Cyber crime, serve più collaborazione pubblico-privato: come fare | Agenda Digitale

World Economic Forum

Cyber crime, serve più collaborazione pubblico-privato: come fare

I rischi della criminalità informatica continuano a crescere, interessando tutti; le soluzioni attuali non sono sufficienti. È necessario un lavoro collaborativo per rendere più difficile il successo degli attacchi e per rendere le sanzioni più forti. Come affrontare le sfide della cooperazione contro il crimine per il WEF

15 Gen 2021

La criminalità informatica è una minaccia globale che dovrebbe preoccupare ogni decisore, sia in azienda che a livello nazionale. Secondo il World Economic Forum Global Risks Report 2020, nei prossimi 10 anni, gli attacchi informatici saranno i secondi rischi più importanti che le imprese dovranno affrontare.

Tradizionalmente, la responsabilità della lotta alla criminalità è in capo ai governi. Tuttavia, il cyberspazio ha dimostrato che le amministrazioni pubbliche da sole non hanno tutte le capacità necessarie per combattere la minaccia sul fronte informatico. Molte delle capacità richieste risiedono infatti nel settore privato.

Una partnership più forte tra pubblico e privato a livello globale, ottenuta combinando le rispettive risorse e capacità, è dunque cruciale per ridurre il rischio rappresentato dalla criminalità informatica.

Esistono già varie iniziative di collaborazione significative, ma rimangono frammentate e insufficienti per le attuali esigenze. Un cambio di paradigma è quindi necessario.

Con questa consapevolezza, il World Economic Forum ha creato il partenariato contro la criminalità informatica per affrontare questo problema globale esplorando modi per amplificare la cooperazione pubblico-privato contro la criminalità informatica e per superare le barriere esistenti.

L’impatto del cybercrime

Il crimine informatico è uno degli atti criminali più dirompenti ed economicamente dannosi. Si stima che 4,66 miliardi di persone in tutto il mondo attualmente utilizzano Internet, un numero che è triplicato negli ultimi 12 anni poiché la connettività è diventata più accessibile e continuerà sicuramente ad aumentare. La nostra dipendenza dall’uso di computer e tecnologia ha cambiato il modo di condurre gli affari, di comunicare e socializzare diventando parte indispensabile di tutti gli aspetti della vita. Tuttavia, gli sforzi per proteggere persone, dati, dispositivi e le infrastrutture dai criminali informatici non sono ancora sufficienti. Questi razziano circa 600 miliardi di dollari all’anno da governi, aziende e individui, mentre la perdita complessiva di ricavi della società nel 2023 raggiungerà 5,2 trilioni di dollari. Non solo, quindi, causano danni finanziari sostanziali e rappresentano una grave minaccia per la società e l’economia globale, ma hanno effetti indiretti nel minare l’opinione pubblica e la fiducia nella trasformazione digitale e nella tecnologia in generale.

Il nostro mondo connesso è diventato redditizio per i criminali informatici che possono lanciare attacchi alle vittime in più paesi e con poca paura di essere scoperti.

Essi utilizzano software dannosi per rubare fondi, proprietà intellettuale e informazioni personali sensibili. Eseguono attacchi a singoli utenti, reti e aziende per impegnarsi in una quantità enorme di attività fraudolenta e distruttiva.

Il panorama delle minacce del crimine informatico

Il panorama delle minacce del crimine informatico è piuttosto diversificato e dinamico. I criminali informatici abusano della crittografia, delle criptovalute, dei servizi di anonimato e di altre tecnologie. Oltre ai crimini finanziari, al cyber terrorismo e alla droga, la loro attività si basa anche sul traffico di esseri umani e diffusione di disinformazione per destabilizzare governi e democrazie. A livello macro, il crimine informatico mina notevolmente i vantaggi del cyberspazio e degli sforzi internazionali per la stabilità informatica. Inoltre, provoca un aumento della disuguaglianza globale, mettendo sia le società che i governi con meno risorse a maggior rischio di cadere preda delle attività delinquenziali.

I cybercriminali si stanno sviluppando e hanno aumentato i loro attacchi a un ritmo allarmante, sfruttando la paura e l’incertezza causate dall’instabile situazione sociale ed economica da parte del COVID-19. Di conseguenza, i criminali stanno prendendo vantaggio delle maggiori vulnerabilità della sicurezza derivante dal lavoro a distanza per rubare dati, far profitti o causare interruzioni. La soluzione primaria per ridurre il rischio del crimine informatico è aumentare la resilienza informatica delle potenziali vittime. Mentre la resilienza è stata l’obiettivo principale del mercato della sicurezza informatica, anche le forze dell’ordine stanno supportando questi sforzi, aumentando la consapevolezza e fornendo consigli e best practices.

