Rapporto Clusit

AssetProtection. Cyber resilience e information sharing: i nuovi obiettivi della sicurezza

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

La domanda da porsi non è più cosa fare per non essere colpiti bensì cosa fare quando si sarà colpiti. Ecco quindi affermarsi il concetto di Cyber Resilience

Il 17 marzo scorso il Clusit (l’Associazione Italiana per la Sicurezza Informatica) ha presentato – come tutti gli anni dal 2011 – il Rapporto sulla Sicurezza ICT in Italia. E’ un documento – lo ricordiamo per coloro che ancora non avessero familiarità con il tradizionale appuntamento annuo – che l’Associazione offre liberamente alla comunità, a fronte di una semplice richiesta da inviare via e-mail alla segreteria, così come indicato nella pagina web.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

La prima parte del rapporto riguarda la classificazione ed analisi degli incidenti rilevanti in Italia. E’ inoltre arricchito, nella sua seconda parte, con il contributo di importanti aziende (Fastweb, IBM e Akamai) e delle Forze dell’Ordine che si adoperano attivamente per contrastare il cybercrime (Polizia Postale e Guardia di Finanza).

Si delinea un panorama inquietante di in-sicurezza, nel quale tutti sono gravemente coinvolti: professionisti, PMI, Pubblica Amministrazione, grandi imprese e cittadini. Per di più la situazione è ulteriormente aggravata – come sottolinea Gabriele Faggioli, Presidente del Clusit – non solo dal numero e dalla portata degli attacchi (indicatori con un trend complessivo in crescita dell’8% rispetto allo scorso anno) ma anche dalla constatazione che almeno i 2/3 non vengano neanche rilevati.

La sicurezza cambia quindi il suo obiettivo primario. La domanda da porsi non è più cosa fare per non essere colpiti bensì cosa fare quando si sarà colpiti. Ecco quindi affermarsi il concetto di Cyber Resilience, ovvero la capacità di un’organizzazione di intercettare un attacco – non dimentichiamo che alcuni tra i più rilevanti del 2014 sono stati individuati con estremo ritardo e che per altri ancora non è chiara la stima dei danni subiti – minimizzandone gli impatti e ripristinando la situazione attesa nel più breve tempo possibile.

E’ oramai chiara la necessità di pagare una tassa sullo sviluppo tecnologico degli ultimi anni, sotto forma di investimenti in sicurezza, per fronteggiare le differenti frange criminali che agiscono.

E’ uno scontro impari quello che avviene oramai quotidianamente tra le organizzazioni che operano a risorse, in alcuni casi, anche estremamente limitate e gli attaccanti, che dispongono di risorse illimitate: tempo, forte motivazione (non solo economica), competenze elevate e, in alcuni casi, forti iniezioni economiche derivanti da investimenti illeciti.

Qual è la soluzione? Adeguate politiche di gestione del rischio focalizzate sulla sicurezza – da non confondere, come spesso succede, con le necessità correlate alla compliance – forme più profonde ed efficaci di coordinamento e mutuo soccorso tra le parti, l’ampliamento e la maggior diffusione di adeguate coperture assicurative finalizzate al trasferimento dei rischi (soprattutto per le Pmi ed i professionisti) ed infine una crescente interconnessione di strutture di information sharing.

Proprio queste ultime dovrebbero consentire, nell’assoluta riservatezza per le aziende che segnalano gli incidenti, di disporre di informazioni sempre aggiornate circa le minacce incombenti. Questo è il principio sul quale la Polizia Postale ha realizzato un commissariato on-line (www.commissariatodips.it) presso il quale è possibile acquisire informazioni sui reati telematici, rivolgere quesiti agli esperti e collaborare attraverso l’invio di segnalazioni. E’ anche possibile inviare direttamente una denuncia per reati telematici che deve però poi essere formalizzata attraverso la sottoscrizione in presenza di un Ufficiale.

Mentre negli Stati Uniti è in vigore una normativa che obbliga le vittime a rilevare una violazione di dati, in Europa non è così. Quindi attenzione ad interpretare i dati quantitativi con euforia. Trend a ribasso potrebbero non significare una crescita di efficacia delle contromisure adottate. Piuttosto potrebbero dare ad intendere l’incapacità di individuare incidenti oppure, peggio ancora, di dichiararli. Proprio in Italia, la bassa percentuale di attacchi gravi di dominio pubblico – scrive il Clusit – conferma “la cronica mancanza di informazioni che affligge il nostro Paese”.

Nel rapporto emerge che, a livello globale nel 2014, le tipologie di attaccanti sono cambiate. Se il cybercrime e le forme di attivismo sembrano in fase discendente, gli obiettivi correlati al warfare sono invece in forte crescita. Infatti anche le statistiche relative alle tipologie delle vittime segnano un forte incremento per le agenzie governative, seguite poi dai settori di medicina, salute ed il mondo bancario e finanziario. Per quest’ultimo si registra, insieme ai servizi on-line ed in cloud, la maggior percentuale di crescita degli attacchi subiti dal 2011 ad oggi.

Con particolare focus proprio sugli operatori del settore bancario, è chiaro l’indirizzo che Banca d’Italia, con l’emissione del 15° aggiornamento della Direttiva 263 dell’estate del 2013, intende fornire. Nelle disposizioni sul sistema informativo (capitolo 8) si intende come l’obiettivo principale non sia quello di elencare le misure minime da adottare, quanto piuttosto quello di configurare un modello che riconosca la centralità della Sicurezza dell’Information and Communication Technology. Si delinea quindi la necessità di integrare l’analisi del rischio informatico all’interno del Risk Appetite Framework. Proprio la disponibilità delle informazioni raccolte circa eventi e incidenti rappresenta l’opportunità di stimarne in modo apprezzabile le probabilità di accadimento. E’ così possibile stabilire il livello degli investimenti relativi alle azioni di mitigazione e fornire conseguentemente agli organi decisionali una stima della propensione al rischio, con la possibilità di attuare politiche di trattamento integrate nelle strategie aziendali.

Per ciò che concerne i vettori di attacco utilizzati, l’SQL injection (codice maligno che attraverso le form consente di interrogare database) ed il DDos (bombardamento di interrogazioni rivolte verso un server che, per esaurimento di risorse disponibili, collassa) perdono il loro primato, a favore di un’allarmante categoria sconosciuto, all’interno della quale vengono conteggiati tutti quegli incidenti per i quali non è stato possibile raccogliere informazioni sufficienti sulle tecniche utilizzate. L’altra categoria per la quale si registra un significativo incremento è quella dei malware.

In conclusione, nel rapporto vengono individuati i trend globali per il 2015. Il più significativo, e forse anche nuovo e sconcertante, ha solo una relazione parziale con le tecnologie. Riguarda infatti la gestione della percezione su larga scala: la guerra psicologica. Anche attraverso la diffusione dei social network saremo sempre più esposti alle lotte tra governi e soprattutto alle crescenti attività, purtroppo non solo mediatiche, dei gruppi terroristici. Resta un tema ancora tutto da gestire e per il quale è difficile fare previsioni.