Cybersecurity, PMI a rischio attacco. Dalla prevenzione al “fattore umano”, le misure da adottare

La situazione Italiana è a dir poco preoccupante sotto il profilo della cybersecurity, per comprendere le motivazioni occorre approcciare il problema analizzando diversi contesti in cui operano le nostre imprese.

Innanzitutto cerchiamo di comprendere il contesto economico in cui le nostre aziende operano. Molte delle nostre imprese hanno patito un lungo periodo di crisi e in assenza della consapevolezza della minaccia cyber tendono a considerare la sicurezza come un ulteriore costo da limitare.

Non si comprende a pieno l’importanza del patrimonio informativo per la moderna impresa, né tantomeno i potenziali danni derivanti dalle minacce cibernetiche.
La quasi totalità delle imprese si trova ad operare in un mercato globale in cui la concorrenza è agguerrita e troppo spesso ci si preoccupa più della politica dei prezzi che della salvaguardia della proprietà intellettuale.

Contesto tecnologico

Il contesto tecnologico è caratterizzato da una minaccia sempre più aggressiva, il numero di attacchi cibernetici è in costante aumento, ma a preoccupare è soprattutto il loro livello di sofisticazione.

Le minacce sono in aumento e preoccupa soprattutto il livello di sofisticazione

La superficie di attacco delle nostre imprese è in rapida espansione causata dalla massiva introduzione di tecnologie come l’IoT, il cloud computing ed il mobile.
Premesso ciò, va però detto che la quasi totalità degli attacchi contro le nostre imprese, così come quelle di tutto il mondo, sfrutta il fattore umano. La mancata adozione di norme di comportamento idonee dovute alla non conoscenza del delle tecniche, tattiche e procedure messe in campo da varie tipologie di attaccanti è alla base del successo delle numerose offensive che osserviamo.

L’importanza del fattore umano

Pensiamo ad esempio all’impatto dei ransomware, piccole e semplici regole potrebbero ridurre drasticamente l’efficacia di questa tipologia di codici malevoli. La corretta gestione dei backup e dei processi di patch management, piuttosto che la maggiora conoscenza delle modalità di attacco basate su campagne di spam potrebbe aiutare a limitare l’azione degli attaccanti.

Le più esposte agli attacchi sono le PMI

Così come emerso dai dati pubblicati nell’ultimo rapporto del Clusit, il primo semestre del 2017 è il peggiore dal 2011
Alcuni settori sono particolarmente esposti alla minaccia cyber, tra essi il Finance, la sanità, ed ovviamente la pubblica amministrazione.
Le PMI sono le più esposte, carenza di risorse, scarsa cultura in materia cyber security ed il fatto che vengano utilizzare come ponte per attaccare grandi imprese con cui collaborano, fa sì che esse siano facili obiettivi per varie categorie di attaccanti.

I sindacati criminali si confermano la principale minaccia alle nostre imprese, organizzazioni strutturate così come aziende di successo, efficaci e rapide nel rispondere a qualunque cambiamento ed opportunità che possa emergere nell’ecosistema in cui operano.
Uno dei fenomeni più preoccupanti è il cosiddetto crime-as-a-service, ovvero gruppi dediti al crimine informatico offrono i propri servizi ad altri criminali, spesso perché quest’ultimi non dispongono delle competenze tecnologiche adeguate.

Uno dei fenomeni più preoccupanti è il cosiddetto crime-as-a-service, ovvero gruppi dediti al crimine informatico che offrono i propri servizi ad altri criminali

Nelle principali darknet è facile acquistare servizi e prodotti per condurre ogni genere di attacco. Codici malevoli, botnet e servizi di money laundering sono accessibili a nel dark web.

Contesto normativo

La pubblicazione delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” emanate dall’Agid, il nuovo Regolamento europeo per la protezione dei dati personali (GDPR) e la Direttiva europea NIS hanno portato alla ribalta l’importanza delle cyber security per le nostre imprese.
A spaventare maggiormente è il fattore tempo ed il rischio che le prossime scadenze possano essere sfruttare più da coloro che intendono trarre profitto piuttosto che dalle imprese stesse per il miglioramento della relativa postura in materia sicurezza.
Tutte le normative menzionate hanno un impatto significativo sui processi, la relativa implementazione necessita di tempo e risorse.

Troppe aziende sono ancora ferme al palo, spesso perché il management non riesce a comprendere a pieno il rischio cyber né tantomeno le opportunità che l’adozione di una corretta postura di sicurezza può offrire.
La “pressione” esercitata sulle aziende dai media e dai vendor di soluzioni per l’adeguamento normativo potrebbe portare le stesse aziende ad investimenti errati, almeno sotto il profilo cyber, a scapito delle sicurezza complessiva delle loro strutture.
Spendere male i propri fondi destinati alla cyber security potrebbe essere la causa di un ulteriore indebolimento dell’impresa, e in un’ottica Paese, dell’intero sistema produttivo.

Quale scenario attendersi nei prossimi mesi?

Purtroppo il numero di minacce è destinato a crescere così come la relativa incidenza. E di cruciale importanza che le istituzioni accompagnino le nostre aziende nel cambiamento, nell’affrontare le nuove sfide tecnologiche e normative.
La questioni chiave da affrontare vi sono sicuramente la necessità di aumentare la consapevolezza della minaccia cibernetica. Tutto ciò richiede un cambio di mentalità da parte del nostro paese, e le istituzioni hanno un ruolo primario in questo.
Dobbiamo formare una nuova classe di professionisti che ci accompagnino nei prossimi anni e che siano in grado di rispondere alle esigenze in materia sicurezza e privacy. Andrebbero migliorati i piani di studio già dalle scuole medie, introducendo concetti base per lo sviluppo di esperti, ma soprattutto di cittadini consapevoli.
Infine sottolineato l’importanza di dover lavorare in ambito internazionale ad un framework per regole di comportamento tra stati nel cyber spazio, un quadro normativo che diversamente da quanto emerso dal recente G7 abbia carattere cogente.

no dei fenomeni più preoccupanti è il cosiddetto crime-as-a-service, ovvero gruppi dediti al crimine informatico offrono i propri servizi ad altri criminali