Le aziende manifatturiere sono sempre più al centro del mirino degli attacchi cyber ed in particolar modo le PMI del settore sono diventate il bersaglio preferito. Ne consegue che esse devono essere in grado di difendersi, individuando le soluzioni di cybersecurity maggiormente idonee e disponibili sul mercato.
Manifatturiero, come difendersi dal cyber crime: vademecum strategico per PMI
Perché le PMI manifatturiere sono nel mirino
Le PMI manifatturiere sono diventate interessanti per i pirati informatici in quanto esse sono ancora poco strutturate e, pertanto, maggiormente vulnerabili ad attacchi cyber.
È doveroso sottolineare che un attacco cyber, sferrato contro una PMI manifatturiera, può implicare gravi conseguenze in quanto i tempi di recupero sono tali – rispetto alle organizzazioni più strutturate e di maggiori dimensioni – che possono comportare, in molti casi, il blocco della produzione. Inoltre, molte di esse non dispongono né di un piano di Disaster Recovery né di Incident Response oltre a non investire sufficientemente in soluzioni di cybersecurity. Ancora, le PMI manifatturiere non dispongono di budget sufficienti per avere un SOC interno o un esperto di cybersecurity.
Tuttavia, esse possono avvalersi di operatori presenti sul mercato che offrono, a budget contenuti, servizi gestiti e basati sull’economia di scala e sulla scalabilità che possono contribuire ad abbassare la soglia di rischio.
Le PMI manifatturiere, in primis, devono identificare quali sono i processi di business dell’azienda più “critici” in modo da poter sviluppare piani necessari di gestione della crisi, della continuità operativa e di disaster recovery per recuperare il più rapidamente possibile e garantire l’operatività dopo un’interruzione causata da un attacco cyber. Le PMI, in questo modo, grazie ai preparativi nella creazione di tali piani, potranno:
- sviluppare maggiore consapevolezza del rischio cyber;
- migliorare la cooperazione dei vari team durante una crisi;
- acquisire una maggiore capacità di risposta all’incidente di cybersecurity;
- garantire una maggiore capacità di recupero.
Le PMI non sono giudicate perché hanno subito una violazione di cybersecurity, bensì per come gestiscono e rispondono a tale violazione. Inoltre, è quanto mai fondamentale che questi preparativi/strategie siano rispondenti alle caratteristiche specifiche di ciascuna PMI in termini di capacità interne, requisiti legali, normativi e contrattuali. Di fatto, una cybersecurity efficace permette di conseguire la necessaria fiducia per: crescere, innovare e trovare nuove modalità di creazione di valore per i propri clienti. Risulta fondamentale , altresì, la consapevolezza e l’impegno da parte del Top Management che dovrebbe sia stanziare il budget sia allocare le risorse necessarie per un’efficace attuazione delle pratiche di cybersecurity.
PMI: strumenti essenziali di cybersecurity
È doveroso ricordare che gli strumenti di cybersecurity variano in base alla progettazione della rete di ogni singola PMI. Il viaggio verso la cyber security e la cyber resilience, come già sopra accennato, inizia con l’identificazione delle risorse digitali più “preziose” ed i punti di vulnerabilità.
Di fatto, le PMI, sempre più oggetto di un processo accelerato di digitalizzazione ed innovazione, devono essere consapevoli delle vulnerabilità degli endpoint che si connettono alla loro rete. Pertanto, si tratta di analizzare chi e cosa si connette alla propria rete e come i dati fluiscono attraverso di essa in modo tale da massimizzare la protezione.
Si forniscono di seguito alcuni strumenti che possono essere contemplati dalle PMI per proteggersi da ransomware, phishing, hacker e altri tipi di minacce.
