guerra russo-ucraina

Le aziende italiane si preparino alla cyber warfare: ecco come

L’Agenzia per la Cybersicurezza Nazionale ha chiesto di innalzare la postura di sicurezza aziendale e di diminuire il più possibile la superficie attaccabile e le vulnerabilità. Senza preparazione, però, è difficile sopravvivere a un cyberattacco: ecco perché le aziende dovrebbero abbracciare un approccio “prepper”

08 Mar 2022
Matteo Navacci

Business Partner Net Patrol Italia e Co-fondatore Privacy Network

La guerra in Ucraina è molto diversa da ciò a cui siamo abituati. Diversa anche dalle ultime guerre a cui abbiamo assistito negli ultimi anni. Questo perché l’Ucraina è un proxy di uno scontro ben più ampio, tra Stati Uniti (e NATO) e Russia (e i suoi alleati), che rischia di mettere la parola fine alla globalizzazione come la conosciamo.

Le aziende devono prepararsi ad affrontare i rischi legati alla cyber warfare – cioè l’uso di attacchi cibernetici (online) per causare danni al nemico – seguendo gli alert della Agenzia per la Cybersicurezza Nazionale e adottando un approccio simile a quello del movimento prepper del XXI secolo.

In particolare, l’attuale contesto richiede che cybersecurity by design e privacy by design siano considerate due facce della stessa medaglia. Possibilmente, con l’assistenza di DPO (Data Protection Officer) e CISO (Chief Information Security Officer) preparati e consapevoli del contesto geopolitico.

Guerra, grande banco di prova per l’Agenzia cybersicurezza nazionale

Gli effetti a catena dei cyberattacchi

Il pericolo di cyber warfare globale non è sfuggito alla neonata Agenzia per la Cybersicurezza Nazionale, che il 28 febbraio ha pubblicato un bollettino in cui avverte dell’acuirsi delle attività malevole nello spazio cibernetico e del maggiore pericolo di fenomeni di “spillover” al di fuori dei soggetti direttamente colpiti. Che significa spillover?

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

È semplice: oggi siamo tutti interconnessi. Aziende e pubblica amministrazione formano un universo fatto di sistemi, reti, software, hardware e servizi Cloud di ogni tipo, che direttamente o indirettamente sono collegati tra loro via Internet. Quando un soggetto viene colpito da un attacco cibernetico è possibile che questo possa avere un effetto a catena su tutti i soggetti funzionalmente collegati.

Ad esempio, se un fornitore di servizi SaaS per la telemedicina e il controllo da remoto dei pazienti venisse colpito, le conseguenze ricadrebbero direttamente sugli ospedali e sulle strutture che utilizzano quel servizio, con implicazioni dirette (talvolta anche gravi) anche per i pazienti.

L’alert dell’Agenzia per la Cybersicurezza Nazionale

Questa eventualità non è affatto remota, ed è per questo che l’Agenzia per la Cybersicurezza Nazionale chiede espressamente di innalzare la postura di sicurezza aziendale e di diminuire il più possibile la superficie attaccabile e le vulnerabilità.

Dirò di più: la specifica eventualità di attacchi cibernetici su scala globale fu oggetto del Cyber Polygon 2021, un evento annuale organizzato dal World Economic Forum nell’ambito del loro Centre for Cybersecurity.

Il Cyber Polygon 2021 seguiva in realtà l’oggetto del Cyber Polygon 2020: la preparazione a una cosiddetta “cyberpandemia”, cioè lo scenario in cui a causa della quantità e della portata di attacchi cibernetici e degli effetti di spillover, potremmo assistere ad un vero e proprio contagio globale cibernetico, con effetti devastanti – soprattutto per il settore finanziario ed energetico.

Dal Cyber Polygon 2020: “A single data breach across the ocean could trigger a chain reaction and spark a ‘digital pandemic’ across the globe. People, organisations and entire states may fall victim to the catastrophe”.

Il termine cyberpandemia fu coniato in quell’occasione da Klaus Schwab: “it is important to use the COVID-19 crisis as a timely opportunity to reflect on the lessons of cybersecurity community to draw and improve our unpreparedness for a potential cyber pandemic”.

Anche Christine Lagarde, presidente della Banca Centrale Europea, si pronunciò nel 2020 sul tema, ammettendo che alcuni cyber-attacchi avrebbero potuto causare una grave crisi finanziaria.