Ricerche recenti mostrano un miglioramento negli approcci delle aziende per dare la priorità alla sicurezza informatica e nell’aumentare gli investimenti nella resilienza. Anche il mercato della sicurezza informatica continua a crescere, spinta da ingenti investimenti nell’innovazione, compreso lo sfruttamento di tali strumenti avanzati come machine learning, processo robotico, automazione e crittografia all’avanguardia. Sempre più aziende private stanno collaborando in modo significativo con altre società e organizzazioni non governative (ONG) aumentando la capacità globale di affrontare minacce informatiche.

L’impegno delle forze dell’ordine contro la criminalità informatica

Le forze dell’ordine in tutto il mondo sono già impegnate in lodevoli sforzi per affrontare questo problema. Una delle difficoltà principali è la visibilità limitata e la mancanza di informazioni. È probabile che i crimini informatici non siano segnalati affatto. Questa situazione è aggravata dall’anonimato e dalla natura transnazionale dei crimini informatici, combinata con una mancanza di terminologia comune e classificazione di ciò che costituisce il crimine informatico. Essi non sono considerati atti violenti, hanno un significativo ma quasi non misurabile impatto nazionale (principalmente a causa della sottostima). Questo spesso porta a sottovalutare le priorità nell’applicazione della legge contro la criminalità informatica, causata anche dall’assenza di chiarezza delle strategie nazionali e dalla carenza di risorse investite per le forze dell’ordine. Inoltre, la natura senza confini del crimine informatico sfida in modo significativo la premessa strutturata di applicazione penale basata su una geografia specifica.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza
Backup

Le attività di tracciamento e cattura dei criminali informatici richiedono una condivisione internazionale delle informazioni e operatività transfrontaliera che non sono sempre in linea con quadri legislativi e operativi esistenti. In risposta a queste sfide, la comunità internazionale ha iniziato ad agire per migliorare le capacità di applicazione della legge nazionale e facilitare la cooperazione internazionale sulla criminalità informatica.

Tuttavia, ad oggi, gli sforzi di giustizia penale si stanno dimostrando troppo limitati ad affrontare la sfida. Finché le barriere all’ingresso per la criminalità informatica rimangono basse e il rischio di incriminazione è limitato, i criminali informatici continueranno a minacciare le società e si diminuirà la fiducia nell’economia digitale. La resilienza informatica e la sicurezza informatica sono responsabilità condivise che coinvolgono tutti e, come tale, richiedono un approccio continuo, olistico, sistematico e coordinato. Per migliorare la sicurezza globale e per aumentare la cyber resilienza, invece, il pubblico e il privato devono lavorare insieme.

Cooperazione pubblico-privato

Quando si tratta di cybercrime, il settore privato svolge un ruolo fondamentale. Primo, prevenzione e analisi degli incidenti informatici richiedono competenze e capacità tecniche significative. Le forze dell’ordine hanno diversi livelli di capacità in alcune aree rispetto al settore privato, ma non dispongono delle stesse risorse. I fornitori di servizi hanno una visibilità unica nel traffico Internet globale, mentre la tecnologia e le società di sicurezza informatica dispongono di informazioni sugli utenti dei loro prodotti e servizi. Questo fornisce al settore privato informazioni che possono essere utilizzate per identificare e analizzare attività dannose. In secondo luogo, la pratica ha dimostrato che le aziende soggette a un attacco informatico potrebbero non essere inclini a segnalarlo. Inoltre, c’è spesso una mancanza di fiducia nella capacità delle forze dell’ordine di indagare efficacemente sulla criminalità informatica, mentre allo stesso tempo c’è il timore che la segnalazione di crimini informatici possa creano anche rischi di responsabilità o reputazionali e hanno anche implicazioni finanziarie per l’azienda e conseguente perdita della fiducia del pubblico e dei clienti. In terzo luogo, un’organizzazione è più probabile che condivida le informazioni in merito all’incidente con un’entità del settore privato a contratto o con i National Computer Security Incident Response Teams (CSIRTs).