Rilevamento e risposta degli endpoint (Endpoint Detection and Response – EDR)
Le soluzioni EDR semplificano il rilevamento dei dispositivi che si connettono alla rete e rispondono alle minacce riconosciute dal sistema. Il sistema EDR può fornire informazioni dettagliate sul dispositivo che si è connesso, nonché dati sulla sua attività. Inoltre, l’EDR è anche un potente strumento per la raccolta di informazioni forensi a fronte di una violazione dei dati dato che è in grado di analizzare i registri creati dal sistema per rilevare chi si è connesso e determinare se responsabile o meno della violazione.
Software Antivirus
Sebbene il software antivirus sia tradizionalmente molto efficiente nel combattere i virus informatici, le moderne versioni sono in grado di garantire un’ottima difesa contro altri tipi di minacce. Un robusto programma antivirus controlla il computer e identifica minacce note oltre a rilevare una varietà di attacchi malware. Di fatto, il software antivirus utilizza i profili esistenti degli attacchi che hanno avuto un impatto sugli utenti e controlla il sistema per vedere se questi tipi di programmi dannosi sono presenti nel computer, informando sugli eventuali elementi “indesiderati” ed eliminandoli. Ne consegue che, con il giusto software antivirus, le PMI sono in grado di difendersi da molte delle minacce cyber.
Firewall di nuova generazione (Next-Generation Firewalls – NGFW)
Essi offrono ampie protezioni contro una serie di minacce, rendendo anche più facile per gli utenti esterni usufruire di connessioni sicure alla rete. Il loro funzionamento consiste nell’ispezionare i pacchetti di dati mentre vengono inviati da e verso la rete. Ne consegue che l’NGFW, se viene rilevata una minaccia nota, può scartare automaticamente il pacchetto di dati che risulta potenzialmente problematico. Inoltre, questo tipo di firewall di nuova generazione utilizza l’apprendimento automatico per individuare comportamenti dannosi. Ne consegue che anche gli attacchi zero-day possono essere fermati perché la natura del codice dannoso può essere rilevata senza che il sistema sia stato informato in anticipo della sua esistenza. Un NGFW può anche essere utilizzato per configurare una rete privata virtuale (Virtual Private Network – VPN).
Protezione DNS (Domain Name System Protection)
Essa offre un ulteriore livello di difesa, impedendo ai dipendenti di accedere a siti Web ritenuti pericolosi. Questi sistemi possono anche filtrare i contenuti che non si desidera che entrino nella rete, nonché i contenuti a cui si preferisce che gli utenti non accedano.
Sicurezza del gateway di posta elettronica (E-mail Gateway Security)
È possibile impedire che e-mail indesiderate – contenenti spam o malware – si “infiltrino” negli account degli utenti. Grazie a questa soluzione – nel caso la PMI disponga in un’altra sede di una rete SD-WAN (Software-Defined Wide-Area Network) e si voglia garantire che tutti gli utenti siano protetti, indipendentemente da dove si trovino – si potrà evitare di ricevere tipi di messaggi pericolosi o indesiderati, mantenendoli al di fuori della rete e garantire, al contempo, che lo spazio di archiviazione della posta elettronica non venga intasato di spam.
Rilevamento e prevenzione delle intrusioni (Intrusion Detection and Prevention – IDS/IPS)
Questo sistema funziona esaminando il contenuto dei pacchetti di dati mentre tentano di entrare nella rete e si differenzia dal firewall tradizionale che, invece, esamina le informazioni all’interno delle intestazioni dei pacchetti. DI fatto, il sistema IDS/IPS permette di bloccare molti tipi di minacce e, se dotato di una piattaforma completa di intelligence, di identificarne il codice dannoso.
Gestione e registrazione degli accessi (Logging and Log Monitoring)
Questa soluzione permette di semplificare l’attività di blocco delle minacce e, in caso di violazione, di comprendere come esse siano penetrate nel sistema. Di fatto, la registrazione degli accessi fornisce informazioni dettagliate, comprese le descrizioni con data e ora dell’attività, il che rende molto più semplice correlare gli attacchi con i dispositivi o gli utenti che potrebbero essere stati la causa della violazione.
