Per chi sta lavorando oggi al budget e alla programmazione di quelle che saranno le azioni del 2020, per garantire una protezione efficace di dati, applicazioni, infrastrutture e, non ultima, la reputazione aziendale, guardare alle evoluzioni previste per i rischi di cybersecurity nel prossimo anno significa considerare uno scenario molto mutevole, che prenderà le mosse da quanto abbiamo appreso quest’anno ma comporterà anche nuove complessità da gestire. Di seguito i trend 2020 della cybersecurity.
Ransomware, attacchi mirati e richieste di riscatto in crescita
Quest’anno abbiamo vissuto una vera epidemia da ransomware, il malware che una volta infettato un PC o una rete, crittografa tutti i dati e chiede un riscatto in cambio della chiave per ripristinarli. Abbiamo visto attacchi ransomware molto più mirati a singole organizzazioni, con il malware nascosto in mail di spear phishing indirizzate a singole persone. Negli USA in soli 10 mesi sono stati presi in ostaggio 140 amministrazioni locali, stazioni di polizia e ospedali. In agosto, 23 municipalità del Texas – che dipendevano per i propri servizi dal Texas Department of Information Resources (DIR) – hanno subito un blackout informatico a causa di un’infezione da ransomware. In luglio invece il Governatore della Louisiana ha dichiarato lo stato di emergenza in risposta a un incidente di questo tipo che ha coinvolto 3 distretti scolastici.
Numerosissimi poi gli attacchi con cancellazione di dati sanitari rivolti contro gli ospedali, tra cui il caso recente dell’Ospedale Sacra Famiglia di Erba, facente capo al Fatebenefratelli, che lo scorso primo di novembre è caduto vittima di un attacco ransomware con cifratura di dati di natura sanitaria. Questo ha comportato, nei giorni immediatamente successivi all’evento, ad una diminuzione dei livelli di servizio dell’Ospedale, con riferimento in particolare alle attività del pronto soccorso e della diagnostica per immagini (TAC, RM). In seguito all’attività di ripristino, è emerso però che non era stato possibile recuperare le immagini radiologiche relative ad alcune prestazioni erogate negli ultimi 12 mesi.
(Figura 1. La notifica apparsa sul sito dell’Ospedale Sacra Famiglia di Erba)
Fake News e AI Deep Fakes
Se nelle elezioni del 2016 si è assistito alla prima, massiccia e preoccupante diffusione di Fake News sui social (notizie fittizie contro avversari politici in grado di influenzare il voto e mettere quindi in crisi il funzionamento di una moderna democrazia), il 2020 sarà l’anno in cui le Fake News potranno avvantaggiarsi di nuovi strumenti di intelligenza artificiale per diventare ancora più credibili e quindi pericolose. Sono diventati famosi i video DeepFake costruiti ad arte per risultare credibili, con celebrità come il Presidente Trump, Mark Zuckerberg, gli attori Nicholas Cage, George Clooney e Robert De Niro, Elon Musk, cui sono messe in bocca parole in realtà mai pronunciate.
Secondo gli esperti, oggi si può ancora istruire le persone a capire se un video è un DeepFake: ad esempio, quando un viso viene sostituito con quello di un’altra persona, nei punti di “aggancio” dell’immagine permangono delle scollature. Però è anche probabile che gli algoritmi sviluppati in futuro siano così avanzati da rendere assolutamente credibile qualsiasi video fake, e – soprattutto – che il loro utilizzo sia reso accessibile a chiunque, permettendo quindi una diffusione sempre più virale e potenzialmente malevola. Già quest’anno si ha avuto notizia di una frode realizzata utilizzando una finta voce – sintetizzata con strumenti AI – che ha comportato una perdita pari a 243mila dollari per un’azienda energy del Regno Unito. La voce copiata era quella dell’AD della capogruppo tedesca, che ha chiesto al CEO della controllata britannica di effettuare un versamento urgente – su un conto che è poi risultato fasullo – a un fornitore ungherese. In sostanza, con la finta voce (alterata in modo da sembrare credibile) è stata creata una variante della classica CEO Fraud (BEC, business email compromise).
