Nel corso del 2020 l’ecosistema delle reti private e aziendali da un lato ha permesso di tenere testa a una situazione anomala amplificata dall’emergenza Covid, dall’altro ha fatto emergere nuove problematiche e riproposto alcune esistenti ma in forma completamente nuova.
La tipologia di cyber minacce si sta evolvendo, perfettamente al passo con il progredire delle tecnologie di connessione, pertanto si è ben compreso quanto sia importante riuscire a gestire quantità di informazioni massicce nel migliore dei modi innalzando, nel contempo, i livelli di protezione da attacchi digitali. Tuttavia, non sarebbe corretto identificare le problematiche relative al traffico digitale racchiudendo il tutto in pochi aspetti. L’intero ecosistema digitale ha iniziato la propria evoluzione già da tempo, subendo poi una decisa accelerazione dovuta all’emergenza sanitaria che stiamo vivendo. Dunque, quando si parla di cybersecurity, sono molti gli aspetti che devono essere affrontati in modo approfondito, adottando soluzioni concrete di sicurezza in modo che lo scenario non arrivi ad essere fuori controllo.
Per fare chiarezza in quest’ambito, abbiamo interpellato Alessandro Manfredini, Vicepresidente AIPSA e Direttore Group Security e Cyber Defence del Gruppo A2A, il quale ha analizzato la situazione attuale tracciandone un quadro esaustivo, andando anche a toccare aspetti che talvolta si tende a sottovalutare. Manfredini approfondirà poi il tema a Sec Solution Forum 2021 che si terrà online dal 28 al 30 aprile.
Come si è trasformata la percezione che le aziende hanno verso la cyber security?
L’attuale scenario delle aziende nazionali è composto da realtà che si stanno affacciando ora al tema della trasformazione digitale come anche da aziende più mature che hanno intrapreso il percorso della digitalizzazione ben prima della crisi pandemica. Le differenze in questo senso non sono necessariamente riferite al divario esistente fra grandi realtà e PMI, bensì alla consapevolezza che un’azienda possiede riguardo al fattore digitale. C’è però da dire che finora sono moltissime le PMI che non hanno ancora compreso completamente quanto sia necessario effettuare questa transizione e, per restare al passo con il mercato, occorre una decisa accelerazione anche da parte loro.
Che cosa è cambiato?
È mutato lo stato delle cose, poiché fino a qualche anno fa, quando si parlava di sicurezza ci si riferiva alla protezione del dato, attraverso una messa in sicurezza “statica”, mentre ora è quanto mai necessario preservare il dato e le informazioni indifferentemente dalla loro ubicazione, rendendo quest’aspetto estremamente dinamico. L’approccio sulla gestione dei dati è quindi mutato ma è cambiata anche la tipologia di attacchi informatici che, fatti di cronaca alla mano, sono sempre più frequenti e devastanti poiché le dimensioni del perimetro di esposizione alle minacce sono direttamente proporzionali alla quantità di dati movimentata. Si evolve anche lo scenario delle normative in fatto di cybersecurity e tutela delle informazioni (GDPR, Direttiva NIS, ad esempio) specifiche per adottare una strategia non solo di difesa ma di sensibilizzazione riguardo al fattore resilienza, essenziale per essere reattivi a fronte non soltanto di un cyberattacco ma anche, ad esempio, di un guasto. Occorre anche considerare il livello di tutta la filiera aziendale, perché il tema sicurezza non può interrompersi al di fuori del proprio perimetro. Fornitori e interlocutori vari devono essere equiparati alla stregua dei processi interni aziendali: il livello di sicurezza delle reti e degli applicativi interni, ad esempio, deve essere allineato a tutta la supply chain.
Qual è il ruolo dello smartworking, che è stato fortemente accelerato dalla crisi sanitaria?
Riguardo alla situazione attuale dello smartworking, che però io chiamerei telelavoro, direi che rappresenta uno dei protagonisti di questo scenario e, purtroppo, non mi riferisco al fatto che sia una novità per le aziende. Voglio portare l’attenzione su come il telelavoro abbia generato una nuova tipologia di problematiche relative al discorso reti e connessioni. Come noto, non tutte le aziende hanno avuto la possibilità di predisporre collegamenti VPN e di far utilizzare i dispositivi aziendali. Su questa situazione possiamo fare una considerazione: sebbene un’azienda abbia a disposizione un’adeguata protezione dati, l’utilizzo di dispositivi come pc o smartphone privati e l’uso di connessioni private rende vulnerabile l’azienda stessa. Sembra una cosa più che ovvia ma spesso molti attacchi digitali hanno avuto successo per questo motivo: basta una semplice distrazione da parte di una persona che opera all’interno della rete, anche a distanza, per creare una breccia nel sistema… e le conseguenze sono facilmente immaginabili. Lavorare a distanza è possibile ma vanno adottate tutte le precauzioni del caso, in questo senso improvvisare può costare molto caro.
Qual è la vostra esperienza?