Protezione degli endpoint (Endpoint Protection)
La protezione degli endpoint si concentra sulla sicurezza di laptop, desktop e dispositivi mobili che si connettono alla rete. Ciò è particolarmente importante quando i dipendenti lavorano da remoto. Ovvero, la protezione degli endpoint permette di rafforzare le difese di ogni dispositivo che gli utenti connettono alla rete, estendendo efficacemente i confini delle difese interne.
Servizi di autenticazione/VPN
Le PMI, grazie ad al servizio di autenticazione, possono impedire ad utenti indesiderati e ad hacker di entrare nella propria rete, strutturando un sistema di gestione degli accessi privilegiati (Priviledged Access Management – PAM) che costringe ad autenticarsi prima di connettersi al sistema, impedendo accessi potenzialmente pericolosi alle proprie risorse digitali. Ovvero, l’utilizzo di una VPN richiede a tutti gli utenti di inserire le proprie credenziali di accesso. Inoltre, si possono anche crittografare tutti i dati che vengono scambiati tra gli utenti e il proprio sistema, proteggendo i dispositivi e la rete dalle minacce esterne.
Sicurezza cloud-based
Si fa riferimento alle tecnologie e alle politiche utilizzate per proteggere le risorse basate su cloud dagli attacchi informatici. Questi tipi di soluzioni proteggono le risorse cloud in termini di: dati, applicazioni, servizi, infrastruttura cloud.
WAF (Web Application Firewall)
Una tipologia di firewall che protegge le applicazioni basate sul Web, contrastando le azioni degli hacker che potrebbero tentare di infiltrarsi per rubare informazioni o sfruttare una vulnerabilità di una app Web. Ovvero, viene filtrato tutto il traffico inviato da e verso il servizio Web e, se viene rilevata una minaccia, i dati ad essa associati possono essere eliminati automaticamente.
Software-defined wide-area networks (SD-WAN) SD-WAN
Si tratta di una rete che si estende su una grande distanza geografica che utilizza componenti software per controllare le operazioni di rete e fornire dettagli granulari su come viene gestito il traffico. Le PMI, utilizzando SD-WAN, possono di configurare una rete aziendale, utilizzando connessioni sicure ai data center e collegamenti a banda larga attraverso uffici sparsi in diverse sedi. In questo modo esse ottimizzano l’utilizzo delle proprie risorse digitali, garantendo allo stesso tempo un supporto adeguato e la cybersecurity.
Gestione delle password aziendali
Le PMI, grazie alla gestione delle password aziendali e degli accessi privilegiati (Enterprise Password Management – EPM/Gestione degli accessi privilegiati (Priviledged Access Management – PAM), possono mantenere il controllo delle attività e delle identità di tutti gli utenti e dei dispositivi che si interfacciano con la propria rete. Ne consegue che solo gli utenti a cui sono state concesse le credenziali di accesso sono autorizzati a interagire con la rete e, in caso di necessità, è possibile revocare loro i privilegi di accesso (ad esempio, in caso di licenziamento o cambio di mansione).
Gestione delle vulnerabilità e delle minacce (Vulnerability and Threat Management)
La gestione delle vulnerabilità e delle minacce comporta sia la riduzione dell’esposizione alle minacce sia la garanzia che gli endpoint siano adeguatamente protetti, rendendo resiliente le PMI in caso di violazione. Ciò comporta un approccio strutturato in termini di tecnologie, strumenti, criteri e personale. Inoltre, è necessario implementare un sistema per la segnalazione dei problemi in modo da gestire eventuali punti di cedimento e da prevenire gravi violazioni.
Rilevamento delle minacce (Threat Detection)
Un sistema permette l’analisi di tutte le risorse connesse alla rete, nonché della rete stessa, con il proposito di ricercare attività, applicazioni e utenti sospetti, attraverso i dati generati da vari eventi sulla rete e rilevare eventuali attività sospette. Il sistema di rilevamento può anche coinvolgere un sandbox che contiene eventuali minacce in un ambiente isolato, tenendole lontane dalle aree sensibili della rete. Ovvero, mentre la minaccia si trova all’interno di questo ambiente controllato, la sua attività viene attentamente monitorata, consentendo agli amministratori di studiare e imparare da essa.
