article banner
Parere dell'esperto

Digital transformation & Cybersecurity

Alessandro Leone Alessandro Leone

I primati sono comparsi sulla Terra probabilmente 55 milioni di anni fa. I primi ominidi sono comparsi circa sei milioni di anni fa e l’uomo (homo abilis) 2 milioni di anni fa, anche se le forme umane più evolute sono più recenti: l’homo di Neanderthal, comparso 400.000 anni fa, e l’homo Sapiens, comparso 200.000 anni fa.

Quest’ultimo inizia a parlare e ad usare oggetti circa 150.000 anni fa e circa 140.000 anni fa inizia a fare del commercio, anche a distanza. 70.000 anni fa inizia ad uscire dall’Africa e a colonizzare l’Asia, l’Australia e l’Europa. 50.000 anni fa l’evoluzione dell’uomo inizia a prendere una connotazione moderna, si sviluppano tecniche di caccia, nasce l’abbigliamento, si sviluppa il culto dei morti, eccetera. Il primo scritto è di 5.000 anni fa.

L’uomo sviluppa utensili, si avvale dei metalli e segue una lenta evoluzione che lo porta nel corso degli anni fino alla prima rivoluzione industriale (intorno al 1.700 d.C.), di natura prevalentemente tessile-metallurgica, e quindi alla seconda rivoluzione industriale, datata 1870 d.C., ovvero (solo) 151 anni fa, con l’introduzione dell’elettricità, dei prodotti chimici e del petrolio.

Da questo momento l’evoluzione accelera. Il primo calcolatore elettromeccanico è stato, probabilmente, la cosiddetta “Bomba” polacca, progettato e realizzato dal matematico Marian Rejewski nel 1938. Vi furono diverse realizzazioni in quel periodo, ad esempio lo Z1 di Korrad Zuse, il primo basato su metodo binario, e le evoluzioni della Bomba realizzate da Alan Turing e Max Newman nel 1942. I più considerano proprio quest’ultimo il primo computer moderno, realizzato appunto 79 anni fa, altri invece lasciano questo primato all’ENIAC, che è sicuramente il progenitore del primo computer ad uso commerciale, l’UNIVAC.

Siamo nel 1951. Inizia la simbiosi uomo-macchina e nel 1960 circolano già 6.000 computers che saliranno a 20.000 nel 1964 e addirittura a 63.000 nel 1969, 52 anni fa. Oggi non siamo in grado di dire quanti computer sono in circolazione, se consideriamo la convergenza degli stessi con gli altri apparati, telefoni, televisori, aspirapolveri, auto, impianti industriali, eccetera.

Il primo personal computer viene messo in commercio da Olivetti nel 1975, anno in cui nasce Microsoft. Apple nasce l’anno successivo e porta il personal computer anche nelle case, nasce infatti l’home computer. L’evoluzione dell’informatica inizia a correre.

Tanto per sollevare qualche ricordo ai nostalgici, fino agli anni ’70 l’input ai computer era dato per mezzo di schede perforate. I dischi magnetici sono stati introdotti nel 1972, prima i floppy da 8 pollici, poi quelli da 5.25 pollici ed infine quelli più evoluti da 3.5 pollici. Oggi i floppy non esistono più (e non si usano più nemmeno i più recenti CDROM).

Parallelamente si evolve anche la storia delle reti di computer. Partendo da una rete con scopi militari, prima, e collegata anche alle università poi, nasce nel 1969 ARPANET, che diventa Internet nel 1980 e arriva in Italia nel 1986. Nel 1991, 30 anni fa, nasce il World Wide Web. Fino a questo momento la focalizzazione dei ricercatori è sul funzionamento dei sistemi. Il clima di collaborazione tra colleghi universitari non facilita lo sviluppo della sicurezza delle informazioni.

Spostandoci in ambito applicativo i primi sistemi ERP vengono fatti risalire agli anni ’90, Amazon nasce nel 1995, Facebook nel 2004 e Whatsapp nel 2009. La storia recente la conosciamo tutti. Il funzionamento delle aziende è supportato dai sistemi informatici e ne è dipendente. I sistemi aziendali sono collegati a quelli di clienti e fornitori, spesso sono anche esposti su Internet.

E la sicurezza informatica? Ripercorrendo la storia dell’umanità, la sicurezza in generale è sempre stato un fattore determinante nelle popolazioni che in base ai rischi provvedevano alle opportune misure di difesa, recinti e fuochi per gli animali, fortificazioni e armi contro i nemici, selezione del luogo in cui erigere i villaggi per gli eventi naturali, eccetera. Al manifestarsi dei rischi l’uomo è naturalmente predisposto a sviluppare sistemi di protezione.

Per quanto riguarda i sistemi informatici, invece, ci sono stati diversi fattori che non hanno favorito l’evoluzione della sicurezza informatica, un primo fattore è stata la celerità, come già ben evidenziato, dell’evoluzione dei sistemi, un secondo fattore è lo spirito di collaborazione tra tecnici per lo sviluppo dei sistemi ed infine il numero estremamente ridotto di attacchi individuati, almeno fino al 2000.

Infatti, fino ad allora gli interessi dei malviventi nei reati informatici, stante anche lo stato dell’evoluzione dei sistemi, non erano elevati. Gli hacker erano infatti esperti informatici che violavano e si introducevano nei sistemi spesso per sfida o per goliardia (lo stesso termine “hacker” significa esperto in informatica, non pirata informatico). L’assenza di attaccanti, o per lo meno la percezione dell’assenza di attaccanti, non ha favorito lo sviluppo di sistemi di protezione e nemmeno della cultura della protezione.

