La cybersecurity nel settore pubblico è sempre più un fenomeno da tenere sotto controllo. Ecco come fare

La cybersecurity nel settore pubblico

Non c’è niente di meglio di una pandemia globale, con i lockdown sempre dietro l’angolo, per mostrare quanto il settore pubblico sia dipendente da infrastrutture digitali obsolete. Mentre il devastante attacco “sunburst” di SolarWinds ha fatto notizia nel 2020 per le ripercussioni subite da aziende private come Cisco, Microsoft e migliaia di organizzazioni del cliente, c’è una buona probabilità che gran parte di esso sia un danno collaterale volto a colpire un bersaglio sempre più redditizio: il settore pubblico. L’attacco SolarWinds, che è passato inosservato per mesi, ha colpito anche la NATO, il governo britannico, il Parlamento Europeo, e persino il Ministero del Tesoro statunitense. Tutte istituzioni del settore pubblico che detengono un gran potere e dati estremamente sensibili.

Il settore pubblico è sempre più minacciato durante la pandemia

Mentre la velocità di trasformazione può variare da Paese a Paese, il settore pubblico nel suo insieme sta gradualmente crescendo a livello digitale. Nonostante tutto, è risaputo che gli ingranaggi del Governo si muovano molto lentamente. Molte organizzazioni pubbliche nonostante dispongano di poche risorse sono oberate, in particolare quando si tratta di questioni di sicurezza informatica, e gli hacker ne sono a conoscenza. Il 2021 Mid-Year Cyber Attack Trends Report  di Check Point evidenzia quanto siano diventati ricorrenti gli attacchi alle organizzazioni del settore pubblico durante la pandemia. A livello globale, le organizzazioni governative sono ora uno degli obiettivi più comuni per gli hacker, secondo solo a quelli dei settori dell’istruzione e della ricerca. Con un 93% di aumento dei cyberattacchi globali riportato da Check Point dal 2020-21, risulta che molti di questi siano stati orchestrati contro enti pubblici, ma perché?

Il settore è ora considerato un bersaglio di grande valore dagli hacker

Il settore pubblico potrebbe offrire bersagli più facili del settore privato a causa di una tecnologia obsoleta, di finanziamenti scarsi, di formazione inadeguata o di una combinazione dei tre, ma è abbastanza remunerativo da attrarre le organizzazioni di criminali informatici? 

I dati sono di grande valore. Questi possono essere estorti o venduti per profitto. Se un gruppo di aggressori dovesse rubare dettagli di carte di credito di migliaia di persone hackerando un’organizzazione privata, come una banca o un retailer online, otterrebbero 20 dollari per ciascuna se messi all’asta sul dark web. Se lo stesso gruppo attaccasse un trust del NHS nel Regno Unito e rubasse le informazioni mediche di qualsiasi individuo, il loro profitto potenziale salirebbe alle stelle e gli farebbe guadagnare più di 480 dollari per ciascuno. E questo non tiene nemmeno conto dell’importo che potrebbero estorcere dagli stessi trust presi di mira. Se si aggiunge poi il fatto che le organizzazioni del settore pubblico sono spesso composte da una quantità di dati pazzesca, per un hacker risulta semplice sfruttare una lacuna nelle loro difese e ciò che c’è in palio spesso è di grande valore.

Il settore pubblico ha bisogno di rivedere le risorse più attentamente

A differenza del mondo commerciale, le organizzazioni del settore pubblico non sono orientate al profitto e non possono facilmente giustificare l’aumento della spesa IT come una semplice misura preventiva. Un anno dopo il famigerato attacco WannaCry nel Regno Unito, che ha tenuto in ostaggio i computer del NHS, il governo ha concordato un accordo da 207 milioni di dollari con Microsoft per dotare tutti i computer del NHS dell’ultimo sistema operativo Windows 10, e garantire che tutte le impostazioni di sicurezza fossero aggiornate. Tutto questo va bene, ma c’è voluta una violazione catastrofica che ha messo a rischio le cartelle cliniche dei pazienti per ottenere l’approvazione del budget. Il settore pubblico è, quasi per definizione, reattivo invece che proattivo quando si tratta di digital transformation. È lì per servire, non per guadagnare, e questo lo lascia vulnerabile per natura.

