Riportiamo l’Articolo di Alessia Valentini uscito il 20 Aprile sul canale Cyber Security del portale StartupItalia! con i temi chiave emersi nel corso del Cybersecurity Summit 2018, lo scorso 21 marzo a Roma, e con l’intervista a Roberto Masiero, Presidente di The Innovation Group.
Le sfide della cybersecurity spaziano dalle minacce incombenti alle difese realmente efficaci, dagli obblighi di compliance, alla necessaria formazione. Dimenticare l’approccio “one-man band” in favore della collaborazione di team e coalizioni e della condivisione di informazioni.
Uno scenario complesso
Il motivo principale della crescente complessità nella tenuta sotto controllo del tema Cybersecurity risiede nella progressiva e crescente pervasività della digitalizzazione, che entra nei processi aziendali e produttivi, in tutti gli ambiti di mercato e non più solo in quelli nativamente tecnologici (ICT, Telco), che incide nei settori e nelle entità devolute al servizio pubblico e ai servizi abilitanti ed essenziali (acqua, luce gas etc).
La sicurezza informatica in tutti gli ambiti e livelli sopra citati, si diversifica e si specializza richiedendo conoscenza puntuale, preparazione e una concretezza esecutiva che consenta di restare operativi sotto attacco: in una parola, restare resilienti. Poiché non esiste un sistema perfettamente sicuro, come non esiste una prevenzione di tipo “preveggenza” sugli attacchi o su un malware 0-day, è necessario restare continuamente informati e continuamente aggiornati.
Studio e apprendimento, ma soprattutto condivisione di conoscenza (infosharing) e di best practice a partire dalle esperienze altrui, sono strumenti essenziali, perché nella sicurezza informatica come in molti altri ambiti, non si vince da soli, ma in team. Ne deriva quindi l’importanza di alimentare la community dedicata alla sicurezza informatica con le proprie esperienze, mantenendo la mente aperte a tutto quello che altri possono trasmettere e insegnare. E questo tanto a livello nazionale quanto anche guardando all’ambito internazionale, soprattutto perché molti paesi europei ed extraeuropei, hanno avvivato da molto più tempo rispetto all’Italia, una strategia e una risposta di carattere nazionale alla cybersecurity stanziando investimenti a supporto; inoltre è necessario guardare oltre confine anche perché molti paesi hanno invece un assetto offensivo proprio nel cyberspace, ed attuano attacchi informatici motivati da fini geopolitici. La modalità di difesa, ancora una volta risiede nel team, ovvero piuttosto che avvenire a livello di singolo paese, la risposta potrebbe avere la forma di una coalizione.
Parole chiave collaborazione e condivisione
E’ proprio su questi temi che Julian King commissario della “Security Union” presso la Commissione Europea, è intervenuto al Cybersecurity Summit 2018 di Roma, sottolineando e rimarcando l’importanza della collaborazione pubblico-privata come una vera e propria arma per la risposta in caso di attacco informatico, anche in ottica di cooperazione internazionale per il coordinamento e l’intervento.
Ma per creare a una cyber sostenibile nel Partenariato Pubblico Privato (PPP) è importante non solo il coinvolgimento dei privati, ma che questi vedano la cybersecurity non come fonte di costi, ma come veicolo di un vantaggio competitivo. Sebbene l’Unione Europea sia fermamente convinta della necessità di investire nello sviluppo di skill e competenze, viene rimarcato come un appropriato processo di certificazione dei prodotti, da usare in ambiti critici o core per una entità, non sia più rimandabile, come non lo è più l’appropriata persecuzione dei crimini informatici per ottenere una efficace deterrenza. Se non si vedranno risultati in breve tempo su questi fronti, l’Unione è pronta a rimettere mano alla legislazione anche per combattere la disinformazione a mezzo digitale ancora troppo spesso utilizzata per fini politici.