Vulnerabilità delle nuove reti 5G
Anche l’implementazione delle reti 5G – prevista per il 2020 – comporterà nuove sfide legate alla sicurezza cyber. In questo caso le vulnerabilità dipenderanno proprio dal fatto che si tratta di una tecnologia nuova, e su alcuni aspetti i provider saranno impreparati a gestire alcuni aspetti. Ad esempio, gli analisti della cybersecurity hanno predetto che trattandosi di una rete software-defined, avrà delle debolezze intrinseche legate al disegno del software, e richiederà continue patches di sicurezza così come avviene oggi per i nostri smartphone. Un attaccante potrà quindi in alcuni casi individuare degli zero-days, che potenzialmente potrebbero metterlo in condizione di prendere il controllo di ampie porzioni della rete.
In aggiunta, è stato già notato che una debolezza delle reti 5G (utilizzate su larga scala in ambienti pubblici, come hotel, centri commerciali, aeroporti) potrebbe essere legata allo switch automatico che essa abilita tra reti cellulari e reti wifi presenti nella singola location. Secondo i ricercatori di sicurezza ci sarebbero delle vulnerabilità in questo processo di handover cellular-to-wifi, tali da permettere ad eventuali hacker di accedere a dati o trasmissioni voce su telefoni cellulari 5G.
Attacchi alle reti industriali
Un ambito che nel 2019 si è dimostrato estremante vulnerabile è quello dei sistemi OT (Operational Technologies) impiegati per infrastrutture critiche, reti di distribuzione dell’energia, del petrolio e del gas, acquedotti, infrastrutture di trasporto, catene di montaggio in fabbrica e quant’altro. Le tecnologie OT sono impiegate in tutti questi ambiti principalmente per il monitoraggio (PLC, DCS), la supervisione e il controllo (ICS/SCADA) di sistemi complessi, per l’automazione dei processi e il mantenimento dei parametri produttivi entro i range pianificati. Si tratta di ambiti che non possono soffrire alcun arresto senza incorrere in gravi danni e perdite elevate in termini di produttività degli impanti, motivo per cui l’Availability è un parametro fondamentale di funzionamento, molto più che non gli aspetti di Integrity e Confidentiality che sono invece elementi centrali nella protezione dei sistemi informativi.
Oggi attacchi ransomware, Denial of Service, APT, hanno raggiunto anche questi sistemi, con conseguenze molto gravi. Ad esempio, a metà ottobre scorso, la società tedesca di automazione Pilz è stata infettata dal ransomware Bitpaymer: tutte le macchine, i PC, i server, i sistemi di comunicazione, sono rimasti in breve tempo irraggiungibili. A dichiararlo è stata la stessa Pilz, informando di aver sconnesso in via precauzionale tutti i sistemi informativi; avviato una procedura di gestione dell’incidente; avvisato le autorità (in particolare l’Ufficio federale tedesco per la sicurezza informatica). Il livello di gravità dell’evento è stato eccezionale: tutte le sedi della società, in 76 paesi nel mondo, hanno subito conseguenze e sono state sconnesse dalla rete aziendale principale, quindi non più in grado di inviare ordini o di verificare lo stato delle transazioni dei clienti. Anche la durata del ripristino è stata lunga: 3 giorni per riottenere l’accesso ai servizi di posta elettronica, altri 3 giorni per ripristinare la posta nelle sedi internazionali. Positivo invece il fatto che le capacità produttive – di fabbrica – non abbiano subito arresto, se non per l’incapacità di processare ordini che o non arrivavano, o giungevano ma a ritmo molto rallentato. Un incidente di questo tipo, se si aggiunge un fermo alla produzione, può avere un impatto economico enorme.
Skill Gap
La cultura della sicurezza informatica avrà una necessaria crescita nei prossimi anni, se non altro, per l’esperienza di attacchi che andranno a segno e colpiranno le singole persone. Misure come il cambio delle password o la multifactor authentication, backup e data protection, stanno entrando nell’uso quotidiano. Quello che invece rimarrà come un problema irrisolto ancora per lungo tempo sarà la mancanza di personale esperto in grado di gestire il tema della mitigazione e della gestione del rischio cyber. Nel 2018 la domanda inevasa di professionisti di cybersecurity era pari a 3 milioni. A fine 2019 (ISC)² ha stimato che nelle prime 11 economie globali ci siano 2,8 milioni di professionisti di cybersecurity, ma che sarebbe richiesta una crescita del 145% (un gap per 4 milioni di persone). La regione in cui la domanda di questi professionisti, sarebbe quella dell’Asia Pacific (fino a 2,6 milioni di esperti che non si trovano).
