Si osserva oggi una forte accelerazione in ambito Cybersecurity, sia sul fronte degli attacchi (basti pensare cosa è successo negli ultimi mesi con WannaCry e Petya) sia anche sul fronte delle iniziative, lanciate da istituzioni e grandi imprese, per prepararsi meglio a rispondere. Almeno a parole, lo scenario dovrebbe cambiare in un prossimo futuro. Rimangono però ancora molti problemi da risolvere: ne abbiamo parlato con Giampiero Nanni, Government Affairs, EMEA di Symantec.
TIG. La diffusione degli ultimi attacchi ransomware, come Petya o NotPetya, che ha colpito principalmente l’Ucraina ma anche questa volta moltissimo l’Italia, ha dimostrato che stiamo vivendo un’intensificarsi delle minacce cyber. Quali sono oggi le priorità delle aziende sul fronte della Cybersecurity?
Giampiero Nanni. Viviamo una situazione che vede aperti molti fronti. Da un lato abbiamo assistito a nuovi attacchi di ransomware, prima con WannaCry e ora con Petya o NotPetya: dall’altro lato le cose non migliorano sugli altri fronti della cyber security. Consideriamo la perdita di dati personali: secondo la ricerca Internet Security Threat Report (ISTR 2017) di Symantec, l’anno scorso sono stati trafugati oltre un miliardo di record di dati personali. Molte vulnerabilità anche note continuano a non essere corrette: il 76% dei siti web contiene vulnerabilità, e l’industria del malware è sempre più forte. Symantec ha osservato nel 2016 oltre 1 M di nuove varianti di malware. Al giorno. Ossia oltre 400 M nell’anno.
D’altro canto, nonostante si assista ad una crescente sofisticazione delle attività del cyber crime, le tecniche di attacco più semplici continuano a mietere vittime: gli attaccanti di fatto “vivono dei frutti” di errori e comportamenti sbagliati degli utenti. Basti pensare che l’email con allegati o link malevoli è il vettore di attacco preponderante (secondo l’ISTR, 1 email su 131 inviate contiene malware). Una volta entrati nei sistemi, gli hacker riescono a muoversi all’interno con grandi capacità, ma una maggiore sicurezza di base e una più diffusa consapevolezza sui rischi cyber da parte delle persone risolverebbe gran parte dei problemi.
TIG. Quali sono le vulnerabilità di cui dovremmo oggi preoccuparci di più?
Giampiero Nanni. Oggi una quantità enorme di oggetti viene connessa a Internet, l’Internet of Things, miliardi di dispositivi messi sul mercato con poca o molto spesso nessuna misura per la sicurezza. Pensiamo alle webcam, ai modem di casa: i consumatori non si preoccupano neanche di modificare le password di default. I nostri analisti hanno calcolato che gli attacchi rivolti all’IoT sono raddoppiati nel 2016. Alcuni nostri ricercatori hanno effettuato un test di sicurezza su dei device IoT, collegandoli in Internet: sono stati attaccati e compromessi nel giro di soli 2 minuti! Un altro problema da non sottovalutare è il Cloud, e in particolare un utilizzo di App in cloud che sfugge quasi completamente al controllo dell’IT: è la cosiddetta ‘Shadow IT’. Una nostra ricerca ha evidenziato come nel mondo enterprise i CIO ritengano di avere tra 30 e 40 App attive nel cloud, in realtà superano le 900 unità.
Se poi passiamo a considerare le infrastrutture critiche, vediamo oggi quanti rischi si corrano in termini di resilienza, ossia di capacità di riportare velocemente in attività servizi critici come quelli ospedalieri, di erogazione di energia, acqua, gas, trasporti. La buona notizia è che dall’anno prossimo una Direttiva europea sulla sicurezza delle reti e dei sistemi informative, la NIS Directive, richiederà a chi fornisce questi servizi critici e servizi digitali, , di adeguare i propri livelli di sicurezza, sia dal punto organizzativo che tecnologico. I Governi dei diversi Paesi dovranno invece allestire infrastrutture di collegamento tra i vari operatori, perché sia possibile collaborare notificando incidenti, condividendo procedure organizzative e misure tecniche, metodi di risposta e ripristino, aiutandoli in ultima analisi a “fare sistema” e a incrementare la resilienza complessiva.
TIG. Quanto sono esposte le aziende italiane ad attacchi di tipo Ransomware?
