di Matteo Castelnuovo | 07/03/2024
Il panorama della cybersecurity in Italia è in costante evoluzione e caratterizzato da un continuo aumento degli attacchi informatici, anche a causa della delicata situazione geopolitica. La quasi totalità di grandi organizzazioni ha avviato, continuato o potenziato i propri investimenti in sicurezza, adottando tecnologie all'avanguardia o rivedendo i propri processi con l'obiettivo di proteggere il proprio patrimonio informativo e i sistemi informatici.
In questo contesto, nel 2024 la cybersecurity si conferma, in linea con l'anno precedente, una delle principali priorità di investimento nel digitale in Italia. Questa tendenza è ulteriormente alimentata dall'impulso dell’Agenzia per la Cybersicurezza Nazionale e dal crescente interesse di piccole e medie imprese.
Uno scenario di grande attualità che, in vista della prossima edizione del Global Risk Forum – l’evento dedicato al mondo del risk management, previsto l’11 e 12 giugno 2024 presso l’Allianz MiCo di Milano, all’interno del Business Leaders Summit -, abbiamo voluto comprendere meglio, attraverso le parole di Marco Delato, Managed Cybersecurity Services Director, BeDisruptive, che ci ha spiegato quali saranno i prossimi passi che le aziende dovranno affrontare per approcciare nella maniera giusta la difesa del proprio perimetro cibernetico e i rischi ad essa connessi.
Delato, in un’Italia che sicuramente sta compiendo decisi passi in avanti rispetto al mondo della sicurezza informatica, cosa devono fare oggi le imprese, secondo lei, per impostare le basi per la creazione di una buona cultura della consapevolezza sul tema da parte dei propri professionisti?
“La consapevolezza è un aspetto fondamentale per la cybersecurity in quanto rappresenta la base di qualsiasi tipo di misura da prendere per contrastare gli attacchi malevoli. Basti pensare che la maggior parte dei cyber attacchi viene portata attraverso azioni effettuate da operatori inconsapevoli. Ad esempio, le e-mail di phishing sono uno dei veicoli più utilizzati dagli attaccanti e, in quel caso, basta un click sulla mail ricevuta per dare inizio alle azioni malevole. L’ultimo rapporto del Clusit ci ha informato di un aumento degli attacchi che usano tecniche di Social Engineering, ossia raccolta di informazioni da social media o da contatti diretti con utenti inconsapevoli. Per contrastare questo vettore di attacco, quindi, è fondamentale che tutte le persone dell’organizzazione siano consapevoli dei rischi e delle insidie in cui si imbatto nella loro vita quotidiana. Però, questo non basta: è necessario un approccio strutturato e continuo. Le persone devono essere in grado di distinguere un segnale di allerta all’interno di una mail malevola, anche quando, magari, sono in una situazione di stress. Per fare questo, bisogna creare delle campagne sistematiche di formazione, e il livello di consapevolezza deve essere monitorato, attraverso simulazioni di attacco che permettano di misurare il reale grado di consapevolezza presente”.
Quale dev’essere pertanto, dal suo punto di vista, la corretta postura di sicurezza che un’azienda deve tenere per anticipare l’insorgere di criticità dovute ad attacchi malevoli o a possibili errori umani?
“La postura di sicurezza è un concetto più ampio che non riguarda solo l’awareness, ma include altri aspetti. È necessario che le aziende si dotino di un presidio permanente che si occupi della prevenzione, del monitoraggio, della definizione delle giuste policy che regolano gli accessi ai sistemi e alle risorse, che definisca i processi e che disponga di tecnologie che permettano la verifica continua sul campo dell’efficacia delle misure attuate. Per molte aziende questo presidio può essere un investimento importante e magari fuori dalla loro portata. Noi, come BeDisruptive, forniamo servizi di sicurezza gestiti come il “SOC as a Service”, servizi di Incident Response e servizi di Analisi di sicurezza (Exposed Surface Recon) possono essere la soluzione giusta per bilanciare l’investimento con la gestione del rischio, coprendo a tutto tondo queste esigenze. Il nostro SOC combina il punto di vista del nostro blue team, che raccoglie e monitora gli eventi per rilevare tempestivamente i tentativi di attacco e gestire gli incidenti di sicurezza; con il punto di vista di chi vede la nostra infrastruttura dall’esterno, il nostro red team, simulando attacchi per verificare l’efficacia delle misure messe in campo; con il punto di vista di chi si informa di cosa succede nel mondo, il nostro team di analisti di Cyber Threat Intelligence, raccogliendo informazioni, talvolta riservate, che permettono di prevenire o rilevare tempestivamente i tentativi di attacco. Inoltre, offriamo anche servizi di consulenza e di training che si occupano di analizzare l’organizzazione, i processi, le politiche per la gestione dei rischi e la conformità alle normative esistenti, contribuendo in maniera determinante a migliorare la propria postura di sicurezza dei nostri clienti. Un processo virtuoso che permette alle aziende di orientarsi verso un percorso innovativo e sicuro per una migliore crescita”.
