Cybersecurity Summit, i temi dell’evento romano

Cybersecurity Summit, i temi dell’evento romano

Cybersecurity Summit, i temi dell’evento romano

Oggi la cybersicurezza è sotto i riflettori. Se in passato il Responsabile della cybersecurity (CISO, Security Officer) doveva impegnarsi nello sponsorizzare verso i vertici l’importanza di queste attività, ora il tema è più noto. Il contesto, lo scenario globale, la pandemia prima e la guerra dopo, hanno inciso molto in termini di consapevolezza sugli effetti di incidenti di cybersecurity. Negli ultimi due anni gli eventi hanno molto sollecitato la transizione digitale, fattore di competitività delle imprese e di crescita socioeconomica del Paese. L’altra faccia della medaglia è stato però l’aumento dei reati informatici.

Durante il Cybersecurity Summit romano, lo scorso 18 ottobre, è stato affrontato il tema molto attuale di come disegnare una Cyber Difesa nazionale ed europea, tenendo presente che nel mondo digitale non esistono confini.

Come ha affermato Nunzia Ciardi, Vicedirettore dell’Agenzia per la Cybersicurezza Nazionale (ACN), in Italia siamo partiti in ritardo, perché in altri Paesi europei esistevano già da anni Agenzie dedicate a questi temi, però stiamo recuperando bene. “Un Paese oggi deve investire per rendersi capace sia di resistere sia di reagire – ha detto Nunzia Ciardi -. L’Agenzia oggi affianca le investigazioni e il contrasto ai reati digitali, insieme ad altre forze, e fa proprio il compito della resilienza del Paese”.

Nunzia Ciardi

Nel confronto con gli altri Paesi, va osservato che non tutti hanno una presenza territoriale delle forze di contrasto dei reati informatici confrontabile alla nostra. Oggi gli unici reati che stanno crescendo sono quelli informatici (e parliamo soprattutto di reati contro il patrimonio). Questo comporta per cittadini, aziende, enti pubblici, la necessità di un pronto intervento: da qui la conferma dell’importanza di un modello distribuito.

“Mentre in altri Paesi sono stati creati grandi centri, noi abbiamo 20 compartimenti da cui dipendono un’ottantina di sezioni – ha commentato Ivano Gabrielli, Direttore del Servizio, Polizia Postale e delle Comunicazioni –. Possiamo così mettere a sistema quanto raccogliamo da una struttura capillare, che ci permette di apprendere subito le notizie di reato e anche i fenomeni minori. Questo modello, che è vincente perché ci aiuta a ottimizzare le risorse (che sono scarse), sta oggi vivendo una fase di riorganizzazione. Avremo un territorio più efficientato, non più 20 compartimenti ma 18 centri operativi per la sicurezza cibernetica, con strutture dedicate e un centro per far parlare le strutture sulle varie tematiche. Per avere un’idea dei numeri, siamo passati dai 4mila incidenti informatici gestiti nel 2021, ai 9.300 gestiti fino a inizio ottobre 2022, quindi più che raddoppiati. Importante quindi ingegnerizzare un sistema virtuoso di formazione e arruolamento, collaborando con Università e ITS”.

Ivano Gabrielli

Quest’anno abbiamo visto incidenti che hanno colpito infrastrutture sensibili, pensiamo ai settori energetico e della sanità. “Come ACN, siamo intervenuti aiutando in modo importante queste realtà a ritornare operative, risollevare sistemi messi in ginocchi da attacchi cyber – ha aggiunto Nunzia Ciardi -. Inoltre, il nostro CSIRT fa circolare in modo capillare tutta una serie di informazioni che, una volta elaborate, aiutano ad elevare il livello di sicurezza delle aziende”.

“Ricostruire fatti e responsabilità in ambito cybersecurity è complicato per tutte le strutture di law enforcement a livello internazionale – ha detto Ivano Gabrielli -. Noi oggi ci stiamo dotando di una struttura adeguata. Se finora molto era fatto tramite partenariato pubblico e privato con il CNAIPIC della Polizia, oggi abbiamo una maggiore collaborazione tra le diverse istituzioni e un’Agenzia centrale. Quindi, un sistema che si muove in modo coordinato e che vede confluire le informazioni con una forte collaborazione a fronte degli attacchi informatici. Una capacità di intervento distribuita ci darà la capacità di intervenire e tutelare anche numerose realtà di medie dimensioni sul territorio, pubbliche amministrazioni locali, distretti industriali”.

Adottare un Cyber Risk Management di nuova generazione in aziende globali

Quali sono i principi su cui basare un corretto framework di gestione dei rischi cyber? Per una diffusione di regole efficaci per un security-by-desing e by-default? Quale organizzazione bisogna darsi e quali sono i punti chiave da considerare?