Giampiero Nanni. In Italia si osserva una situazione preoccupante: secondo le statistiche fornite dall’ISTR, l’Italia è al terzo posto tra i Paesi maggiormente colpiti da Ransomware, subito dopo Stati Uniti, dove esiste una maggiore disponibilità a pagare, e Giappone. Non si sottolinea mai abbastanza che non bisognerebbe pagare in caso di attacco Ransomware: innanzi tutto perché pagare non assicura che i dati siano poi decriptati. E in più, perché se si paga è più probabile che l’attaccante ritorni. Il problema del malware con estorsioni economiche è molto grave: noi osserviamo una crescita del 36% di questi attacchi a livello globale, con richieste di riscatto che in media superano i 1.000 dollari, un target in prevalenza ancora consumer (69% degli attacchi) ma anche business (31% degli attacchi) e sempre di più una consumerizzazione, con la disponibilità di un vero e proprio Ransomware-as-a-Service.
TIG. Come impostare quindi un piano di difesa che sia il più possibile efficace?
Giampiero Nanni. Le aziende devono sicuramente adeguare le proprie difese informatiche al panorama delle minacce in costante evoluzione, e questo sia in termini di tecnologia, ma anche di cultura aziendale in cyber security. Una possibilità ulteriore – che oggi rappresenta una novità assoluta per le aziende italiane – sarà quella di assicurarsi contro possibili attacchi malevoli. Il tema della Cyber Insurance al momento trova un forte freno nella difficoltà per gli assicuratori di disporre di una visione chiara e informata del rischio che assicurano. Il calcolo dei premi assicurativi necessita infatti di dati pregressi affidabili e dettagliati per calcolare il rischio. Per questo motivo Symantec, facendo leva sull’enorme quantità di informazioni sulle minacce in rete, di cui dispone tramite le attività di monitoraggio (98 milioni di sensori, 2 miliardi di mail analizzate al giorno), ha sviluppato modelli per il calcolo del rischio per gli assicuratori. In particolare sono stati elaborati scenari di rischio per simulare l’effetto di varie tipologie di attacco e di cyber catastrofi. L’obiettivo di Symantec è, tramite questa practice dedicata alla Cyber Insurance, collaborare sempre di più con gli assicuratori e anche con i governi in tema di gestione end-to-end dei rischi cyber. In UK, su questi temi ho risposto quest’anno ad una consultazione pubblica del Regolatore Assicurativo UK (Prudential Regulation Authority della Bank of England), che interpellava appunto i vari operatori su come porsi di fronte al problema dai vari punti di vista. Il Governo UK sta quindi effettuando una campagna di pressione sulle aziende, affinché considerino seriamente l’opzione Cyber Insurance, conscio degli enormi danni che gli attacchi informatici rappresentano per l’economia del Paese. Sarebbe auspicabile che questa linea venisse seguita con lo stesso vigore dall’Italia e dagli altri Paesi dell’UE.
TIG. In tema di regolamento europeo sulla Data Protection (GDPR), in Italia si osserva già un ritardo delle aziende per quanto riguarda gli adeguamenti da effettuare: quali saranno secondo te le conseguenze di una scarsa preparazione?
Giampiero Nanni. Il ritardo è un po’ ovunque in Europa, e le conseguenze negative non saranno soltanto legate alle possibili sanzioni, che pure possono essere sostanziose: si è già visto che la perdita di dati porta a problemi di compenso richiesto da clienti danneggiati, mettendo in crisi la stessa sostenibilità del business. Ancora più grave sembra essere il ritardo nelle Pubbliche Amministrazioni, anche loro soggette a sanzioni, stanno quasi tutte ancora aspettando di individuare un responsabile per il progetto di adeguamento. Il GDPR impone un vero cambio di passo: se un’azienda riesce ad evitare il rischio della perdita dei dati, tutto il suo ecosistema di clienti, partner, fornitori, avrà maggiore fiducia in lei. Ma per ottenere questo obiettivo, non basterà guardarsi in casa, bisognerà anche fare una ‘due diligence’ dei propri fornitori. Da notare che con il GDPR, Responsabile e Incaricato del trattamento hanno pari responsabilità: ci sarà quindi un interesse comune a chiarire anche a livello contrattuale di cosa dovrà rispondere ciascuno. Infine, il tema della Data Breach Notification, con l’eventuale notifica entro 72 ore al Garante, e possibilmente ai soggetti interessati se la compromissione pone un rischio considerevole per i loro diritti, impone un accurato piano di risposta da attuare – anziché da improvvisare – quando il data breach si verifica. E sottolineo ‘quando’, non ‘se’.
UN’INTERVISTA DI Elena Vaciago, Associate Research Manager, The Innovation Group
GIAMPIERO NANNI
Government Affairs, EMEA di SYMANTEC