Perché le aziende non possono rimanere inerti

Se allora il contesto è davvero questo, è impossibile pensare di rimanere inerti.

Le aziende oggi dovrebbero essere consapevoli dell’esistenza di rischi sociali e sistemici che non possono essere evitati in alcun modo.

Non ci sono molte opzioni a disposizione delle aziende e degli Stati. Possono rimanere inerti, sperando di non essere vittime, dirette o indirette, di attacchi cibernetici, oppure possono prepararsi.

Nel primo caso, le aziende devono sapere che senza preparazione è molto difficile sopravvivere a un attacco cibernetico, e che comunque c’è il rischio concreto di danneggiare terzi a causa dell’effetto spillover (altre aziende o persone). Nel secondo caso, la sopravvivenza non è assicurata, ma le probabilità aumentano notevolmente (anche in relazione al tipo di preparazione).

La corrente ideologica dei preppers

Per far capire meglio il concetto mi piace richiamare la corrente ideologica dei cosiddetti “preppers” (dall’inglese to prepare, cioè prepararsi). I prepper sono persone che abbracciano questo movimento nato negli Stati Uniti e nel Regno Unito durante la guerra fredda. In quel periodo c’era molta paura di una guerra nucleare, o comunque di una terza guerra mondiale, e molte persone cominciarono così a prepararsi potenziando la propria postura di sicurezza: allenamento fisico e sviluppo di capacità di sopravvivenza nella natura, scorte di cibo e acqua, fino anche a bunker veri e propri nello scantinato di casa.

Il rischio cyber tra i più pericolosi per la sopravvivenza delle aziende

Ecco, le aziende oggi dovrebbero abbracciare il movimento prepper, ma dal punto di vista della cybersecurity. Il rischio cibernetico è purtroppo meno sentito rispetto a rischi più fisici, come quelli finanziari o quelli geopolitici, ma non per questo meno pericoloso. Oserei dire anzi che oggi è tra i rischi maggiori per la sopravvivenza stessa di ogni azienda. D’altronde, la tecnologia oggi ha fatto passi da gigante anche nel campo del cybercrime e cyberwarfare, e ormai quasi tutti gli attacchi sono automatizzati (anche con IA) e su larga scala. Chiunque può diventare un obiettivo o il danno collaterale di attacchi a tappeto.

L’obiettivo è quindi prepararsi, conoscere le proprie vulnerabilità ma anche i punti di forza, e sperare che i nostri partner, fornitori, clienti e qualsiasi altro soggetto a cui siamo connessi faccia lo stesso. O magari, meglio ancora, verificare che i soggetti a cui siamo connessi facciano lo stesso: una catena è forte tanto quanto il suo anello più debole.

Un buon punto d’inizio del percorso di preparazione è proprio il bollettino dell’Agenzia per la Cybersicurezza Nazionale. Innanzitutto, è fondamentale ridurre la superficie d’attacco esterna e quella interna, ad esempio verificando la configurazione sicura degli asset aziendali e con il patching di tutte le componenti.

Oltre a questo, si raccomanda di adottare diverse misure organizzative e tecniche per il controllo degli accessi, il monitoraggio dei log e il controllo del traffico di rete. In ultimo, ma non certo per importanza, si raccomanda di preparare la gestione delle crisi cibernetiche (ad esempio attraverso business continuity plan e disaster recovery plan).

Il vulnerability assessment

Uno strumento molto utile e ormai di ampia diffusione è quello del vulnerability assessment, per fotografare sistemi e applicativi e identificare le vulnerabilità che possono essere sfruttate per portare a segno attacchi.

Se la cybersecurity è fondamentale, non bisogna però dimenticare la privacy. Migliorare la postura di cybersicurezza aiuta a prevenire i rischi, mentre avere un sistema di governance dei dati rispettoso dei requisiti di privacy by design (limitazione della conservazione, minimizzazione dei dati, pseudonimizzazione e anonimizzazione, crittografia) aiuta a mitigare le conseguenze di un attacco verso l’azienda.

C’è di più: un’azienda dotata di sistemi di valutazione dei suoi fornitori, come previsto dal GDPR (Regolamento europeo per la protezione dei dati) sarà in grado di diminuire anche i rischi derivanti da terzi, potendo contare su fornitori e servizi (digitali) affidabili e sicuri.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4