Dunque, guardare all’ambito internazionale per ispirarsi alle strategie e agli interventi di paesi come l’Inghilterra e gli Stati Uniti rappresenta un passaggio obbligato. Ma questi stessi paesi oltre a fornire un esempio, chiamano anche alla collaborazione globalecome ci spiega Roberto Masiero, Presidente e fondatore di Innovation Group che ha invitato all’edizione 2018 del Cybersecurity Summit di Roma, Jill Morris e Lewis Michael Eisemberg rispettivamente ambasciatrice inglese ed ambasciatore americano, in Italia: “Gli elementi da cogliere dagli interventi dei due diplomatici riguardano la parola chiave “collaborazione”. La risposta a una crescita sempre più aggressiva delle minacce cyber richiede coordinamento, impegno concreto delle istituzioni, operatività. Da questo punto di vista il Regno Unito è per noi un esempio da seguire: il National Cyber Security Centre (UK NCSC), attivo da ottobre 2016, un centro di eccellenza impegnato in prima linea, sia nei confronti delle pubbliche amministrazioni inglesi, sia anche nel supporto più in generale alla pletora di PMI che mancano di competenze e staff su questi ambiti. Anche l’Ambasciatore Eisenberg ha sottolineato che gli Stati richiedono forti integrazioni e scambi di informazioni nella risposta a questi rischi e in parte lo stanno facendo già oggi. Un insegnamento per l’Italia è però la concretezza con qui in questi Paesi viene impostato il lavoro dei centri deputati alla cyber defense nazionale. Da noi prevalgono spesso le buone intenzioni rispetto ai progetti fattivi: non andrebbe sottovalutato l’impegno anche economico di questi Paesi, nel Regno Unito un investimento per la cybersecurity pari a 1,9 miliardi di sterline”.
Le tre D della cybersecurity
Una profonda esortazione alla collaborazione ed alla condivisione di conoscenze e di esperienze, ancora considerate come la migliore forma di difesa digitale è stata espressa anche da Paula Walsh head della Cyber Policy presso il Foreign & Commonweath Office (FCO) inglese, che nell’illustrare la strategia UK e la visione per il quinquennio 2016-2021 ha sottolineato l’azione delle tre D: DEFEND, difesa contro i cyberattacchi, DETER, deterrenza contro gli avversari e DEVELOP, ovvero sviluppo di competenze e capacità. Sul nodo annoso dell’attribuzione è stato ricordato come costituisca una decisione politica, per un governo e come debba essere basata su evidenze tecniche, da fonti intelligence ottenute mediante open source data, da assessment di tipo geopolitico, e completata da motivazioni che spieghino le capacità del paese attaccante sospettato. Ognuno di questi passi non si rende solo necessario per la risposta ad un attacco cyber ma costituisce anche un approccio alla deterrenza; infine il processo di attribuzione ha una funzionalità ottimizzata se viene svolto all’interno di una coalizione in modalità joint forces.
Le priorità delle azioni di difesa
Se la minaccia assume aspetti multiformi e insidiosi, (Nunzia Ciardi Dirigente superiore della Polizia di Stato e Direttore del Servizio Polizia Postale) che hanno aumentato le denunce sul cybercrime da aziende medio grandi anche per tentativi di scamming (truffe basate su metodi di ingegneria sociale) o di campagne di phishing, è necessario riconoscere anche che la minaccia non è più statica (Marco Tulliani, BNL Gruppo BNP Paribas) ed è quindi opportuno avere una valutazione dell’esposizione al rischio di tipo dinamico, che evolva al variare della minaccia e che faccia uso di metriche prospettiche nel valutare minacce non immediatamente visibili.
La ridefinizione del piano di controlli interni dovrebbe essere focalizzata al cyberrisk e non più al solo rischio IT, (Stefano Volpi, Symantec); si dovrebbe enfatizzare il ROI degli interventi di sicurezza per capire l’entità del risparmio ottenuto rispetto al potenziale danno economico da incidente di sicurezza. Lavorare ed investire sulla awareness interna anche a mezzo esercitazioni è un passaggio imprescindibile (Andrea Chittaro, SNAM), anche se molte entità ancora non sarebbero perfettamente pronte, come non lo sono “all’esame del GDPR”, sebbene sia importante dimostrare una tenuta sotto controllo, che seppur non perfetta, permetta di comprovare l’esistenza “in place” di un processo di sicurezza.