Per rispondere a queste domande, Yuri Rassega, Group CISO di Enel, ha spiegato come è evoluto in Gruppo Enel il framework di gestione dei rischi cyber. Da una ventina di anni avevamo adottato vari modelli, framework e standard, ma l’evoluzione delle minacce ci ha richiesto di fare un salto quantico in avanti – ha detto Yuri Rassega -. Per questo, abbiamo ridefinito l’organizzazione e riscritto tutte le policy: oggi il cyber risk management è costruito sulla nostra pelle, prevede soggetti diversi, una forte integrazione con le business line e con l’area Digital, e soprattutto, una regia unitaria. Lo sforzo più importante che ci contraddistingue è stato quello di ingaggiare direttamente le business line in aspetti di risk evaluation e nell’accettazione dei rischi, in modo da condividere pienamente attraverso l’organizzazione i diversi ruoli, le priorità e i valori da proteggere dell’azienda. Con lo stesso commitment abbiamo ingaggiato anche le parti tecnologiche, perché, oggi, se la cybersecurity non è solo un tema tecnologico, è pur vero che gli attaccanti prendono di mira le infrastrutture informatiche”.

Yuri Rassega

Come passare nella pratica a un approccio risk based e security-by-design

“La soluzione che abbiamo trovato nel disegno del nostro framework – ha detto Yuri Rassega – è stata quella di individuare otto processi molto chiari, partendo dalla strategia fino alle operation, e di definire un modello decentralizzato, per cui l’accountability di ogni parte va a tutta l’azienda. Abbiamo quindi accompagnato il nostro framework con un’organizzazione di cyber risk management che si compone di un centro (per definire policy e procedure, per il cert, la strategia e quant’altro) con connettori forti verso la fabbrica, quindi, con persone dedicate che riportano sia al CISO sia ai direttori delle business line. In questo modo ci colleghiamo sia verso la risk posture, sia verso lo sviluppo tecnologico”.

Secondo Pierguido Iezzi, CEO e Co-Founder di Swascan, competenze, tecnologie e processi sono oggi temi ricorrenti. Vanno tutti inseriti in un framework coerente che sia anche completo di sicurezza predittiva, preventiva e proattiva. “L’analisi del rischio deve diventare sempre più ampia, considerare il rischio tecnologico e quello umano, il rischio legato ai processi e al tema delle terze parti, un tema quest’ultimo oggi di grande attenzione – ha detto Pierguido Iezzi -. Serve una sicurezza proattiva che tramite la detection fornisca una capacità di risposta veloce. Tutto questo per garantire la resilienza, ma la domanda vera che dobbiamo farci è: qual è il livello di rottura, ossia, la nostra incapacità nel ripristinare la situazione? Secondo il framework Tiber-EU lanciato da Banca centrale europea e ripreso da Banca D’Italia, il concetto di resilienza si misura con cyber threat intelligence e attività di red teaming, quindi con simulazioni che mimano tattiche, tecniche e procedure di attaccanti reali.  Capire qual è il livello massimo di resistenza aiuta a capire se un rischio è accettabile o meno”.

Pierguido Iezzi

Come evolve lo scenario delle minacce cyber? Ne ha parlato Fabio Monzini, Major Account Executive Italia, Akamai Italia. “Gli attacchi volumetrici che saturano le risorse di connettività, aumentati del 200% in Europa, per cui oggi la metà sono proprio in Europa, rispecchiano la situazione geopolitica grave – ha detto Fabio Monzini -. Attacchi applicativi, più sofisticati, a servizi web e API, sono invece triplicati: questo è collegato al fatto che ransomware e malware sono in grande crescita, perché si svolgono nella prima parte della kill chain. Un’altra componente che analizziamo è la risoluzione DNS: contiamo 7 trilioni di query al giorno, e il 10% va verso siti di phishing o malware; quindi, un click su 10 è rivolto a siti malevoli. Le strategie di adescamento degli utenti sono molto sviluppate, per cercare di recuperare i dati.  Questi numeri non sono però fini a sé stessi: sono informazioni preziose, che rendiamo subito disponibili ai clienti. Se parliamo di servizi esposti, serve una strategia che aiuti a tenere lontano gli attacchi dalle risorse più preziose: una tecnologia edge tra gli utenti e i datacenter o i cloud provider, un punto di protezione per tenere lontano le minacce”.

Il tema della compliance comporta oggi un impatto forte sui processi: come potenziarli in ottica security-by-design e privacy-by-design? Il punto di vista di chi sviluppa software (e ha come priorità generare un prodotto sicuro) è stato presentato da Luca Castellano, CIO e CISO di Gruppo Maggioli.

