Lo scenario della cybersecurity è sempre più complesso. Al di là di una semplice prospettiva di protezione delle architetture client/server, decisamente datata, e dell’attenzione per la tutela degli asset (applicazioni e dati) in cloud, oggi la pervasività delle tecnologie, dal cloud all’edge come IoT, richiede un approccio del tutto diverso, che non può prescindere dalla considerazione del fattore umano come punto critico, mezzo e canale per penetrare in azienda.
Un esempio molto semplice. La maggior parte delle aziende è interessata a ricevere feedback da parte dei propri clienti per migliorare servizi, fidelizzazione della clientela e reputazione.
Si chiede agli utenti la registrazione di un account personale, di iscriversi per ricevere eventuali newsletter o di condividere le loro opinioni attraverso appositi moduli per lasciare il proprio feedback sul sito, e da qui l’attenzione degli attaccanti.
Si tratta di procedure che richiedono nome e indirizzo email degli utenti che ricevono un messaggio di conferma. E’ proprio all’interno di questi messaggi che gli hacker introducono tentativi di phishing, con phishing e spam considerati sistemi agili per violare le difese, perché sono gli stessi utenti legittimati ad offrire informazioni di accesso autentiche.
In pratica, i malintenzionati aggiungono l’indirizzo email della vittima nel modulo di registrazione o di sottoscrizione e digitano il loro messaggio al posto del nome. A questo punto il sito Web invia una email di conferma che risulta modificata, con contenuti pubblicitari o con link per tentativi di phishing proprio all’inizio del testo, al posto del nome del destinatario.
Si affiancano i problemi intrinseci di chi offre il fianco a partire proprio da scelte software inadeguate. Nonostante l’estensione del supporto di Windows 7 terminerà con l’inizio del nuovo anno, questo sistema operativo continua ad essere una scelta popolare tra privati e aziende.
Più di un terzo degli utenti privati e delle micro-imprese, e il 47% delle Pmi e delle grandi aziende, fa ancora uso di questo sistema operativo. Il numero di piccole, medie e grandi imprese che impiegano Windows 7 e la più recente versione Windows 10 (il 47% delle workstation adopera questo sistema operativo) si equivale. Spesso in azienda arriva il nuovo sistema operativo solo con il ricambio dei computer.
Le ragioni alla base di questo ritardo variano a seconda del software in uso (che potrebbe non essere in grado di funzionare con le versioni più recenti del sistema operativo) per ragioni economiche o per semplice abitudine. Alexey Pankratov, enterprise solutions manager di Kaspersky: “Un Os datato senza patch è un rischio per la sicurezza informatica e il costo di un incidente spesso costa molto di più“.
Nel secondo trimestre del 2019 i report di Kaspersky sulla sicurezza a livello globale evidenziano tra l’altro un panorama di minacce confuso e poco chiaro, tratto vantaggioso solo per gli hacker. Sul tema propone una riflessione Vicente Diaz, principal security researcher e global research and analysis team di Kaspersky: “Abbiamo osservato autori impegnati nell’hijacking di un’infrastruttura di un gruppo più piccolo e abbiamo rilevato un altro gruppo che sfruttava una serie di fughe di notizie online per diffondere disinformazione e minare la credibilità degli asset esposti. Chi si occupa di sicurezza non deve farsi ingannare e deve essere in grado di ricostruire i fatti e fare la vera threat intelligence su cui si basa la sicurezza informatica”.
Sicurezza IT industriale, critica ma si investe poco
Che il fattore umano sia fattore critico è confermato poi dai numeri, da considerare con attenzione perché già oggi gli errori dei dipendenti possono mettere a rischio la sicurezza di interi processi industriali.
Ne parla The State of Industrial Cybersecurity 2019 di Kaspersky che si basa su un sondaggio realizzato da Arc Advisory Group nella primavera del 2019 coinvolgendo 282 organizzazioni industriali in tutto il mondo.
Tra chi si prepara ad abbracciare Industry 4.0, quattro aziende su dieci (tra quelle coinvolte dallo studio) considerano la digitalizzazione delle proprie reti operative come un obiettivo importante per quest’anno.
Se da un lato la cybersecurity dei sistemi OT/Ics (Operational Technology/Industrial Control Systems) è sempre più prioritaria per le aziende (quasi nove su dieci), meno di sei su dieci stanziano budget per la sicurezza informatica industriale, devono fare i conti con la mancanza di expertise e temono che gli stessi operatori OT/Ics non siano del tutto consapevoli dei comportamenti e delle azioni che mettono a rischio la sicurezza aziendale.
Morten Lehn, general manager Kaspersky Italia: “]…[L’adozione di un approccio globale e multi-livello, che possa combinare la protezione dal punto di vista tecnico con la formazione regolare di specialisti della sicurezza informatica e di operatori delle reti industriali, garantirà sia la protezione delle reti dalle cyberminacce, sia l’aggiornamento costante delle competenze del personale”.
Parlano le cifre. Nel 45% delle aziende esaminate, i dipendenti che si occupano della sicurezza delle infrastrutture IT supervisionano anche le reti OT/Ics e si trovano con questo compito oltre alle proprie responsabilità. Anche se le reti operative e aziendali sono sempre più connesse, specialisti diversi possono avere approcci e obiettivi differenti, da qui altre criticità.
Si dovrebbe pensare a protezioni specifiche per l’Industrial IoT, prima di connettere le proprie risorse OT/Ics in cloud, un ambito in cui Kaspersky con Industrial Cybersecurity combina protezione degli endpoint, delle reti industriali e servizi di threat intelligence e incident response.
© RIPRODUZIONE RISERVATA
