LA GUIDA PRATICA

Covid-19, dal rischio biologico al rischio cyber: requisiti per lo smart working sicuro

La pandemia di Covid-19 ha costretto molte aziende a ricorrere a politiche di smart working per garantire la propria business continuity, esponendo di fatto le proprie infrastrutture a numerose minacce. Ecco i requisiti da rispettare per garantire la necessaria sicurezza del lavoro agile

27 Apr 2020
S
Aldo Sebastiani

Senior Vice President Cyber Security & Digital Competence Center, Divisione Cyber Security di Leonardo


Sono in vigore in Italia, come sappiamo, una serie di provvedimenti predisposti dal governo e finalizzati a contrastare la diffusione del Covid-19 anche con l’adozione di misure restrittive alla mobilità delle persone all’interno del territorio: per tali motivi le diverse organizzazioni, soprattutto quelle a vocazione tecnologica più avanzata, stanno implementando (o lo hanno già fatto) soluzioni di telelavoro o di smart working istituendo o ampliando la possibilità, ai propri dipendenti e collaboratori, di continuare a lavorare utilizzando piattaforme tecnologiche di collaboration e connettività da remoto.

Sotto il profilo della sicurezza cibernetica, l’Italia si trova quindi ad essere uno dei Paesi maggiormente esposti sia a causa dell’esposizione mediatica sia, di conseguenza, per l’interessamento di Threat Actor mossi da differenti motivazioni e consapevoli delle debolezze infrastrutturali dettate dall’attuale scenario in cui il Paese versa.

Questo ha portato nelle ultime settimane ad un incremento delle campagne malspam (che sfruttano le vulnerabilità del fattore umano) per diffondere malware e disinformazione, così come evidenziato dalle società di sicurezza informatica, il Dipartimento di Stato e dai trend topic che associano il tema coronavirus a minacce cyber.

Non tutte le organizzazioni che sono state impattate dalle misure precauzionali legate alla diffusione del Covid-19 sono mature, dal punto di vista tecnologico, per avviare in modo massiccio l’utilizzo dello smart working sicuro dei propri dipendenti/collaboratori.

Molte aziende hanno adottato questo tipo di attività per scongiurare la chiusura e per evitare l’interruzione di servizi core per il business aziendale; si è assistito quindi ad un aumento significativo dell’utilizzo di VPN e di connessioni remote non sempre accompagnate dalle dovute cautele in termini di cyber security ed istruzione ai propri dipendenti.

I reparti IT delle organizzazioni si sono trovati a gestire un nuovo carico della rete mai sperimentato prima dalle proprie infrastrutture a causa di migliaia di videoconferenze, connessioni VPN e trasferimenti di file.

In questi casi esiste il rischio di dare incondizionata priorità alla fornitura di servizi a discapito della sicurezza informatica.

In questo scenario in cui le operazioni di un’azienda dipendono dall’infrastruttura IT / OT caratterizzata da una superficie di attacco molto più ampia a causa dell’uso del lavoro agile, è ancora più importante di prima essere preparati a gestire gli attacchi informatici per ridurre al minimo gli impatti.

Requisiti minimi per lo smart working sicuro

WHITEPAPER
Una piattaforma, infinite comunicazioni. Come facilitare la collaborazione
Marketing
Unified Communication & Collaboration

L’utilizzo dello smart working, o del lavoro agile, deve soddisfare diversi requisiti di sicurezza che possono essere realizzati attraverso una combinazione di misure di sicurezza tecniche e organizzative.

I requisiti di sicurezza minimi da adottare, al fine di garantire l’esercizio sicuro dello Smart Working, prevedono il mantenimento della:

  • riservatezza: assicurandosi che le comunicazioni di accesso da remoto e i dati dell’utente memorizzati non possano essere letti da parti non autorizzate;
  • integrità: rilevando eventuali modifiche intenzionali o non intenzionali alle comunicazioni di accesso remoto che si verificano in transito;
  • disponibilità: assicurandosi che gli utenti possano accedere alle risorse in modo sicuro tramite accesso remoto quando necessario.

Per soddisfare questi requisiti di sicurezza, tutti i componenti (dispositivi client, server di accesso remoto e i server interni a cui si accede tramite accesso remoto) devono essere protetti rispetto una varietà di minacce.

Risulta inoltre fondamentale favorire la diffusione della consapevolezza (awareness) tra i propri dipendenti rispetto ai rischi legati alla cyber security per evitare che possano diventare l’anello debole della catena.