“Noi abbiamo investito sul tema della consapevolezza, in modo che la sicurezza sia inscritta fin dal concept – ha detto Luca Castellano -. Questo alla fine ha un impatto positivo anche sui costi. Si ottengono risparmi nella fase correttiva finale, nella gestione operativa del prodotto, oltre che nella capacità di sviluppare dinamiche virtuose sugli aspetti di processo della linea di prodotto. Utilizziamo framework e linee guida, che ci aiutano nella relazione con i vertici dell’azienda, e tramite figure come champion portiamo questa cultura in tutta l’organizzazione. Serve un buon compromesso finale tra time-to-market e qualità del prodotto: noi stiamo investendo sulla proattività, sfruttando un network di partner e strumenti proattivi per le linee di sviluppo. E’ importante cercare di anticipare problemi e trovare le soluzioni piuttosto che reagire”.

“La tecnologia per noi è un punto di partenza – ha affermato Gaetano Di Dio, Direttore Generale, Netgroup –. Come Netgroup riteniamo che la vulnerabilità “uomo” è molto importante. Quello che è veramente fondamentale e far crescere la consapevolezza e il senso di responsabilità nelle persone, che sappiano così riconoscere le minacce e sappiano anche come combatterle. Oggi vediamo un ampiamento importante della superfice di attacco. Progettisti, sistemisti, sviluppatori, devono vedere la sicurezza integrata nella realizzazione dei prodotti. Considerando che in tutti i settori la crescita degli attacchi è esponenziale, serve un diverso modus operandi, le persone devono vivere con questa consapevolezza del rischio. Bisogna creare resilienza nell’uomo affiancando senior specialist della cybersecurity ai più giovani o altri anche non giovani, per diffondere queste conoscenze, e poter parlare tutti la stessa lingua. Il paradigma “Humans for cybersecurity” da noi sviluppato fa leva sulla certificazione delle professionalità e serve a unire le forze tra attaccati e difensori: bisogna cooperare in logica sinergica anche in via preventiva. Effettuare un monitoraggio continuo, diffondere conoscenza e consapevolezza”.

Gaetano Di Dio

Poiché non esiste una sicurezza al 100%, una visione realistica è quella che partendo dalla comprensione della propria postura di sicurezza, punti ad analizzare il livello di rischio deducendolo da dati oggettivi. È questo il punto di vista di Renato Bloise, COO, Cybersel. “Occorre capire quanto rischio possiamo accettare e qual è il rischio finanziario che ne deriva – ha detto Renato Bloise -. Il tutto in un contesto di estrema interconnessione. Il punto di partenza per impostare tutta la governance di sicurezza è misurare il rischio: servono quindi strumenti per una misurazione oggettiva. Per mettere in sicurezza la supply chain, posso chiedere informazioni ai miei fornitori, ma è fondamentale avere anche dati oggettivi, ci aiuta a capire l’affidabilità delle risposte delle terze parti. Con una quantificazione anche finanziaria faccio un ulteriore passo in avanti: questa ci dice quanto vale, in termini economici per l’azienda, il rischio che corro. Strumenti opportuni aiutano oggi a dare qualcosa di più rispetto a una valutazione oggettiva, danno anche una quantificazione finanziaria”.

Come stanno evolvendo i cyber rischi nelle aziende? quali aspetti sono da colmare per andare incontro alle aspettative dei legislatori? Quali raccomandazioni dare alle aziende perché siano pronte ad affrontare un eventuale incidente? Secondo Maddalena Pellegrini, South Europe Director di Netwitness, oggi è ampiamente riconosciuto il fatto che il cyber risk vada posizionato al primo posto tra le tipologie di rischio, mentre al secondo posto abbiamo la Business Interruption, che però diventa prioritaria nel settore industriale. Anche il rischio legato alle terze parti è diventato un grave problema, deve trasformarsi in strumenti di monitoraggio attivo per anticipare possibili incidenti legati ai fornitori. “Non tutte le organizzazioni sono virtuose – ha detto Maddalena Pellegrini – succede che gestione dei rischi e della cybersecurity non si parlino: è un problema culturale. All’interno della stessa cybersecurity, a volte ci sono dei silos. Bisogna sapere che la superfice d’attacco si amplia quando all’interno dell’organizzazione non si comunica, o non si collabora per obiettivi finali comuni di mitigazione dei rischi”.