Negli ultimi due decenni, tuttavia, la malavita si è accorta della ricchezza potenziale della criminalità informatica. Sono nate reti criminali che hanno investito sui reati informatici, sono nate aste di compre-vendita di servizi di pirateria. Oggi vi è la possibilità, anche con relativamente poca esperienza, di noleggiare il software per fare un attacco e anche di usufruire di servizi di negoziazione e di incasso di criptovalute. Vi è una rete specializzata in ogni servizio malevolo. Sul dark web, area non indicizzata di Internet, è possibile acquistare tutto ciò che serve per un attacco.

Tanto per citare qualche statistica a livello mondiale gli attacchi di malware nel 2018 sono stati oltre 800 milioni contro i 12 milioni del 2009 (cfr. purplesec.us). Una delle minacce attuali più gravi è costituita dai ransomware. Questi sono malware che impediscono l’accesso ai propri file, utilizzando tecniche di cifratura. Tipicamente l’attaccante chiede un riscatto per rilasciare la chiave di decifratura. Alcuni attacchi sono generalizzati, ovvero diretti alla popolazione, ed i riscatti sono di bassa entità (business malevolo basato su bassi importi per alti volumi).

Questo genere di attacchi provoca normalmente pochi danni, o danni a realtà commerciali piccole. Altri attacchi sono mirati, ovvero indirizzati verso realtà individuate attraverso un vero e proprio processo di targeting (alti fatturati, buone posizioni economiche, buona disponibilità di cassa). Negli attacchi mirati i criminali si prendono il tempo di studiare il target, di minare le contromisure più efficaci (ad esempio i backup) e di sferrare attacchi contemporanei a tutti i sistemi nevralgici.

La vittima, che pensava di essere ben protetta, spesso dopo l’attacco scopre di aver avuto delle vulnerabilità. Del resto, basta un anello debole nella catena da rendere inutile quest’ultima, oltre al ben noto fatto che chi attacca a sorpresa è sempre in vantaggio su chi si deve difendere.

Così anche società ben strutturate si ritrovano costrette a pagare riscatti molto ingenti (business malevolo basato su bassi volumi di attacchi nei quali sono richiesti riscatti molto alti). Per dare un’idea del fenomeno, il costo per attacchi ransomware è stato stimato in 5 miliardi di dollari nel 2017, in circa 12 miliardi nel 2019 e si ritiene che possa raggiungere i 20 miliardi di dollari nel 2021 (cfr. cybersecurityventures.com).

E la vostra azienda? Qual è la sua maturità nella protezione da attacchi informatici? Saper rispondere a questa domanda è il primo passo per organizzare efficacemente la protezione.

Per una protezione efficace innanzitutto è necessario capire cosa proteggere e quali sono le priorità. Deve essere garantito un totale allineamento tra responsabili del business e il responsabile della sicurezza delle informazioni. Quali sono gli obiettivi di business? Come saranno perseguiti? Quali sono gli stakeholder da tenere in considerazione? Qual è la struttura organizzativa della sicurezza e quali sono i ruoli? Qual è il processo di mappatura e di valutazione degli asset? Come vengono definite le strategie di sicurezza? Quindi si deve comprendere lo status della propria protezione.

Qual è la preparazione del personale informatico in merito alla sicurezza? E quella degli utenti? Avete individuato tutti gli asset informatici e per ciascuno di essi definito le adeguate misure di protezione? Da un punto di vista tecnico le misure di protezione sono adeguatamente applicate? I sistemi vengono mantenuti aggiornati e quelli non più supportati dai fornitori dismessi? Quali sono i processi di gestione della sicurezza? Sono svolte prove tecniche di vulnerabilità? E simulazione di attacchi phishing agli utenti? È stato previsto un processo di risposta agli incidenti? E di gestione della continuità operativa?

Una volta identificato lo status è necessario definire un aspetto progettuale per la soluzione delle vulnerabilità. Tale approccio è usato anche per introdurre le misure di protezione aggiuntive rispetto a quelle esistenti. È necessario cercare di invertire il paradigma per cui chi attacca è favorito verso chi difende.

Ricordiamoci che i cyber criminali non sono più i nostalgici hacker che violano i sistemi per sfida. Sono invece soggetti molto pragmatici orientati a massimizzare i risultati. Se un target è ben difeso, anche se ritengono di poterlo violare dedicando un po’ di tempo, non esitano a cambiare target scegliendone unomeno difeso.

Qual è il vostro processo di gestione del portfolio dei progetti? Dedicate il budget adeguato alla sicurezza? Qual è il processo di gestione dei progetti? Sono presenti project manager in azienda? Qual è il processo di valutazione dell’andamento di un progetto? Nella gestione della sicurezza il commitment dell’Alta Direzione è fondamentale. Qual è il processo di coinvolgimento dell’Alta Direzione? Qual è il processo di comunicazione e di reporting verso la stessa per segnalare lo status dei progetti sulla sicurezza, lo status della sicurezza e dei rischi?

Resta infine la gestione del sistema di monitoraggio del processo e dei sistemi. Sono stati definiti dei Key Performance Indicators e dei Key Risk Indicators? Sono definiti dei sistemi automatici di acquisizione del valore di tali indicatori? Sono definite le soglie, i sistemi di allarme ed i sistemi di reporting?

Volete approfondire questi temi o volete un supporto nella valutazione della maturità della vostra azienda in materia di cybersecurity?

conttata pronfessionista.png