E’ fissato per martedì 27 ottobre 2020 alle ore 14.30 l’appuntamento con un’interessante tavola rotonda organizzata da Axis Communications per fare il punto sulla questione più che mai di attualità della sicurezza delle infrastrutture critiche (iscriviti qui).
Gli stakeholder coinvolti: AgID, l’Agenzia per l’Italia Digitale, AIPSA, l’Associazione Italiana dei professionisti della security aziendale, e Clusit, l’associazione italiana per la sicurezza informatica, faranno il punto della situazione alla luce degli scenari in continuo divenire imposti dallo scoppio della pandemia globale di Covid-19.
Andrea Monteleone, Direttore Commerciale per l’Italia di Axis, ci ha anticipato i temi che saranno al centro del dibattito, fornendoci una panoramica più che esaustiva sui nuovi pericoli in cui incorrono le infrastrutture critiche a livello di sicurezza, focalizzandosi poi sul più corretto approccio da adottare e su come dovranno sempre più cambiare le cose in vista dell’ottenimento di un sistema sicuro by-design e il più gestibile possibile.
Partiamo subito dalla situazione attuale: una fase che viene definita di ‘nuova normalità’ ma dove tutto è in continua evoluzione e viviamo in un clima di incertezza. Quali sono i principali rischi informatici per le infrastrutture critiche?
“Il numero e la dimensione degli attacchi informatici sono aumentati. Si è ampliata la superficie di attacco e sono cambiate le modalità, i fini e gli obiettivi dell’attacco stesso, ora si cerca di sfruttare le ‘sviste’ degli utenti.
Da un lato i servizi erogati da quelle che si definiscono infrastrutture critiche, secondo quanto indicato nella normativa NIS, sono diventati di fondamentale importanza – oggi non possiamo pensare a un mondo senza connettività o elettricità, per esempio – dall’altro, per fare un esempio, la possibilità di lavorare da remoto ha aumentato il numero dei dispositivi connessi e, di conseguenza, il numero dei potenziali entry point che il pirata informatico può sfruttare per accedere in modo fraudolento alle infrastrutture e ai dati delle aziende”.
Quindi si è estesa la superficie d’attacco e insieme sono andate ad affinarsi anche le modalità con cui si attacca…
“Se prima l’attacco era finalizzato prevalentemente a guadagnare visibilità e prestigio personali, ora l’obiettivo principale è un altro: fare soldi. Ma non solo. In alcuni casi il fenomeno può diventare ancora più complesso e, potenzialmente, pericoloso: è riconducibile ad attività di ‘guerra cyber’ che può addirittura degenerare verso attacchi terroristici.
Ma queste sono le tematiche sottese alla normativa NIS…
“Sì, la NIS va a promuovere la cultura della sicurezza proprio delle infrastrutture critiche, che si appoggiano pesantemente alle infrastrutture ICT, oltre alla possibilità, con il patto intrinseco tra pubblico e privato che si genera, di rendere resiliente il Sistema Paese.
Il punto, qui, è che uno dei principali rischi informatici è quello di perdere il controllo della propria infrastruttura, così come l’accesso alle informazioni chiave o la loro perdita”.
Quindi quali sono i nuovi asset da tutelare e proteggere in questa fase particolare?
“Oggi i cyber criminali sfruttano l’ambito ICT per avere accesso a tutto ciò che offra loro la possibilità di fare soldi, come dati e informazioni. Questi sono, quindi, i nuovi asset da proteggere.
Sono all’ordine del giorno casi di attacco ad aziende con l’esfiltrazione di dati che in prima istanza possono sembrare insignificanti, ma che poi invece si rivelano una possibile fonte di guadagno per chi ne è entrato in possesso in maniera illecita. Si pensi, ad esempio, alla quantità di dati personali raccolti da chi produce dispositivi per lo sport ed il benessere: battito cardiaco, ritmo del sonno e così via che vengono memorizzati sul cloud. Questi stessi dati, associati alla localizzazione del loro proprietario, potrebbero essere utilizzati per speculazioni di tipo assicurativo”.
La situazione è quindi profondamente cambiata rispetto agli albori del web…
“I primi hacker e geek erano quelli che riuscivano a violare le protezioni di un sito web riuscendo a modificare l’home page di un sito. Oggi l’analisi, lo sfruttamento e la conoscenza delle dinamiche di funzionamento del software e dell’hardware sono così elevate che nessuno viola più l’hardware. Si sfrutta l’utente per poter avere accesso alle informazioni e farne un uso non etico e remunerativo. Ecco perché diventa fondamentale mettere in campo procedure, metodologie di controllo e verifica, oltre alla formazione, a tutti i livelli e per tutti gli stakeholder coinvolti”.