C’è comunque da segnalare un trend positivo: gli incidenti sono rilevati più velocemente che non in passato. Ma questa buona notizia da sola non basta: sempre più incidenti procurano infatti Business Interruption, o terze parti ci comunicano che i nostri dati sono stati esfiltrati. “Bisogna anticipare la detection a momenti precedenti alla Business Interruption – ha aggiunto Maddalena Pellegrini -. Parlando poi di gestione degli incidenti, serve la capacità di gestire una crisi, controllare lo stress che si crea durante un incidente”.

Rischio cyber e gestione delle terze parti

Nel tavolo successivo, “Rischio cyber e gestione delle terze parti”, sono stati affrontati i temi legati all’evoluzione della Cybersecurity Governance, con particolare riferimento alla gestione del rischio della Supply Chain.

Come ha commentato Simonetta Sabatino, Head of Cyber Security & Workplace Management di Saras, stiamo assistendo ad attacchi che non hanno lo scopo di colpire direttamente il soggetto attaccato, l’anello più debole della supply chain, bensì l’infrastruttura cui la terza parte appartiene. “Ci sono sempre più attacchi indirizzati a infrastrutture o realtà che rappresentano servizi o fornitori esterni – ha detto Simonetta Sabatino -. Per valutare questo rischio, occorre quindi non considerare più solo il proprio perimetro, ma spostare l’attenzione su cosa, se violato, può generare impatto negativo sul business. La parte normativa oggi aiuta: nella Direttiva NIS2, ad esempio, è citata esplicitamente la sicurezza della supply chain. Oggi la sfida è quindi considerare un perimetro più vasto. Quale framework seguire? le linee guide ci sono, pensiamo alla ISO 28000 (modello di valutazione del rischio complessivo delle terze parti) o la recente revisione del NIST della norma SP 800-161, focus specifico sulla gestione del rischio cyber, o ancora il framework pubblicato dal Mitre.

Di fatto sono tre i momenti fondamentali da considerare: l’identificazione e valutazione dei fornitori, che sembra scontato, ma in un grande gruppo non è banale. Serve naturalmente prioritizzare i fornitori per valore di rischio e criticità. Poi, l’individuazione delle misure per la mitigazione del rischio, e qui è fondamentale la collaborazione con il fornitore. Quindi, terzo momento, il controllo e il monitoraggio continuo del fornitore: capire come il fornitore evolve nel tempo e di conseguenza come si modifica il suo profilo di rischio.

Simonetta Sabatino

Quali misure di sicurezza implementare per prevenire un attacco malware/ransomware? Secondo Riccardo Canetta, Country Sales Manager Italy di Infoblox, la superfice d’attacco è oggi esplosa, e anche la rete aziendale è cambiata. Serve riprendere il controllo, e il DNS può aiutare in tutto questo. “Vi passa oltre il 20% del malware e ransomware – ha detto Riccardo Canetta -, considerare cosa transita dal DNS aiuta a prevenire attacchi alla rete anche quando questi arrivano da apparati IoT su cui non posso installare un client. Tramite DNS è possibile fare delle whitelist e bloccare determinati servizi esterni: da sapere poi che il DNS è coinvolto in più aspetti della kill chain, tra cui la comunicazione con il command & control (C&C) server; quindi, può essere utilizzato per bloccare l’attacco ransomware”.

Secondo Nicola Vanin, Responsabile Corporate Security di Cassa Depositi e Prestiti, alla luce delle considerazioni fatte, quello che ancora manca oggi è un approccio mirato alle quarte parti, ossia, da chi dipende il nostro fornitore, compreso colui che gestisce la nostra sicurezza.

“Il subfornitore meriterebbe un’attenzione importante – ha detto Nicola Vanin -: un incidente di sicurezza presso una quarta parte può avere un impatto notevole. Piano di continuità, postura, delle quarte parti critiche, non è al momento nel radar di molte organizzazioni. Oggi molti sono interessati a dotarsi di polizze cyber: però dimenticano che le compagnie assicurative mettono come punto di discussione per il risarcimento il fatto di aver compreso anche la quarta parte nell’escalation dell’incidente.

Come ovviare questi problemi? Bisogna individuare nel panel dei fornitori quelli che hanno impatti business critical. Poi, in modo automatico o manuale, effettuare i controlli, come del resto chiedono sempre di più le norme. “L’automazione sarà il futuro per tutti, dalle PMI alle grandi aziende – ha aggiunto Nicola Vanin -, ma è prioritario avere un team dedicato al TPRM, con un suo budget e dignità, con la sensibilizzazione dei vertici a cui vanno fornite corrette evidenze”.

 

Rivedi la registrazione della mattina del Cybersecurity Summit 2022, lo scorso 18 ottobre a Roma.

A cura di: Elena Vaciago, @evaciago