Resilienza delle infrastrutture critiche nonostante la superficie di attacco si sia oggi estesa al mondo digitale; gestione di crisi che possono assumere le dimensioni di catastrofi naturali; effetto domino in presenza di attacchi cyber. Ne abbiamo parlato direttamente con chi per vocazione professionale si occupa di emergenze, Angelo Gazzoni, Country Manager Italia di Hexagon Safety & Infrastructure.
TIG: Quali sono oggi le priorità con riferimento alla sicurezza fisica e digitale del Paese, di grandi organizzazioni oltre che di infrastrutture critiche?
Angelo Gazzoni. Il pericolo Cyber è particolarmente elevato perché può portare ad attacchi multipli, replicati in modo diffuso tramite un numero elevato di computer, e può mandare al collasso il funzionamento della macchina del Paese nel suo complesso minandone le fondamenta, producendo effetti paragonabili a quelli di una catastrofe naturale. Per gestire crisi di questa entità, le organizzazioni devono affrontare il tema della sicurezza in modo organico, e soprattutto devono essere in grado di controbattere in modo rapido e coordinato. Gli attacchi sono infatti perpetrati oggi da avversati intelligenti, adattabili e che, per il fatto di utilizzare strumenti informatici, sono difficilmente intercettabili in anticipo.
Bisogna quindi avere ben chiari gli obiettivi da raggiungere, analizzare i fattori critici e fare un assessment dei vari elementi di rischio, studiandone gli impatti potenziali sulla continuità di servizio delle infrastrutture, puntando a essere resilienti e a preparare piani di risposta.
Una soluzione di sicurezza per le infrastrutture critiche deve focalizzarsi su tre aspetti prioritari:
- Quantità ed organizzazione delle persone preposte alla sicurezza (proprio personale, soggetti terzi)
- Processi per garantire l’esecuzione di procedure standardizzate o il più possibile guidate
- Sistemi per supportare la gestione di scenari complessi che richiedano il trattamento di enormi moli di informazioni.
TIG. Da un punto di vista operativo, su cosa focalizzarsi per ottimizzare la gestione di crisi Cyber Fisiche?
Angelo Gazzoni. Bisogna (1) stabilire organismi con responsabilità chiare, definendo catene di comando in caso di emergenza, (2) prevedere una propagazione delle informazioni a chi di dovere, con diversi livelli di dettaglio, per supportare la rapida risposta all’attacco, (3) impostare un coordinamento efficace delle risorse necessarie per reagire all’offensiva e ripristinare il normale funzionamento dell’infrastruttura.
Vanno definite poi delle Standard Operating Procedures, che vanno eseguite utilizzando le risorse specifiche da dispacciare in base alle competenze e/o strumenti in dotazione al team: può essere ad esempio una chiave d’accesso o un tool per eseguire una procedura informatica nel caso di un Computer Security Incident Response Team (CSIRT), magari insieme ad una squadra di manutenzione Emergency Response Team (ERT) che va sul campo, per comandare manualmente un azionamento che – se manomesso – potrebbe causare danni a persone e/o cose.
È necessario infine dotarsi di strumenti adattivi in grado di scalare ed essere flessibili, permettere il coordinamento di più risorse, gestire diversi livelli di comando, implementare workflow e business rules a livello tattico e strategico, consentendo la definizione delle tassonomie dei vari livelli di evento, incidente, allarme con i relativi piani di azione per rispondere alle diverse fattispecie di attacchi.
TIG. A chi tocca secondo te il compito di proteggere le infrastrutture critiche da minacce Cyber? Qual è il grado di pericolosità di questa minaccia, e come affrontarla nel modo più efficace?
Angelo Gazzoni. Proteggere le infrastrutture del nostro Paese significa proteggerne l’integrità stessa ed è quindi un compito che spetta a diversi attori: privati, pubblici ed istituzionali. Il pericolo Cyber, quando mirato a fare danni o a destabilizzare l’ordine pubblico, è uno di quelli a massima priorità: non può essere trattato in modo indipendente ma deve essere integrato alla sicurezza fisica. Questo approccio d’insieme garantisce capacità preventiva grazie alla correlazione di “indizi” informatici e fisici e migliora la capacità di risposta ai danni provocati, con gli obiettivi principali di:
- Prestare soccorso in modo efficace ad eventuali persone coinvolte
- Ripristinare in tempi più rapidi possibili la piena operatività dell’infrastruttura.
TIG. In conclusione, come vedi la situazione attuale e quali sono le tue previsioni per il prossimo futuro? Quali saranno in un prossimo futuro le conseguenze di attacchi ransomware globali molto più pericolosi, come WannaCry e Petya, o di Data Breach della portata di quello subito di recente dalla società Usa di credit rating Equifax?
Angelo Gazzoni. Se da una parte c’è maggiore attenzione al tema della Cyber Security e le organizzazioni si stanno dotando di strumenti per prevenire gli attacchi informatici, ancora non sufficiente è la sensibilità rispetto ad una gestione integrata della sicurezza, che permetta di affrontare efficacemente attacchi cyber, fisici o ibridi. Gli attacchi ransomware, anche recenti, hanno avuto prevalentemente finalità dimostrativa delle potenzialità dei cyber terroristi, dimostrando la vulnerabilità delle infrastrutture di aziende ed enti pubblici. Occorre dunque un cambio di marcia nel dotarsi di procedure e di strumenti necessari ad affrontare con efficacia eventuali attacchi cyber che, colpendo le infrastrutture critiche, possono mettere in ginocchio il Paese.
A cura di:
Elena Vaciago, The Innovation Group