I CSIRTs, in particolare quelli che operano a livello nazionale, svolgono un ruolo cruciale prevenendo e contenendo l’incidente cyber garantendo lo scambio di informazioni e coordinamento dello sforzo intersettoriale e, in molti casi, fungendo da prima linea di supporto per le vittime. Allo stesso tempo, il background tecnico dei CSIRTs e i dati che acquisiscono durante i processi di gestione degli incidenti (ad esempio indirizzi IP, domini web) possono essere preziosi durante le indagini sulla criminalità informatica. A causa della natura transnazionale di crimini informatici, i CSIRTs svolgono anche un ruolo di supporto alla cooperazione internazionale. Sfruttare il settore privato per lavorare fianco a fianco con i funzionari delle forze dell’ordine è quindi fondamentale per combattere con successo i cybercriminali. Sforzi del settore privato per affrontare il rischio informatico in generale, e i crimini informatici in particolare, sono per lo più concentrati nell’aumentare la resilienza dei loro prodotti, servizi e reti sia attraverso misure preventive che reattive.

Dunque, fondamentale è la riduzione della superficie di attacco informatico, contenere gli attacchi informatici e frenare gli attacchi informatici. Partecipando ad attività di collaborazione, le aziende possono posizionarsi come leader nel campo. Come parte del processo collaborativo, avranno accesso alle informazioni da sia le forze dell’ordine che altre società, quindi aumentando la loro comprensione della minaccia. Questa conoscenza aggiuntiva può consentire lo sviluppo di controlli tecnici aggiuntivi sia internamente che attraverso i prodotti, consentendo all’azienda di proteggere i suoi clienti e comprendere le minacce importanti. Il valore dei partenariati pubblico-privato è indiscutibile, ma al di là dell’operativo e delle sfide culturali alla cooperazione, ci sono ancora principali ostacoli alla cooperazione, da entrambe le parti.

Le azioni contro la criminalità informatica

Come accennato, un modo promettente per scoraggiare i criminali informatici è aumentare il costo del coinvolgimento in attività criminali. Un modo indiretto è migliorare la sicurezza informatica delle potenziali vittime. Ma, sebbene questa tattica sia fondamentale, i suoi risultati sono limitati perché i criminali spesso trovano gli anelli più deboli nella catena della sicurezza informatica. Un approccio più diretto, con il potenziale per un impatto su larga scala, è quello di interrompere l’azione dei criminali informatici. Questo approccio può includere l’adozione di misure per limitare i flussi di entrate e vietare la promozione di siti illegali e l’hosting di contenuti criminali. L’interruzione si concentra sulla disabilitazione massiccia dell’infrastruttura tecnica dannosa. I criminali che sono coinvolti in crimini informatici, come la compromissione della posta elettronica aziendale, il furto di proprietà intellettuale o la frode del supporto tecnico, devono perdere i loro investimenti con la stessa rapidità con cui li realizzano. Eliminare rapidamente gli investimenti criminali può inibire la capacità di eseguire il crimine. In alcuni casi, può anche consentire la restituzione di alcune delle perdite alle vittime.

Le aziende private non solo hanno un accesso superiore alle informazioni tecniche e la capacità di identificare, tracciare e analizzare le attività dei criminali informatici, ma in molti casi hanno più opportunità dirette o indirette di smantellare le infrastrutture informatiche e le risorse utilizzate dai criminali. Ad oggi, il contrasto alla criminalità informatica è stato un mosaico di sforzi del governo e del settore privato per stare un passo avanti rispetto ai criminali sofisticati. Mentre le forze dell’ordine sono abituate a concentrarsi principalmente sull’approccio più tradizionale di attribuzione, sequestro di beni, arresto e azione penale, alcune società private hanno assunto la guida di misure preventive e dirompenti più immediate, unilateralmente o attraverso un’azione giudiziaria civile. Le società private devono riconoscere di avere un ruolo significativo da svolgere non solo nell’identificazione delle tendenze criminali, ma anche nel contrastarle attivamente, mentre le forze dell’ordine devono riconoscere il ruolo unico che le società private possono svolgere e accettare la cooperazione come opzione chiave. Lavorando insieme contro i criminali informatici, si possono smantellare l’infrastruttura dannosa, raccogliere e conservare prove per l’arresto e l’azione penale, nonché salvare e restituire beni persi. Per determinare se l’interruzione è l’azione appropriata e ottimale, la minaccia dovrebbe essere valutata. Ma la determinazione non è o / o. Nelle operazioni coordinate da attori del settore pubblico e privato, una combinazione tradizionale e dirompente può funzionare meglio. Lavorare con il modello dirompente insieme alle tecniche tradizionali aumenterà i costi per i criminali informatici e il loro rischio di arresto.

Ma questa combinazione richiede che le parti coinvolte siano pragmatiche e sincronizzino con attenzione e flessibilità l’azione da intraprendere.

Per garantire una cooperazione operativa di successo, soprattutto quando l’obiettivo è un’azione dirompente, i responsabili delle decisioni dovrebbero tenere conto di tre considerazioni chiave:

  • obiettivi operativi,
  • fattori legali e politici
  • conseguenze non volute.