In questo scenario la tecnologia come può venire in aiuto alle aziende? In particolare che ruolo può avere la manutenzione proattiva?
“Volendo semplificare, possiamo pensare ad un sistema di sicurezza come ad un meccanismo composto da tre parti: la componente fisica (hardware e software), la componente umana (chi governa il tutto) e le procedure (il manuale di istruzioni).
La tecnologia è il componente più “delicato” perché è quello cardine.
Come ogni cosa, la tecnologia non è esente da difetti o falle, più o meno visibili e più o meno critiche, quindi la manutenzione proattiva, intesa come costante monitoraggio e aggiornamento, è il primo tassello di un processo molto più articolato e complesso, a cui tutti, dall’Amministratore di Sistema al Security Manager e così via, dovrebbero pensare per tempo.
In sintesi, la manutenzione va pianificata e va di fatto gestita in maniera proattiva. In un contesto dove i sistemi esistenti sono sempre più complessi e integrati essere proattivi e mantenere sempre i propri sistemi aggiornati e protetti è fondamentale importanza per mantenere una sorta di vantaggio competitivo nei confronti dei potenziali attaccanti”.
Cosa ci può dire invece a proposito dell’approccio Zero Trust? Che ruolo gioca nelle dinamiche di sicurezza moderne?
“L’approccio Zero Trust rientra nel tema della consapevolezza e della gestione coerente, se vogliamo anche compartecipata, della tecnologia: Ict Manager, CSO, DPO ma anche dipendenti, collaboratori esterni e semplici fruitori, che devono diventare attori sempre più consapevoli, considerato che sono il target principale degli attacchi.
L’hacker attacca nel modo più semplice e devastante possibile. Oggi il maggiore impatto con la minore spesa si ottiene colpendo il soggetto più debole: l’utente”.
E qui ci leghiamo al tema dell’approccio Zero Trust e della complessità…
“Ogni dipendente utilizza in media tre dispositivi connessi ad internet in ambito professionale: computer, smartphone e tablet, non necessariamente tutti rilasciati dall’azienda, che si connettono con tecnologie e standard diversi alle infrastrutture aziendali. Se moltiplico tutto questo per il numero dei dipendenti e fornitori di un’azienda, il numero degli endpoint cresce in maniera esponenziale.
Nella realtà. ci troviamo quindi ad avere a che fare con utenti, spesso con scarsa alfabetizzazione informatica, che hanno a disposizione almeno tre dispositivi non sempre completamente sotto il controllo aziendale, aggiornati in modalità del tutto arbitrarie e casuali, che si connettono alla struttura aziendale avendo accesso ad informazioni riservate e sensibili. L’unica possibilità per poter garantire un livello accettabile di sicurezza alla gestione dei dispositivi e l’approccio Zero Trust”.
Ci spieghi meglio…
“Con un approccio alla sicurezza Zero Trust si mettono in campo una serie di tecniche e metodologie che si basano sul principio di ‘non fidarsi mai e controllare sempre’, andando ad intercettare anche le minacce cosiddette laterali, tramite una micro segmentazione e una definizione di perimetri granulari sulla base della tipologia di utenti, ai dati da rendere disponibili e alla loro localizzazione all’interno dell’infrastruttura. Sfruttando l’intelligenza artificiale e una moltitudine di informazioni che vengono tracciate, è infatti possibile avere una maggiore visibilità e un maggiore controllo su quelle che sono le attività degli utenti tramite i dispositivi connessi alla rete.
Quindi da una parte la manutenzione proattiva che consente di mantenere i sistemi all’ultimo livello di aggiornamento compatibile con l’intera infrastruttura; dall’altra un approccio Zero Trust consentono di mettere in piedi una struttura permeabile ma sicura”.
Abbiamo visto questo approccio ideale, che dovrebbe diventare la norma, ma le aziende italiane come sono messe? Sono consapevoli dei potenziali vantaggi o percepiscono ancora la sicurezza come un mero costo?
“In Italia la maggior parte del tessuto imprenditoriale è costituito da PMI nelle quali i server aziendali sono gestiti, quasi sempre, da terze parti, la consapevolezza del rischio è poca e la gestione della sicurezza percepita spesso come un costo. Nelle grandi aziende, dove Axis ha storicamente un grande impatto, chi si occupa di security, sia fisica che logica, è invece ben consapevole di queste problematiche. In generale si fa ancora fatica a mettere in relazione la sicurezza, fisica o logica che sia, al brand aziendale e alla fiducia dei clienti, quando in realtà questi ultimi possono essere compromessi pesantemente da una mancanza di sicurezza e generare perdite ingenti.