Parte di questa vulnerabilità è dovuta senza dubbio alla perdita di controllo attraverso l’esternalizzazione verso terzi. In apparenza, le capacità informatiche del settore pubblico e dei suoi dipendenti sono più forti di quanto alcuni di questi incidenti potrebbero far pensare. Se prendiamo il caso del Regno Unito, il report annuale del Governo rivela che il settore pubblico è in realtà sorprendentemente sicuro quando si tratta di eseguire compiti avanzati di sicurezza informatica. Mentre un quarto di tutte le imprese dice di non essere fiducioso quando si tratta di test di penetrazione – per esempio, più dell’80% delle organizzazioni del settore pubblico è più che fiducioso nelle loro capacità di test. Allo stesso modo, 1 azienda su 10 afferma di non fare molto affidamento quando si tratta di monitoraggio degli utenti, ma nessun ente del settore pubblico segnala un problema simile.

È solo quando leggiamo più a fondo il report, che iniziano ad emergere i veri problemi. Un quarto delle organizzazioni del settore pubblico ha solo un membro del personale responsabile della sicurezza informatica e la percentuale di organizzazioni del settore pubblico, che esternalizzano funzioni di sicurezza di base come firewall, privilegi utente e backup dei dati, per esempio, supera di gran lunga quella del settore privato. Più del 95% di tutte le organizzazioni del settore pubblico esternalizza le configurazioni firewall a terzi; più dell’80% si affida esclusivamente a terzi quando si tratta di risposta agli incidenti e recupero; e quasi la metà (48%) esternalizza anche il controllo dei diritti di amministrazione degli utenti interni che, a meno che non abbiano un rapporto molto stretto con il loro partner IT terzo, potrebbe avere ripercussioni devastanti sulla sicurezza.

Così, mentre il settore pubblico potrebbe essere fiducioso nelle sue capacità informatiche, questa fiducia potrebbe essere mal riposta.

Il settore non deve sprecare soldi

Nel caso non l’abbiate notato, il tema comune è la mancanza di risorse interne e di controllo. La tecnologia è disponibile, ma solo se il settore pubblico è disposto a continuare a sopportare il “debito tecnologico” che sta accumulando attraverso la sua eccessiva dipendenza dalla tecnologia interna obsoleta e dalle soluzioni esterne di cybersecurity.

Con un panorama di minacce che sta attualmente superando le capacità di molte organizzazioni private, i governi devono iniziare a pensare molto attentamente ai loro budget per la sicurezza informatica, a quanto delle loro soluzioni di sicurezza sono esternalizzate e a come possono migliorare la loro condizione, senza continuare a sprecare soldi. Alcune misure essenziali che le organizzazioni potrebbero fare includono:

  • Prevenire le minacce persistenti avanzate e gli attacchi zero-day

L’implementazione di una protezione integrata e approfondita che permetta a un ente del settore pubblico di rilevare e rispondere a più vettori di attacco contemporaneamente è fondamentale nel 2021. Dovrebbero scegliere una soluzione integrata che utilizzi non solo protezioni antivirus e IPS, ma anche tecnologie anti-bot e firewall. L’utilizzo di intelligence in tempo reale proteggerà anche dagli exploit zero-day come la violazione di SolarWinds.

  • Monitoraggio e diagnosi continui

Le organizzazioni del settore pubblico sono uniche in quanto hanno spesso bisogno di massimizzare la sicurezza attraverso reti senza confini. Per far luce sulle attività malevoli, la visibilità a 360 gradi e la capacità di monitorare continuamente, le proprietà IT in tempo reale sono assolutamente cruciali. Abbiamo superato il punto in cui le aziende possono semplicemente aspettare fino a quando non arriva un audit per esporre qualsiasi vulnerabilità; hanno bisogno di essere proattive con strumenti come test di penetrazione e configurazioni di sicurezza.

  • Sicurezza cross-device

Gli endpoint degli utenti sono aumentati drasticamente nell’ultimo decennio e andranno ad aggiungersi sempre più dispositivi a questo mix. Le organizzazioni del settore pubblico devono utilizzare una sicurezza integrata che sfrutti una struttura di protezione unica per i dispositivi mobile.