Sebbene la decisione di partecipare a un’operazione di interruzione non debba essere presa alla leggera, le organizzazioni non dovrebbero essere paralizzate dall’inazione. Applicare lo sforzo necessario e assumersi i rischi connessi sono giustificati perché operazioni di interruzione sufficientemente ampie e tempestive renderanno più costoso e difficile per i criminali ricostruire la propria infrastruttura, sia che si tratti delle loro finanze, del personale o della tecnologia. Inoltre, le informazioni ottenute dalle operazioni consentiranno l’identificazione e la riparazione delle vittime e potranno proteggere il pubblico da danni futuri. Per godere appieno dei vantaggi dell’azione collaborativa contro la criminalità informatica, è necessario creare quadri adeguati per consentire relazioni sostenibili ed efficaci. In particolare, la collaborazione necessita di spazi neutri e di supporto per considerare questi problemi in un processo decisionale congiunto.

Partnership against Cybercrime

Nel facilitare la cooperazione, il problema non è né una mancanza di volontà né una carenza di piattaforme operative. Le forze dell’ordine, le ONG e le società private collaborano con entusiasmo e frequentemente. Il problema invece è che questi sforzi rimangono frammentati, scollegati e sporadici. Nessuna architettura esistente facilita gli sforzi globali, completi e coordinati contro il crimine informatico, consente ai partecipanti di agire come partner alla pari o prende in considerazione azioni pubbliche e private. Ma basarsi sui framework esistenti e sulle lezioni apprese fino ad oggi nella lotta contro la criminalità informatica per modellare una tale architettura potrebbe portare a una trasformazione sistematica.

Come per molti sforzi nell’era dell’informazione, un approccio gerarchico e incentrato sul governo per combattere il crimine informatico non avrà successo. La cooperazione globale pubblico-privato non può essere gestita centralmente da un’organizzazione. Indipendentemente da altre carenze, priorità contrastanti tra le nazioni sovrane rendono impraticabile tale struttura. Un’architettura efficace dovrebbe invece assumere una forma diversa e avere le seguenti caratteristiche. Una struttura distribuita composta da elementi autonomi e collegata attraverso molti percorsi diversi poiché l’unico modo per raggiungere la portata, la scala e la velocità necessarie per combattere la criminalità informatica.

La fiducia è essenziale per una cooperazione di successo, si costruisce nel tempo. Tuttavia, l’architettura dovrebbe includere processi operativi progettati per aumentare la fiducia. Un’architettura efficace deve coprire molti casi d’uso diversi e gestire efficacemente le variazioni regionali. Deve adattarsi alle diverse relazioni e culture pubblico-private. Ciò che funziona nel sud-est asiatico, ad esempio, non si applicherà direttamente all’Europa.

L’esperienza mostra che i gruppi piccoli e concentrati sono i migliori nello svolgere le attività operative. Inoltre, target differenti richiedono composizioni differenti in piccoli gruppi. Tuttavia, questi gruppi hanno bisogno di infrastrutture legali, tecnologiche e organizzative per avere successo; le grandi organizzazioni permanenti sono molto più efficienti nel fornire e mantenere tale infrastruttura. Pertanto, alcuni elementi architettonici devono essere temporanei, mentre altri dovrebbero essere permanenti.

Una cooperazione efficace richiede processi trasparenti e ripetibili. Questi processi possono essere tecnici, orientato al business o operativo.

Le politiche e le regole aziendali che governano il quadro di collaborazione dovrebbero essere trasparenti ed eque (sia in termini di aspettative che di trattamento dei partecipanti). Dovrebbero anche incentivare i membri del team a fornire informazioni, allocare risorse e ad agire. L’architettura dovrebbe trattare gli interessi di tutte le organizzazioni partecipanti allo stesso modo e dovrebbe consentire la definizione collettiva degli obiettivi, delle priorità e dei risultati di una specifica attività di cooperazione; nessuna singola entità o parte dovrebbe dominare il processo.

Sia i membri del team del settore pubblico che quello privato dovrebbero assumere posizioni di leadership, a seconda delle circostanze. È necessaria una partnership globale per aumentare l’impegno e sfruttare il potere verso una collaborazione di successo e gratificante, ispirando al contempo rinnovata fiducia e fiducia tra le parti interessate attraverso l’allineamento strategico.