Ancora troppo spesso le organizzazioni non sono pronte su incident response o su un appropriato asset maangement per la tenuta sotto controllo di sistemi critici e delle informazioni in essi contenute, come le informazioni di tipo strategico e vitale per l’azienda, di tipo proprietà intellettuale, o genericamente sensibili e confidenziali (Paolo Cecchi, Fireeye) ma in effetti non c’è una adeguata protezione del dato che si muove dentro e fuori dal perimetro aziendale, sia nella gestione con soluzioni in Cloud o negli scambi con la supply chain (Stefano Volpi, Symantec). Per il controllo di questi ultimi due ambiti si ricordano gli strumenti contrattuali coniugati alle verifiche di audit per controllare la filiera dal punto di vista di sicurezza (Gianna Detoni, BCI). Per i responsabili di servizi la resilienza è un elemento cruciale da ottenere e se nelle telecomunicazioni ci si deve dotare di sistemi e mezzi anti-DDOS (Marcello Fausti TIM) i sistemi per i servizi al cittadino devono costantemente essere oggetto di monitoraggio analisi e prevenzione (Nicola Sotira Poste Italiane).
Nessuno è sicuro dal rischio potenziale di attacco
A fronte delle tante sfide di sicurezza che spaziano dalle minacce incombenti alle difese efficaci da predisporre, che richiedono di centrare i requisiti di GDPR e NIS, chiediamo al Dott. Masiero quale siano le priorità di intervento di tipo operativo:
“Dare la parola ai Security Manager di istituzioni e grandi organizzazioni è servito a comprendere, una volta per tutte, che oggi nessuno, anche chi ha lavorato negli ultimi 20 anni a un’architettura di sicurezza completa e ampia, si può dire completamente protetto dall’evenienza di un incidente cyber. Nonostante tutti gli sforzi e le numerose attività in corso, le vulnerabilità e la sofisticazione e continua mutazione degli attacchi rendono questa sfida molto complessa. Permangono dei limiti organizzativi che andranno riconsiderati: uno su tutti il fatto che fino ad oggi l’area della cybersecurity è stata troppo orientata a strutturarsi “a silos”, in modo separato dal resto dell’organizzazione. Servirebbe invece un approccio più integrato e coordinato con il resto dell’organizzazione, orientato a comunicare meglio le problematiche della cybersecurity al top management/al board. Le stesse attività di misurazione e reporting sono oggi poco strutturate, qualitative invece che quantitative, in molti casi inesistenti”.
Quali i suggerimenti emersi nel corso del Summit?
“Li sintetizzerei in 3 aree: Ripensare il disegno complessivo, le misure e i processi del Cyber Risk Management, adottando ad esempio framework consolidati, e puntando soprattutto a diffondere una cultura sul tema e una maggiore security awareness in azienda; Estendere il monitoraggio della security, sulla base di un disegno preciso di Threat Management e strumenti opportuni per il Vulnerability Management, integrato con una comunicazione dei risultati di tutto questo lavoro adottando Security Metrics e un reporting efficace verso il top management/board; Allineare meglio la security alle iniziative di Digital Transformation e sviluppo del business: la velocità è oggi un elemento critico per competere nel mondo Digitale, servono quindi meccanismi nuovi per garantire una maggiore sicurezza delle applicazioni e dei trattamenti dei dati dei clienti”.
Fra i problemi aperti permane lo sviluppo di processi di segnalazione senza persecuzione del segnalante per la divulgazione delle vulnerabilità (Vulnerability Disclosure – VD). Dei ventotto stati membri europei solo tre hanno un processo di VD con framework normativo policy e procedure, a supporto, ma si rende necessario lo sviluppo di policy comuni basati sugli standard ISO/IEC 29147 e ISO/IEC 30111 (Gianluca Varisco Responsabile cybersecurity nel Team Trasformazione digitale del governo).
A cura di:
(L’Articolo originale è uscito il 20 Aprile 2018 su canale Cyber Security del portale StartupItalia!)
Approfondimenti
Per seguire anche l’edizione milanese del Cybersecurity Summit 2018 (durante la quale sarà presentato il report “Cyber Risk Management 2018 Survey” curato da The Innovation Group) prevista il 30 e 31 maggio prossimo, registrarsi gratuitamente alla pagina dell’evento.