Intervento di Federico Filacchione, Responsabile CERT, Sogei, in occasione della WebConf: L’ESPERIENZA DELLA CYBERSECURITY IN TEMPI DIFFICILI: COSA ABBIAMO IMPARATO dello scorso 10 settembre 2020.
Con riferimento alla nostra situazione antecedente al Covid, siamo un’azienda abituata alla presenza fisica, con oltre 2mila persone che lavorano insieme e che da un giorno all’altro si sono trovate a collegarsi in smart working da varie parti dell’Italia.
Il primo impatto legato al cambiamento che abbiamo vissuto è stato quello di una forzatura nell’uso di alcune tecnologie, anche se in parte il passaggio era già iniziato in quanto ad esempio per l’amministrazione finanziaria era già stato avviato uno smart working con la possibilità per le persone di effettuare tutte le attività da remoto. Con l’emergenza Covid tutto il passaggio al digitale è stato accelerato: una prima lezione che ne abbiamo tratto è quella di dover essere pronti per un’eventuale disruption, un evento che comporta un cambiamento profondo e improvviso, e che è del tutto imprevedibile. Da qui la necessità di sviluppare una nuova attitudine per essere in grado di affrontare una sfida di questo genere.
Come è stato affermato anche in altri interventi della mattinata, è possibile prepararsi in anticipo, e noi avevamo giustamente già avviato un programma di formazione sulla cybersecurity awareness con i dipendenti e con parte del personale dell’amministrazione.
Quest’attività ha dato i suoi frutti quando a partire da inizio marzo ci siamo trovati con tutti i colleghi a casa che accedevano attraverso VPN, quindi anche con problematiche nel supportare gli accessi. Considerando che noi abbiamo infrastrutture centralizzate, e il discorso della migrazione al cloud non è per noi semplicissimo (anche se ora ci stiamo ragionando), la situazione con decine di migliaia di persone che dovevano accedere contemporaneamente ai i nostri sistemi centrali non era proprio facile da gestire.
Ha richiesto un importante lavoro di back office dei colleghi di infrastruttura e anche un’evoluzione dei sistemi. Questa situazione naturalmente ha aperto nuovi fronti anche dal punto di vista degli attacchi rivolti alle persone, però devo dire con molta soddisfazione che abbiamo in questa occasione raccolto i frutti del percorso di formazione effettuato. Sono d’accordo sul fatto che se un dipendente è l’anello più debole della catena, la responsabilità è di chi non l’ha adeguatamente preparato, quindi di chi gestisce la sicurezza, che non è in grado di proteggerlo non avendolo reso compartecipe del suo ruolo nella difesa complessiva.
Noi abbiamo osservato un aumento molto sensibile di segnalazioni da parte dei colleghi quando qualcosa non andava, ad esempio la presenza di mail malevole, come quelle dell’ultimissima campagna di Emotet, o prima, fin dall’avvio dello smart working. Questo per noi è stato un bene perché all’inizio molte persone lavoravano con il PC personale: l’esperienza è stata utile per verificare che bisogna preparare il terreno. Inoltre, bisogna aver considerato da tempo alcune best practice, quelle classiche, come la separazione dei ruoli, la protezione dell’accesso privilegiato, non solo per gli amministratori: sono tutte best practice che ancora oggi sono trascurate da molti.
Quello che abbiamo visto, con l’esperienza dell’emergenza (per cui oggi siamo 2mila persone in ufficio e domani tutti a casa), è che se non ti sei preparato bene prima, avrai molti problemi. Motivo per cui è molto importante puntare a guardare sempre in avanti, e nel caso specifico, dopo questa emergenza, non è detto che si tornerà a una situazione precedente, anzi, ritengo che lo smart working diventerà una nuova forma diffusa di lavoro. Per gestire questo cambiamento dal punto di vista di chi è responsabile della cybersecurity, significa sì comprendere quali soluzioni offre il mercato, ma poi anche fare le scelte corrette per la propria situazione. Quindi ad esempio non seguire necessariamente il trend che vorrebbe mettere tutto in cloud, ma ragionare, superare alcuni pregiudizi che spesso abbiamo noi responsabili della sicurezza. Cosa che è successa durante l’emergenza, che ci ha portato ad adeguarci velocemente, permettendo anche l’utilizzo di dispositivi personali e VPN, ma garantendo comunque livelli di sicurezza elevati. Come farlo? Ad esempio, lavorando su una visibilità molto incrementata, su indicatori e su eventi che prima non vedevamo o comunque erano in parte all’interno del perimetro di sicurezza e quindi non riusciamo ad analizzare correttamente.
Quindi da un lato l’aiuto che chiediamo ai partner è di aiutarci a “semplificare” il lavoro, oltre che valutare nuovi ambiti della cybersecurity a cui in passato abbiamo prestato minore attenzione. Guardando anche al percorso fatto, prima avevamo la sicurezza perimetrale, ossia il firewall e il controllo del traffico, poi l’attenzione si è spostata verso la sicurezza applicativa e la priorità è diventata quella di osservare questi ambienti. Oggi aprendo così tanto le possibilità di accesso da remoto, rischiamo di avere un modello di sicurezza obsoleto, o meglio “vintage”: è vero che chi gestisce i sistemi di sicurezza tende a essere un conservatore, però è anche vero che dobbiamo capire che il mondo evolve. Il Covid ci ha dimostrato che, se si progetta tutto nei tempi opportuni e, soprattutto, se si seguono le best practice, questo alla fine darà i suoi frutti.