La partnership potrebbe essere costituita basandosi sull’iniziativa esistente del World Economic Forum Partnership against Cybercrime, che riunisce una comunità orientata all’azione di importanti parti interessate impegnate nell’obiettivo condiviso di agire in modo collaborativo contro la criminalità informatica. I membri di questa partnership globale includerebbero i nodi permanenti, che ospiterebbero gli sforzi di cooperazione; autorità nazionali competenti; i principali fornitori di servizi e piattaforme legati al cyber; grandi società private cyber; e utenti finali altamente mirati. I nodi permanenti forniscono connettività tra la narrativa concettuale sviluppata a livello strategico e le azioni intraprese dalle Threat Focus Cells. Sotto questa architettura, infine, l’unità operativa principale sarebbe la Threat Focus Cells. Queste cellule sarebbero gruppi fiduciari temporanei costituiti da organizzazioni del settore pubblico e privato e si concentrerebbero su obiettivi o problemi discreti della criminalità informatica.

Conclusioni

Misurare il successo nella sicurezza informatica è sempre stata una sfida. In effetti, la mancanza di metriche delle prestazioni efficaci e ampiamente accettate ha ostacolato lo sviluppo del settore sin dal suo inizio.

Tuttavia, il monitoraggio dei progressi è necessario per correggere o adeguare le linee di azione e riferire sui successi (o sui difetti). Inoltre, ciò che costituisce il successo varia nel tempo: le attività che sono utili o necessarie a breve termine possono essere insufficienti a lungo termine. Pertanto, si consiglia di individuare metriche su cui concentrarsi nel breve, medio e lungo termine.

  • A breve termine (1 anno), il successo sarebbe misurato dalla capacità di riunire la comunità per l’azione e creare le condizioni per la cooperazione. Questo passaggio getterà le basi per agire. Per avere successo in questo sforzo, è necessario riunire le parti interessate in dialoghi e interazioni costruttive e iterative, colmando i divari pubblico-privato, politico-operativo e geopolitico. Un modo semplice per valutare il successo è il numero di stakeholder che abbracciano la narrativa condivisa e i principi per la cooperazione pubblico-privato.
  • Nel medio termine (2-3 anni), il successo sarebbe misurato dal numero di azioni collaborative concrete e di successo intraprese dai nodi permanenti contro la criminalità informatica. Questa metrica dovrebbe riflettere le minacce specifiche affrontate – in azioni congiunte o azioni supportate da diverse parti interessate. Inoltre, sarebbe necessario sostenere i processi politici necessari per garantire una cooperazione efficace e sostenibile. Il successo non significa necessariamente una riduzione delle barriere politiche, ma la promozione di rilevanti soluzioni.
  • L’obiettivo a lungo termine è ridurre il crimine informatico a un livello economicamente sostenibile. Ma determinare se l’iniziativa ha raggiunto questo livello di impatto non sarà facile. Le percentuali semplici sono impossibili da calcolare poiché l’importo totale della criminalità informatica nel mondo non è solo sconosciuta ma non quantificabile.

Il rischio derivante dalla criminalità informatica continua a crescere, interessando tutti; le soluzioni attuali sono semplici ma non sufficienti. Finché le barriere all’ingresso al crimine informatico saranno estremamente basse, le persone continueranno a subire il suo impatto. È necessario un lavoro collaborativo per rendere più difficile il successo degli attacchi e per rendere le sanzioni molto più forti in modo che i costi per i criminali superino i guadagni. Imprese, governi, ONG e organizzazioni internazionali devono affrontare le sfide associate alla cooperazione contro il crimine informatico a testa alta.

Una cooperazione di successo richiede un certo livello di fiducia che consenta ai partecipanti di sentirsi a proprio agio nella cooperazione. Questa fiducia può essere raggiunta costruendo e mantenendo un’atmosfera di trasparenza, equità e correttezza in tutte le interazioni. Il processo decisionale congiunto e la condivisione volontaria sono elementi importanti nel costruire questa atmosfera favorevole. Lo sono anche l’interazione regolare e la discussione di azioni che ostacolano la fiducia.

La cooperazione dovrebbe essere costruita sui rapporti istituzionali piuttosto che sui rapporti personali, facendo leva sui rispettivi vantaggi che ogni settore porta e che sottolineano gli interessi comuni. Quando si collabora su azioni concrete, è importante facilitare miglioramenti analizzando i successi e gli insuccessi sulla base di obiettivi e aspettative chiaramente definiti. Questi principi mirano alla cooperazione globale, ma possono essere applicati per facilitare la cooperazione a livello regionale, nazionale o locale. Le forze dell’ordine possono interagire con lo stakeholder locale per migliorare sia la sicurezza che sforzi di applicazione. Anche le operazioni nazionali o regionali delle società globali possono guadagnare molto dalla cooperazione a livello locale.

La necessità di combattere la criminalità informatica è pressante e il momento di agire è adesso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3