Quali sono quindi oggi i principali problemi che vanno affrontati da parte delle aziende Italia per avere o impostare un corretto approccio al mondo della cybersecurity?
“Il problema della cybersecurity è quello di continuare a rincorrere, spesso senza la giusta visione, nuove tecnologie e nuove informazioni con lo scopo di contrastare gli attacchi. Questa continua rincorsa, non sempre si traduce in risposte che rispondono efficacemente alle reali esigenze dell’impresa. La controparte della cybersecurity, sono i gruppi di attacco, ossia persone che cooperano come vere e proprie organizzazioni strutturate e competenti, che condividono informazioni, strumenti e servizi, che attuano nuovi modelli di business, ad esempio Ransomware as a Service o che preparano e manutengono infrastrutture pronte a sferrare attacchi DDOS. Queste organizzazioni, stanno lavorano in maniera sempre più efficiente e innovativa, e sono spesso ingaggiate da aziende che vogliono migliorare scorrettamente la loro competitività e che quindi commissionano tali attacchi per mettere in difficoltà la loro concorrenza. Come si contrasta tutto questo? Attraverso una sempre maggiore condivisione di informazioni sugli strumenti utilizzati e sulle misure per prevenire e contrastare tali attacchi, cercando di costituire un fronte comune per arginare tali attacchi. Bisogna, quindi, costituire delle reti di scambio di informazioni di intelligence che vengono raccolte e trattate per non diffondere dati sensibili. I cosiddetti IOC, indici di compromissione, che contengono informazioni sulle modalità con cui vengono sferrarti gli attacchi: firme dei malware, IP di comando e controllo, ed altre informazioni rilevanti. In questo modo, le aziende che difendono potranno mantenere sempre aggiornate le loro tecniche di protezione, attraverso flussi di informazioni prodotti e distribuiti dai diversi SOC che partecipano al network”.
Quindi, bisogna lavorare tutti insieme per anticipare i possibili attacchi, individuando i punti di vulnerabilità, attraverso il concetto di “lesson learned”?
“Assolutamente si. È fondamentale cercare occasioni di confronto che portino anche a condividere esperienze, ad esempio attraverso la partecipazione ai diversi gruppi di lavoro (TF-CSIRT, First.org) ma anche grazie ad organizzazioni che operano sul panorama italiano. Nel corso dell’anno appena concluso, abbiamo fatto un percorso ricco di confronti partecipando agli eventi organizzati dall’Osservatorio di Cybersecurity del Politecnico di Milano, percorso che è culminato recentemente nel convegno conclusivo di Milano del 22-23 Febbraio, evento di due giorni a cui abbiamo partecipato condividendo le nostre esperienze con tante grandi aziende ed organizzazioni pubbliche. Nel corso di questa conferenza abbiamo avuto modo di confrontarci con le nuove esigenze, le nuove strategie, anche in relazione all’adozione di nuove tecniche basate sull’Intelligenza Artificiale. Purtroppo, la grande maggioranza delle innovazioni introdotte nelle nostre tecnologie, insieme agli innegabili benefici, portano con loro anche nuovi rischi. Ad esempio, la diffusione sempre maggiore di dispositivi IOT che insieme alla convergenza dell’IT con l’OT, ha esposto le infrastrutture a supporto dell’automazione industriale alle minacce. Un altro esempio è relativo alla diffusione del 5G per supportare servizi critici (ad esempio gestione di grandi siti Industriali o Logistici come porti e aeroporti) tramite architetture estremamente flessibili e complesse. Queste casistiche, non possono essere gestite con gli strumenti per la gestione della sicurezza utilizzati nell’IT, ma richiedono l’impiego di specifici approcci e tecnologie. Per questo, è importante confrontarci con realtà nazionali e internazionali, con il mondo delle aziende, della PA, dell’università e della ricerca scientifica in modo da trovare soluzioni che possano essere applicate in questi ambiti specifici, ma che spesso contribuiscono ad innovare anche gli scenari tradizionali”.