Enisa – SME tool per la cybersecurity
Enisa, a fine marzo, ha rilasciato SME tool. Si tratta di uno strumento per le PMI che vuole convertirsi in una risorsa preziosa per migliorarne il livello di sicurezza e supportarle nel comprendere il proprio livello di maturità in termini di cybersecurity. Ovvero esso mira a:
- Aumentare la comprensione dei rischi e delle minacce alla cybersecurity (i.e. phishing, ransomware basati su ETL, minacce settoriali, ecc.).
- Sensibilizzare, promuovere ed ampliare le migliori pratiche di cybersecurity in tutta l’UE attraverso il coinvolgimento delle autorità e delle associazioni nazionali, delle camere di commercio, delle organizzazioni, ecc.
- Garantire un maggiore coordinamento tra gli Stati membri in merito a temi di cybersecurity relativi alle PMI.
L’iniziativa di ENISA rientra nell’attuazione della direttiva sulla sicurezza delle reti e delle informazioni (i.e. NIS2) e si prefigge, appunto, di aiutare gli Stati membri nell’implementazione delle politiche necessarie per rafforzare la cyber resilience e per garantire la base di igiene informatica nelle PMI, considerando che la maggior parte di essere è esclusa dal campo di applicazione della direttiva a causa delle proprie dimensioni.
Pertanto, lo SME tool è stato concepito per soddisfare le esigenze specifiche delle PMI e per fornire orientamenti e assistenza facilmente accessibili. Le PMI, oltre a identificare i rischi che devono gestire, possono usufruire di un remediation plan per mitigarli, migliorando, al contempo, la propria maturità in termini di cybersecurity.
Le funzionalità del tool
Lo SME tool include le seguenti funzionalità:
- Valutazione della sicurezza informatica – Lo strumento online, sulla base di diverse domande, valuta se la PMI è a un livello di maturità base, avanzato o esperto in base alle dimensioni dell’attività, al budget disponibile, al settore di attività, all’identificazione generica delle risorse, ecc., ed attuare un confronto con altre imprese similari.
- Sicurezza informatica e piano d’azione personalizzato: lo SME tool mette a disposizione anche un piano d’azione propedeutico a fornire azioni di follow-up su misura e ad aumentare il livello di cybersecurity delle PMI sulla base di raccomandazioni che rimandano alle migliori pratiche di cybersecurity.
Inoltre, lo SME tool consente di effettuare una valutazione in termini di:
- Persone – Valutare se il personale è sufficientemente preparato ad affrontare le minacce informatiche.
- Tecnologia – Comprendere la tecnologia utilizzata e come selezionare e implementare le migliori pratiche di cybersecurity.
- Processi – Garantire che l’organizzazione disponga dei processi giusti per affrontare i rischi di cybersecurity.
Conclusioni
Le PMI possono considerare numerose soluzioni presenti sul mercato per salvaguardare la propria cybersecurity e cyber resilience. Tuttavia, non dimentichiamo che, una linea strategica d’azione altamente raccomandata – soprattutto quando si tratta di cybersecurity per le PMI – è investire in formazione e aggiornamenti regolari.
La consapevolezza e l’educazione sono intrinseche alla cybersecurity e all’uso delle migliori pratiche dell’IT. Pertanto, la strutturazione di percorsi di awarness e cybersecurity costituisce una leva strategica fondamentale. Inoltre, è doveroso ricordare che la cybersecurity è responsabilità di tutti e nessuno deve essere lasciato indietro. Ancora, sarebbe auspicabile diffondere maggiormente nelle PMI la conoscenza dei principi di Risk Management, Business Continuity e Cybersecurity propedeutici ad avviare il cammino sine die verso la cyber resilience.