(Figura 2. Mancanza di professionisti cyber secondo il “2019 Cybersecurity Workforce” di (ISC)²)
Il problema è come fare a recuperare questo gap, una forbice tra domanda e offerta che, se non si interviene con azioni decise, continuerà a crescere e a rendere sempre più difficile alle aziende il tema della messa in sicurezza delle infrastrutture e dei dati.
Data Privacy e utenti finali
Infine, quello a cui stiamo assistendo è una sempre maggiore consapevolezza da parte degli utenti del valore del proprio dato. Negli ultimi anni abbiamo assistito ad alcuni dei più grandi scandali e data breach: i top player del mondo digitale, Apple, Google, Facebook, Amazon, hanno tutti dovuto in qualche modo “riguadagnarsi” la fiducia degli utenti e fornire maggiori garanzie sul proprio uso sicuro dei loro dati. Ci possiamo aspettare che in futuro gli utenti chiederanno di poter controllare come sono gestite le proprie informazioni personali, e questo sarà uno dei maggiori driver per investimenti in cybersecurity.
Come migliorare nella Preparazione e nella Risposta?
In ultima analisi, il 2020 si avvicina e preannuncia sfide ancora più elevate sul fronte della gestione della sicurezza. Quali le raccomandazioni che ci sentiamo di dover indirizzare, sia ai professionisti del settore, sia in generale al management delle aziende che cominciare a occuparsi di un tema – per molto tempo ritenuto per “addetti ai lavori” – come quello della cybersecurity?
- Lo scenario delle minacce, i requisiti della compliance, il diffondersi delle iniziative di trasformazione digitale: tutto concorre ad aumentare la pressione sui responsabili della cybersecurity. Come rispondere nel migliore dei modi se non si dispone di un team e di tutti gli skill per una gestione olistica della cybersecurity? Le organizzazioni devono oggi prendere in considerazione la possibilità di affidarsi a partner esterni specializzati (es. Managed Security Service Provider), dialogando con i quali riusciranno più facilmente a predisporre piani end-to-end di monitoraggio, detection, gestione dell’incidente e risposta.
- Sempre di più il tema della cybersecurity dovrà diventare parte integrante della cultura aziendale, e per far questo, i manager di quest’area dovranno imparare a parlare il linguaggio del business, confrontarsi con quelli che sono le priorità e i principali rischi per il business. Inoltre, dovranno misurare qual è il migliore contributo che possono dare alla stessa sostenibilità del business. Devono quindi sedere al tavolo dei nuovi sviluppi – soprattutto dove questi coinvolgono componenti digitali – e avere un approccio propositivo, in cui la cybersecurity diventa valore effettivo e componente abilitante la crescita del business.
- Le aziende che affrontano con successo il tema della gestione del rischio cyber non lo fanno da sole, ma facendo leva su una rete di partner esterni: da un lato come dicevamo sopra le società specializzate su questi aspetti, ma non solo. Servono esperienze esterne, condivisione in real time di informazioni sugli attacchi, una risposta coordinata con il law enforcement: tutto questo si può fare solo collaborando con peer e agenzie di cybersecurity, università e centri di ricerca, e i confini nazionali oggi sono stretti … Serve guardare anche a quanto viene fatto all’estero, partendo dal proprio settore ma non solo questo. Assisteremo sempre di più alla creazione di ecosistemi per la cybersecurity che saranno basati su tutte queste relazioni e legami.
- Cybersecurity e Innovazione Digitale. Il tema della sicurezza non deve frenare la migrazione verso il cloud o l’uso innovativo di tecnologie IoT e AI, anzi, deve favorirle il più possibile. L’AI poi sarà un’arma in più a disposizione della protezione: secondo quanto affermato da Capgemini, il 63% delle aziende prevede di utilizzare tecniche AI nel 2020 per migliorare la propria cybersecurity (in particolare negli ambiti della network security, data security, endpoint security, identity e access management).
Infine, quello a cui dovranno puntare i responsabili della cybersecurity, dal prossimo anno in avanti, sarà di disegnare una roadmap che porti nel tempo a incrementare sempre più la maturità della propria security posture, su più fronti: dall’incident handling, alla risposta, al security-by-design, al monitoraggio, alla detection, prevenzione e remediation. Sono molte le fasi da considerare, lo sforzo deve essere quello di disegnare un percorso di maturazione coerente con l’as-is e con gli obiettivi che si vuole raggiungere.
