Professionisti

Vittorio Massone: Cybersecurity e Covid

19 Giu , 2020  

L’approfondimento di Vittorio Massone, manager con un’esperienza consolidata in ambito internazionale nel settore delle Telecomunicazioni, dei Media/Entertainment, del digitale, dei servizi industriali, del Government e dell’Automotive, sulla cybersecurity nei mesi della pandemia

Da qualche anno si parla molto di cybersecurity ed ancora di più in questi ultimi mesi di emergenza. La destabilizzazione creata dal virus e soprattutto il diffusissimo lavoro da casa (smart o meno) hanno creato le condizioni ideali per i cyber criminali per aumentare gli attacchi. Basta un solo loophole, un solo punto debole, e questo può anche essere remoto, non necessariamente centrale al sistema. Inoltre, la rapidissima evoluzione dell’artificial intelligence ha aumentato a dismisura la potenza di fuoco degli attaccanti – Google sta bloccando qualcosa come 18 milioni di mail “maliziose” al giorno, soprattutto di “phishing” e più dei due terzi di queste sono generate da macchine (bot, trolls, etc.) e non da persone. Questo vuole anche dire che gli attacchi sono random, indiscriminati, per cui nessuno può sentirsi al sicuro.

Il fenomeno più devastante è quello del ransomware, ove i criminali inducono con l’inganno a far scaricare un software maligno (“malware”) che fa una encryption dei dati aziendali. Dopodiché minacciano di bloccare tutto a meno che non venga pagato un riscatto (“ransomware”) entro un certo numero di ore in cambio della chiave di decriptazione. Ovviamente pagamenti in cryptocurrencies. Nella versione più recente di questo crimine, i dati prima di venire criptati vengono copiati altrove, in modo che anche se l’azienda ha dei sistemi di back up perfettamente funzionanti (e quindi può più o meno facilmente switchare sul back up ed evitare il blocco aziendale), deve comunque pagare per non vedere i dati propri e dei propri clienti venduti sul mercato, con danni reputazionali, sanzioni e rischi di class actions enormi. Per finire, spesso viene comunque venduta sul mercato nero la chiave ed il percorso di accesso che i criminali hanno utilizzato per il “breach”, ad uso e consumo di altri gruppi criminali.

Tale è la portata del fenomeno e la gravità dei potenziali danni, che la cybersecurity è diventata un tema chiave per i CEO e i Board. Questo crea il primo tipo di problema, cioè una mancanza di competenze e di “readiness” di molte aziende, laddove le decisioni chiave vengono prese. I consulenti di riferimento della “C-suite” si stanno attrezzando, ma non sono ancora interlocutori credibili su questi temi. Il panorama è ovviamente molto diverso da azienda ad azienda e da settore a settore, essendo alcune aziende ed alcuni settori ormai molto più preparati della media nel difendersi da questi attacchi. Il secondo problema è legato alla ricerca di soluzioni con puri strumenti tecnologici. Ovviamente la tecnologia è fondamentale, ma è soltanto con un approccio coerente agli aspetti di Persone, Processi e Tecnologia che si può affrontare il problema.

L’aspetto umano è spesso quello più trascurato: il dipendente che clicca sull’attachment che scarica il malware, e che magari poi per paura o per ignoranza non dà l’allarme alle strutture competenti; il dipendente dell’amministrazione che riceve una mail dall’Amministratore Delegato (in verità un falso ma sofisticato messaggio generato attraverso AI) e che bypassando tutte le procedure ed autorizzazioni procede a effettuare un pagamento ad un fornitore chissà dove, in realtà un criminale. Questi fenomeni hanno poco a che vedere con la tecnologia e molto con aspetti di cultura aziendale, di awareness. Ultimamente, questi approcci “umani” si sono sofisticati, con persone reali che sotto le mentite spoglie di un Tech Support di un fornitore o di una banca, creano un rapporto di fiducia con il nostro funzionario, inducendolo nell’arco di magari settimane a cambiare parametri, dare informazioni chiave, di fatto lasciare inconsapevolmente aperta la porta ai malfattori. Questo tra l’altro richiama la necessità che anche I nostri fornitori di prodotti e servizi siano adeguatamente protetti, altrimenti il punto debole sfruttato per un attacco potrebbero essere proprio loro. Nonostante si adottino sempre più sistemi di supply chain integrate, non è di frequente che si vede un cliente effettuare un audit – o anche solo un survey – sui propri fornitori.

Con l’AI usato per i “deep fake”, questo incrocio di comportamento umano – processi sarà ancora più importante: è già ora possibile ricreare sinteticamente in maniera molto credibile la voce di un Amministratore Delegato o di un CFO – a breve anche l’immagine, con AR/VR – che dà istruzioni ad un funzionario di effettuare certe operazioni.

Ovviamente gli aspetti tecnologici sono comunque fondamentali, a partire dall’architettura stessa dei sistemi informativi, la configurazione delle connessioni remote, la robustezza dei sistemi di identificazione e accesso, i sistemi di malware detection e di intrusione, sistemi di analisi e testing costante dei possibili failure points. Fondamentale qui è l’analisi del “cyber security debt”, come sotto insieme del technological debt, cioè di interventi già identificati e considerati necessari ma che per motivi di allocazione di risorse e budget vengono scadenzati nel tempo. Vi sono qui due considerazioni chiave: 1) la prioritizzazione degli interventi va fatta in base al rischio e al potenziale danno. Non si può difendere tutto, importante quindi una scelta consapevole – basata su parametri di business, non tecnologici – di cosa è più sensibile. 2) una allocazione di risorse e budget adeguati ai rischi. Potrebbero dimostrarsi gli investimenti a più alto ROI mai fatti in azienda. Questo tema va doppiamente menzionato in questo periodo di crisi economica e finanziaria in quanto sarà tentazione comune a molte aziende, soprattutto di medie dimensioni ma non solo, di rinviare questo tipo di “costi” di IT, che ricadono di fatto tra le spese “discrezionali”.

La consapevolezza qui è che il problema non potrà mai essere risolto al 100%, ma che bisogna costantemente studiare, imparare e migliorare per poter stare un passo avanti (o almeno non troppi passi indietro) rispetto ai criminali. Non aiuta, da questo punto di vista, che le aziende comprensibilmente non siano molto disponibili a fare “information sharing” quando vengono attaccate, e condividere una analisi post-mortem di cosa è andato storto e come rimediare. La stessa collaborazione internazionale tra governi non è così funzionante come in altri campi, cosa che è ovviamente fondamentale in quanto queste organizzazioni criminali sono spesso basate fuori dai confini nazionali ed europei.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Update cookies preferences