Anche dal punto di vista organizzativo, il Security Manager dovrà essere sempre più considerato e coinvolto in decisioni strategiche all’interno dell’azienda e aiutare tutto il C-Level a rimodulare le proprie decisioni tenendo in considerazione questi elementi”.
Che ruolo ha avuto il GDPR?
“Il GDPR è stato importantissimo perché è stato il primo costrutto normativo che è andato ad incidere in maniera concreta sul tema della gestione delle informazioni personali, così come sul portafoglio delle aziende, aumentando la consapevolezza e l’attenzione alla tematica. È intervenuto responsabilizzando l’azienda, che deve dire al regolatore come intende proteggersi per poi aspettare una valutazione di adeguatezza da parte del legislatore stesso, e prevedendo delle multe, anche ingenti, in caso di perdita di informazioni o di controllo”.
E dal punto di vista degli investimenti concreti da parte delle aziende in campo security: dove sono rivolti?
“Assistiamo a uno sforzo per rendere le infrastrutture aziendali il più resilienti possibili. Si pone molta attenzione alla provenienza dei dispositivi, alla tecnologia utilizzata, alle modalità di rilascio e di aggiornamento del software e del firmware a bordo. Si parte da un assessment approfondito di tutta l’infrastruttura aziendale e, a valle di queste valutazioni, vengono poi definite le priorità e di conseguenza gli investimenti. Ma è qualcosa di difficilmente definibile perché tutto va valutato in funzione delle specifiche caratteristiche delle singole aziende. Un’area sicuramente migliorabile sono gli investimenti nella formazione”.
All’interno della pubblica amministrazione invece qual è la situazione?
“Anche all’interno della PA Si stanno strutturando tutte le funzioni per poter sfruttare al meglio il mondo digitale. Ci sono delle realtà che possono essere considerate a livello di eccellenza, come quelle legate alla sicurezza nazionale, mentre altre, soprattutto a livello locale, si affidano a fornitori esterni senza avere piena contezza di quello che è il rischio al quale ci si espone. C’è quindi molto lavoro da fare, soprattutto al di fuori di quella che è la pubblica amministrazione centrale”.
E in tutto questo qual è il ruolo e la responsabilità della filiera della sicurezza?
“Credo che la filiera della sicurezza debba assumere un ruolo progressivamente sempre più importante. Perché tutti, come indicato anche dal punto di vista normativo da NIS e GDPR, abbiamo una nostra parte di responsabilità.
Il vendor, come Axis, deve proporre al mercato soluzioni e prodotti che siano sicuri by design, in grado di poter dialogare secondo protocolli e modalità standard con tutti gli altri dispositivi, per poter installare quella soluzione ovunque e utilizzarla al massimo delle sue performance, senza inibire il funzionamento di tutto il resto. Dobbiamo dialogare con chi queste soluzioni le progetta, le installa e le gestisce e con chi le utilizza, in modo che tutti siano coinvolti e il feedback e le esigenze che arrivano dal mercato possano essere trasformati in tecnologia da utilizzare e installare. Allo stesso tempo dobbiamo sensibilizzare ed educare il mercato su queste tematiche”.
![AXIS_web_cybersec_roundtable_1024x512_it_2010[2]](https://www.bitmat.it/wp-content/uploads/2020/10/web_cybersec_roundtable_1024x512_it_20102.jpg)
Sulla base di queste premesse è importante citare la tavola rotonda che Axis ha organizzato per il 27 ottobre, dove il tema della sicurezza delle infrastrutture critiche sarà protagonista. Può anticiparci qualcosa?
“Alla nostra tavola rotonda si andranno a discutere queste tematiche in modo aperto e chiaro e con la consapevolezza di essere in una situazione in cui non ci sono risposte certe, mettendo allo stesso tavolo i macro stakeholders coinvolti. Insieme a noi vendor di Axis, ci sarà AIPSA, che rappresenta di chi di fatto governa le strategie di security all’interno delle aziende, Clusit, che fornirà numeri e dati chiari per quantificare il problema e far capire quanto sia rilevante eAgID, in rappresentanza dello Stato.
L’obiettivo sarà, nel contesto delle infrastrutture critiche, chiarire agli stakeholders quale sia la situazione e quali possono essere le linee di sviluppo e gli approcci alla gestione della problematica. Il problema non si potrà risolvere definitivamente perché è insito nella tecnologia avere difetti, ma si dovrà gestire. Il come credo che sia la sfida alla quale siamo chiamati a rispondere”.