Per quanto concerne A2A e il telelavoro, posso affermare che in epoca pre-covid operavano già in modalità remota (smartworking) circa 1000 lavoratori, portati poi a 4000 durante la pandemia. Nel momento di massima allerta anche il call center è stato remotizzato, e tengo a sottolineare come tutta questa trasformazione sia stata possibile rafforzando le misure di sicurezza, adottando il doppio fattore di autenticazione e facendo in modo di permettere l’accesso ai sistemi informatici aziendali soltanto a personale precedentemente profilato. Non siamo ovviamente gli unici ad averlo fatto, è solo un esempio, ma voglio ancora sottolineare quanto sia fondamentale per un’azienda far maturare al proprio interno la consapevolezza, dapprima documentandosi sulle tipologie di minaccia, e proseguire nell’analisi dei rischi senza tralasciare nessun dettaglio; come detto prima, la tipologia di minacce è cambiata così come il loro paradigma, diventando minaccia ibrida: un attacco digitale che si riflette sempre di più sul mondo fisico.
Come sta evolvendo la situazione dopo un 2020 molto particolare e quali importanti considerazioni si possono fare oggi dopo un anno di “esperienza”?
Voglio rispondere partendo dal tema minacce, analizzando le motivazioni che hanno portato all’aumento e alla tipologia. Riguardo all’aumento, come accennavo prima, la quantità di minacce è aumentata principalmente a causa della vulnerabilità delle reti, dalla crescita esponenziale dei dati a disposizione e dalla scarsa consapevolezza degli utenti. Tuttavia, occorre anche considerare l’”identikit” del cybercriminale di ultima generazione, poiché anch’esso ha subito nel tempo profonde mutazioni. Anni addietro l’hacker tipico, era solitamente riconoscibile come un nerd con altissima esperienza informatica, mentre oggi l’hacker è tutt’altro. Oggi coloro i quali compiono reati informatici sono criminali comuni, che nel frattempo si sono digitalizzati anch’essi, attraverso un processo evolutivo (negativo in questo caso!), sfruttando la possibilità di ottenere veri e propri servizi on demand. Non è difficile trovare questo genere di “servizi” (attacchi DDOS, malware, spamming, ecc.) nel deep e dark web. Ci troviamo di fronte a una tipologia di figura completamente diversa rispetto al passato, proprio perché è il fattore adattabilità il responsabile di questa metamorfosi.
Rispetto a quello che possiamo aver appreso dallo scorso anno, posso dire che tutti gli episodi di attacco digitale hanno ad ogni modo confermato che il fattore umano è il vero anello debole della catena. Errori di valutazione sulle strategie di difesa e di reattività, distrazioni e leggerezze hanno messo in evidenza la forte dipendenza dal fattore umano. Ecco perché sottolineo ancora come la cybersecurity non si debba limitare soltanto alle tecnologie ma anche alla sensibilizzazione delle persone. E da qui parte anche il discorso riguardo ad un altro aspetto importante: quello di avere un approccio olistico della protezione delle informazioni e dei dati. Non basta più considerare la rete e le infrastrutture aziendali come un castello, protetto solamente dal rinforzo delle mura per difendersi dalle incursioni esterne. È altrettanto importante prendere atto di come le minacce possano arrivare ad esempio anche dall’interno, sottolineando quanto sia fondamentale mettere in sicurezza i processi interni in modo da poter individuare qualsiasi comportamento anomalo. Occorre trasformare la propria visione: monitorare di più è essenziale per essere più reattivi, altrimenti tecnologie e investimenti non servono a molto se non vi è allo stesso tempo coerenza ed equilibrio tra le diverse iniziative.
Lo scorso anno abbiamo iniziato a comprendere quanto la sicurezza dei dati e delle reti fosse importante…
I dati fanno parte del patrimonio di un’azienda e le reti sono le autostrade utilizzate per farli viaggiare, quindi la loro sicurezza è di vitale importanza. Oggi esistono una grande varietà di dispositivi connessi, non solo a livello industriale ma anche domotico, immaginate addirittura le auto a guida autonoma, mi riferisco all’Internet delle Cose. Voglio soffermarmi su un aspetto, spesso poco considerato, riguardo ai dispositivi IoT e IIoT (l’internet delle cose applicato al mondo industriale). La transizione digitale è oramai una realtà quotidiana poiché ha avuto inizio anni fa. Viviamo ogni giorno in ambienti sempre più connessi, e posso fare l’esempio della domotica, dove numerosi elettrodomestici dialogano fra loro, ti informano, si occupano di mantenere un’ambiente confortevole e così via. Va però considerato che questi dispositivi non sono stati progettati in origine per questi scopi, ossia non sono “nativi digitali”. Questo aspetto può essere risolto attraverso un retrofitting, ma ben difficilmente gli elettrodomestici aggiornati e connessi potranno disporre di strumenti di difesa dagli attacchi cibernetici. Il concetto di security by design, deve essere esteso a qualsiasi dispositivo in grado di connettersi a una rete, deve essere predisposto e messo sul mercato con tutte le misure di sicurezza, ma questo deve essere a livello embedded.
Che cosa consiglia al mondo dell’industria?
Per quanto riguarda il settore industriale, e quindi IIoT, esiste la stessa problematica di fondo. Sono numerosi gli esempi di conversione delle linee produttive ed è un’ottima scelta quella di aggiornare le linee produttive dotando i macchinari di sistemi che permettano la digitalizzazione, ma va tenuto ben presente che, ad esempio, le attrezzature datate potrebbero essere esposte a diverse vulnerabilità, al pari degli elettrodomestici poiché non nati a questo scopo. A questo punto avere un alto livello di protezione da attacchi esterni senza allineare i dispositivi connessi perde di efficacia, ed è per questo che bisogna incrementare, laddove non è possibile applicare una security by design, almeno processi di analisi di vulnerabilità e penetration test preventiva.