È chiaro che l’implementazione di questi requisiti passa per un percorso di crescita che va immediatamente inserito nelle agende strategiche delle aziende ma che, per essere portato a compimento, richiederà del tempo; ciò non toglie tuttavia la possibilità di introdurre nell’immediato una serie di azioni basilari che mirino a ridurre nel breve periodo il livello di esposizione al rischio cyber ed affrontare in maniera più sicura questa fase così delicata.

Quale approccio adottare

Al fine di garantire l’implementazione e l’erogazione di servizi abilitanti per l’utilizzo sicuro dello smart working, è assolutamente raccomandato un approccio metodologico basato su quanto suggerito dal Framework Nazionale della Cybersecurity, dalle migliori best practice e dagli standard di settore come la NIST Special Publication 800-46 rev2 e la ISO/IEC 27001:2017.

Rimane fondamentale l’esecuzione di un’analisi del rischio cyber basata sul contesto dell’organizzazione, sulla specifica minaccia di quel contesto e dei processi di business essenziali per l’organizzazione stessa.

Se analizziamo un’organizzazione in configurazione smart working si comprende immediatamente che una catena debole (vulnerabile) parte dal sistema informatico a casa dell’utente fino a raggiungere la rete informatica dell’organizzazione, con tutti gli elementi che la compongono.

In particolare, il laptop aziendale è connesso attraverso una rete domestica in cui sono presenti molti dispositivi altrettanto connessi (i.e. gateway residenziale, smartphones, stampanti e Smart TV) e che tipicamente è caratterizzata da una grande superficie di attacco. Una situazione molto diversa dall’infrastruttura aziendale: controllata, monitorata e aggiornata dal punto di vista della sicurezza.

La maggior parte degli attacchi informatici sfrutta le vulnerabilità dei dispositivi di sicurezza (recentemente è stata identificata ad esempio una vulnerabilità critica sui concentratori VPN che sono alla base di moltissime connessioni sicure) o la “debolezza” delle persone, attraverso tecniche di social engineering o mail di phishing al fine di sottrarre, ad esempio, credenziali di accesso alle reti aziendali.

Di seguito, alcune delle principali minacce cyber da tenere in considerazione durante la pianificazione e prioritizzazione delle contromisure da adottare per l’implementazione dello smart working:

Smart working sicuro: cosa possiamo fare

Per fare in modo di ridurre il rischio cyber associato alle attività in smart working ad un livello accettabile è consigliabile seguire alcune linee guida, i cui elementi principali sono riportati di seguito:

  • Espletare l’attività lavorativa esclusivamente attraverso dispositivi forniti dall’azienda (notebook, smartphone o altro); infatti i dispositivi personali tipicamente caratterizzati da policy di sicurezza totalmente soggettive o addirittura inesistenti, determinerebbero l’esposizione ad un elevato rischio cyber; inoltre l’utilizzo di informazioni e dati aziendali sui PC personali del lavoratore espone ad un serio rischio di data leakage, con conseguenti impatti sulla sicurezza delle informazioni aziendali e normativi, in caso di dati in area privacy.
  • Mantenere aggiornati i dispositivi aziendali forniti con le ultime patch di sicurezza e adeguatamente equipaggiati con software antivirus e sistemi EDR (Endpoint Detection & Response); questo permette di ridurre ulteriormente il rischio di compromissioni di questi dispositivi al di fuori della rete aziendale e di comunicare tempestivamente eventuali anomalie ai team IT e cyber security aziendali, per gestire correttamente ed in tempo utile eventuali incidenti. La capacità di risposta agli incidenti offerta da questo tipo di piattaforma è anche utile per la gestione remota di questo tipo di eventi, in quanto permette di interrogare gli endpoint ed effettuare attività di blocco direttamente dal punto centrale di gestione.
  • Prevedere una corretta hardenizzazione dei dispositivi ovvero applicare una configurazione che ne impedisca un utilizzo diverso da quello lavorativo. Bisogna quindi fare in modo, ad esempio, che i dispositivi non possano navigare in internet senza transitare per i proxy aziendali e inibire l’utilizzo delle porte USB per connettere unità di archiviazione di massa, o forzare la cifratura dei dispositivi rimovibili.
  • Intensificare la periodicità di scansioni perimetrali ed interne con strumenti di vulnerability management allo scopo di identificare vulnerabilità, principalmente legate alla gestione del cambiamento (a seguito dell’introduzione dello smart working) e all’estensione del perimetro aziendale ICT, verificando le vulnerabilità sui sistemi server, sui dispositivi gateway che permettono la remotizzazione delle attività e sulle postazioni di lavoro del lavoratore in smart working.
  • Verificare che i gateway VPN, e i dispositivi di protezione perimetrale in genere, siano up to date all’ultima release e all’ultima patch resa disponibile dal vendor, e che il dispositivo sia hardenizzato, eliminando servizi e funzionalità inutili, che non sia esposta l’interfaccia di gestione su rete pubblica, che non siano utilizzate password e account di default/deboli, che vengano utilizzati protocolli sicuri per la cifratura e “cypher suite” robuste.
  • Adottare soluzioni di tipo Early Warning per la tempestiva comunicazione di vulnerabilità e minacce sulle tecnologie particolarmente esposte causa smart working (boundary protection, VPN gateway, workstation & endpoint).
  • Applicare tecniche di virtualizzazione desktop (Virtual Desktop Infrastructure); adottando soluzioni che consentano l’accesso ad asset virtualizzati, interni alla rete aziendale e che permettano quindi di mantenere le informazioni all’interno del perimetro protetto dell’azienda, quali Virtual Desktop Infrastructure/Environment, application streaming o altro).
  • Prevedere sistemi di cifratura dei dati locali (File System/Disk Encryption) al fine di prevenire la perdita di dati critici in caso di furto o smarrimento dei PC dei dipendenti in quanto la mobilità ne aumenta la probabilità di accadimento.
  • Utilizzare esclusivamente connessioni cifrate (Virtual Private Network) per la connessione alle reti aziendali, utilizzando “cypher suite” con l’adeguato grado di robustezza (lunghezza delle chiavi, algoritmi non deprecati, …).
  • Adottare sistemi anti-DDoS per essere pronti a mitigare il rischio di attacchi volumetrici. Infatti, se fino ad oggi le attività svolte da remoto erano una minima parte, ora sicuramente rappresenteranno una quota maggioritaria. Questo significa che una indisponibilità dei sistemi aziendali che terminano le VPN o più in generale dell’accesso alle risorse aziendali, determinerà un blocco o un rallentamento significativo delle attività.
  • Adottare soluzioni multi-carrier che prevedano l’utilizzo di due o più carrier a garanzia della continuità dei servizi erogati e della operatività del proprio personale remoto legati ai disservizi dei carrier, che in periodi di sfruttamento elevato della rete diventano sempre più probabili e frequenti.
  • Istruire inoltre i dipendenti a limitare al massimo la condivisione sui social network di informazioni inerenti alla sfera lavorativa in quanto queste informazioni possono essere facilmente utilizzate da un eventuale attaccante.
  • Evitare infine l’utilizzo dei Wi-Fi pubblici e, per quanto possibile, anche domestici per connettersi alle reti aziendali in quanto vulnerabili e facilmente attaccabili; preferire invece laddove possibile connessioni 3G/4G.
  • Aggiornare le policy di backup in base alle nuove esigenze e criticità emerse.

Smart working sicuro: come strutturarsi

È altresì importante predisporre e identificare un modello organizzativo volto a garantire la segregazione delle responsabilità e l’efficienza dell’implementazione delle azioni nonché la loro diffusione e monitoraggio e che includa:

  • Security Team IT/OT: dedicato all’identificazione delle misure di sicurezza adeguate al contesto al fine di mitigare i rischi;
  • Operation Team IT/OT: impegnato nell’implementazione delle misure di sicurezza secondo quanto definito dal Security Team;
  • Communication Team: finalizzato a diffondere le policy di sicurezza e l’awareness secondo un Piano ben definito e diversificato a seconda del target a cui è indirizzato;
  • Support Team: volto a supportare gli utenti durante lo svolgimento delle attività in smart working. Può essere uno dei primi canali in grado di identificare eventuali eventi di sicurezza dal punto di vista del fattore umano che sono poi trasmessi e gestiti dal Security Team IT/OT.

Per concludere

È fondamentale investire sullo sviluppo di un piano di gestione delle crisi informatiche e prepararsi a gestire l’inevitabile attraverso esercitazioni e simulazioni di attacchi informatici in quanto, in situazioni come quella che sta vivendo il nostro Paese, il rischio biologico si trasforma anche in rischio cibernetico e la probabilità di subire incidenti informatici aumenta.

Le organizzazioni più avanzate si rendono conto che la resilienza richiede competenze che vanno ali di la degli aspetti tecnologici ed informatici in quanto gli attacchi, sia pur partendo da basi tecnologiche, impattano l’intera struttura aziendale che deve conseguentemente essere pensata ed organizzata per resistere e continuare a funzionare. Sono necessari un’attenta pianificazione, coordinamento, collaborazione e manager adeguatamente preparati per gestire con successo un grave incidente informatico e la situazione di crisi da esso derivante.

Crisi come quella attuale possono far riflettere sull’importanza, per molte organizzazioni, di investire nella cyber security, nel processo di trasformazione digitale e nella gestione delle risorse umane.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5