percorsi formativi volti ad incrementare la conoscenza delle minacce”, aggiunge Paganini.
Esercitazioni per alimentare l'”intelligenza collettiva”
“Ecco perché anche le esercitazioni aiutano a costruire ed alimentare una ‘intelligenza collettiva’, fatta di expertise, sensibilità, competenze e saperi diversi“, evidenzia Poste Italiane: “Per raggiungere questo obiettivo, non basta lavorare solo all’interno delle nostre organizzazioni produttive, peraltro già fortemente cambiate dallo smart working, ma è utile un confronto costante con tutto ciò che avviene fuori dal circuito lavorativo. Diventa sempre più importante la progettazione di momenti di incontro, comprensione della società attuale e dei social network con iniziative di coinvolgimento delle scuole e del mondo della ricerca. Quando si parla di modelli avanzati di security by design ci si riferisce alla capacità sinottica di affrontare questa che è una delle grandi questioni del nostro tempo”.
“Poste Italiane ha nella crescita professionale del suo personale un elemento cruciale della sua strategia“, conferma Paganini, “crescita che deve esser collettiva affinché si possano apprezzare nel tempo i benefici”.
In futuro servirà implementare anche la neuro security, per richiamare l’attenzione degli utenti su alert e notifiche di sicurezza, anche con la neuroscienza.
Cyber resilienza, l’approccio di Poste
Le aziende stanno adottando strategie di cyber resilienza. L’approccio integrato alla cyber resilience permette di anticipare, proteggere, resistere e recuperare più rapidamente in caso di attacco. “Poste Italiane ha un moderno sistema tecnico/organizzativo per la prevenzione, gestione e contenimento dei rischi ICT e conseguentemente degli incidenti informatici”, illustra Poste Italiane: “Presidia tutti i propri canali digitali con soluzioni adatte alle peculiarità degli stessi; presidia al contempo i sistemi e le infrastrutture capillarmente ramificate sul territorio, gli operativi in mobilità, i data center e i sistemi di comunicazione, con una particolare attenzione alla resilienza e alla business continuity“.
Si tratta di un “approccio” che “ha radici lontane negli anni e nasce da importanti visioni e da ingenti investimenti in tecnologie, processi e risorse umane dedicate a questo aspetto”, continua Poste.
Poste Italiane: cybersecurity risk-centric per DORA
L’adozione di processi automatizzati di valutazione e risposta agli incidenti consentono ai team di focalizzarsi sui problemi principali e più ad alto rischio. Anche Poste Italiane, come gli istituti bancari, sta lavorando per adottare il Regolamento DORA (Digital operational resilience act).
“Poste Italiane si prepara con questi presupposti ad accogliere senza grossi impatti le interessanti novità introdotte dal Regolamento DORA, con la serenità di chi da tempo fonda le proprie strategie e assegna le priorità di intervento in un’ottica ‘risk centric’, sulla base di analisi oggettive e metodi quantitativi e sistemici“, dichiara Poste Italiane per spiegare il suo approccio alla cybersecurity.
Cyber security nelle banche e nel fintech: è decisivo adottare prima possibile il DORA
Cantieri all’opera
“Abbiamo già avviato diversi cantieri sulla cybersecurity Readiness al nuovo regolamento DORA“, continua Poste, “che riguardano molteplici aspetti di governo e gestione del rischio ICT, l’aggiornamento delle librerie e delle contromisure di sicurezza, la rivisitazione e l’aggiornamento delle metodologie di Analisi del Rischio e di valutazione della minaccia Cyber, fino l’aggiornamento dei ruoli e delle responsabilità di ciascun presidio interno, introducendo i principi di Security by Design a tutti i livelli e garantendo la massima attenzione agli aspetti di aggiornamento e formazione degli specialisti di sicurezza, dei dipendenti e dei vertici aziendali su queste tematiche. Ognuno al proprio livello deve essere infatti consapevole dei rischi e dell’importanza del proprio ruolo nella loro gestione: la centralità del fattore umano per chi fa il nostro mestiere rimane di cruciale importanza per far bene tutto il resto”.
Conclusioni
I servizi postali nazionali, offerti sia online che presso gli uffici postali, rispondono a una molteplicità di esigenze, dunque minimizzare i rischi è cruciale. I 35 milioni di italiani che si affidano a questa società, così ramificata e con una diffusione così capillare, devono poter contare negli investimenti di Poste Italiane in cybersecurity.
L’impegno di Poste c’è, ma, certamente, si può e si deve fare di più, soprattutto nell’ambito della protezione del dato. Dato che ormai gira in chiaro ovunque, dalle app ai fogli Excel scambiati via mail fino al cloud: serve l’adozione di una crittografia che raggiunga il dato ovunque, in prospettiva quella omomorfa.
Le aziende come Poste Italiane, secondo gli esperti di cybersecurity, devono iniziare a pensare a sostituire gli ormai obsoleti algoritmi fattoriali RSA con gli algoritmi quantum safe. Sono processi lunghi e complessi, ma necessari.
Infine la preparazione per DORA non sarà una passeggiata, nonostante i buoni propositi di Poste. “Certo che Poste Italiane si stia preparando alle novità introdotte dal Regolamento DORA”, mette in guardia Paganini, “ritengo tuttavia che la sua adozione sia tutt’altro che semplice proprio a causa della complessità dei suoi processi. Ritengo sia fondamentale non sottovalutare l’impatto che il nuovo regolamento possa avere sulla strategia aziendale nei prossimi mesi”.
Sono 16 milioni i cittadini italiani che vivono in Comuni con meno di quindicimila abitanti. Pari all’80% del nostro territorio. “Poste Italiane ha conservato gli uffici postali nei piccoli centri. Insieme al campanile, alla piazza del municipio, al medico di base, gli uffici postali rappresentano gli elementi di riferimento delle identità”, ha detto il Presidente della Repubblica, Sergio Mattarella, in un evento recente. Un’identità da difendere con la cybersecurity e innovazione e ricerca. Non a caso una delle direttrici della cyber difesa di Poste.
