Covid e Cyber Security: dalla Reazione all’Emergenza Pandemica al Cambiamento Strutturale è il tema scelto per l’undicesima edizione dell’evento Cyber Warfare Conference (Cwc 2020), organizzato da Eucacs (European Center for Advanced Cyber Security) e IntheCyber Group e promosso dal Centro interdipartimentale di Studi Strategici, Internazionali e Imprenditoriali (Cssii) dell’Università di Firenze, e da Cyber Academy di UniMoRe. Un’occasione di confronto tra esperti e protagonisti del mondo economico per studiare l’impatto a medio/lungo termine sulla gestione della sicurezza e sui cambiamenti organizzativi scatenati, attivati, od anche solo accelerati dall’avvento della pandemia.
“Viviamo in una situazione di incertezza in grado di tarpare le ali anche ai più ottimisti – esordisce Paolo Lezzi, chairman della conferenza, vice presidente esecutivo di Eucacs e Ceo InTheCyber Group – ma è proprio questo il momento di condividere le fatiche per uscire più forti dall’emergenza. E mentre solo la scorsa primavera abbiamo insistito sul tema della resilienza del Paese, oggi il focus di Cwc 2020 tornano ad essere le sfide di cyberthreat per le aziende, di fronte alla consapevolezza di un cambio di paradigma definitivo per tutte le organizzazioni che porta anche i board aziendali al riconoscimento dell’importanza della cybersecurity”. Tenendo come bussola di riferimento due punti fondamentali: “da una parte la formazione, la cultura delle competenze, la cyber education non solo per chi lavora in ambito IT, ma anche nell’intelligence, e nella formazione dei dipendenti come di tutte le persone”, dall’altra riconoscendo “l’evidente escalation ed evoluzione della sofisticazione degli attacchi che richiede ai responsabili di ogni comparto di tenere alta l’attenzione sulla protezione degli asset nel mondo fisico e nel mondo cyber”, lavorando per “creare una sorta di centro di difesa cyber federato vicino alle singole aziende e realtà locali” a vantaggio di una maggiore reattività.
Sollecitazioni riprese dal Sottosegretario alla difesa Angelo Tofalo. “Negli ultimi venti anni molto è stato fatto per difesa e sicurezza nel Paese (Decreto Monti del 2012, Decreto Gentiloni 2017, Nis 2018 a livello europeo e relativi adeguamenti) ma oltre agli scenari della protezione del dominio cibernetico, la pandemia da Covid senza dubbio ha contribuito all’accelerazione dei processi in atto”. E ad evidenziare aree di impreparazione dal punto di vista cyber di diversi organismi del Paese, che Tofalo definisce come “impreparazione del tessuto e del sistema nel suo complesso”. La Difesa sta lavorando intensamente per omogeneizzare e coordinare la trattazione della materia cibernetica nei diversi verticali di competenza e tra le diverse iniziative merita una segnalazione la nascita del Cor (Comando Operazioni in Rete) ora guidata da un “alto ufficiale a tre stelle”. Smart working, ed immediata operatività, ma allo stesso tempo l’estensione della superficie di rischio anche per la PA continuano a rappresentare effort importanti.
Entra nei dettagli di questi temi, nello specifico quello del Perimetro di Sicurezza Nazionale Cibernetica delineato dal nuovo Dpcm, anche Rossella Lisabettini, Governance Risk & Compliance team leader di InTheCyber Group: “Il Perimetro vede la luce attraverso la pubblicazione del Decreto del Presidente del Consiglio dei Ministri n.131 del 30 luglio 2020, sulla G.U. del 21 ottobre che definisce le modalità e i criteri procedurali di individuazione dei soggetti inclusi nel Perimetro e i primi adempimenti (censire le reti, i sistemi informativi e informatici notificando alle autorità gli aggiornamenti di anno in anno)”.
Rientrano nel Perimetro i soggetti che esercitano funzioni dello Stato, come anche quelli che forniscono un servizio essenziale per gli interessi del Paese – per esempio per il mantenimento di attività civili, sociali, economiche fondamentali – mentre agli organi costituzionali viene riconosciuta la facoltà di adozione di misure di sicurezza analoghe a quelle previste dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica, previ accordi con il Presidente del Consiglio dei Ministri. “E’ fondamentale quindi la valutazione degli effetti di un’interruzione di funzione essenziale che spetta alle diverse amministrazioni preposte così come l’individuazione dei soggetti da inserire nel Perimetro”. Ma è fondamentale anche lo studio delle conseguenze sulla perdita di disponibilità, integrità e riservatezza dei dati e del tempo necessario per i ripristini, con una prima fase di applicazione ristretta ai soli soggetti titolari di funzioni o servizi essenziali, la cui interruzione comporterebbe il mancato svolgimento della funzione o della disponibilità del servizio.
Una materia complessa che ci si augura sia destinata però a produrre reali benefici in un orizzonte temporale il più breve possibile. Anche perché, spiega invece Andrea Chittaro, presidente Aipsa, senior vice president Global Security & Cyber Defence Snam Spa: “Solo se di fronte ad un’emergenza straordinaria come quella attuale si ha la capacità di riconoscere di essere effettivamente impreparati, si compie il primo passo per fare meglio, sulla base di una reale volontà di condivisione delle idee”. Le aziende con organizzazioni di sicurezza strutturate al loro interno possono reagire meglio “tanto più quanto più la sicurezza è integrata e trasversale; i team sono stati capaci di riferire ai board e di trovare nei board la necessaria sensibilità, affrontando anche meglio le problematiche legate allo smart working, per esempio”. E’ un tema ricorrente quello dell’importanza di “favorire una reale collaborazione interna in azienda, ma anche tra pubblico privato, saltando ritualismi infruttuosi, per approdare ad un modello di partnerariato virtuoso”.
Serve passare da piani di difesa strategici, a piani di difesa tattici, fattibili, concreti, con Massimo Ravenna, Ciso di Acea che sottolinea a sua volta l’importanza di “un approccio federato alla cybersecurity” evidenziando proprio sulla base della normativa Nis, il valore di un metodo in grado di garantire una governance centrale sui temi della cybersecurity, con un’alta attenzione al ruolo di responsabilità delle diverse aziende operative – per esempio proprio all’interno delle holding – eliminando in questo modo i rischi di mancato coordinamento, senza perdere come riferimento una visione integrata del problema cybersecurity.
Il coordinamento delle attività di sicurezza, operative di strategy e di compliance si può quindi basare, secondo Ravenna, su un’idea di “Cybersecurity as a Service (da qui la realizzazione di un competence center a livello di gruppo), ma rappresenta un driver anche la scelta di un framework standard e di metodologie condivise”. Compliance normativa ed efficienza del business (con la cybersecurity che funge anche da booster del business) sono gli obbiettivi immediati cui puntare.
Acea ha quindi creato una struttura dedicata coordinata dal Ciso, con a valle un Csirt di gruppo, una componente di security engineering e un Soc, senza tralasciare la componente di Strategy Governance e Compliance e una terza componente di Security Awareness e Training, gestiti centralmente, per tenere effettivamente al centro le competenze e le responsabilità individuali, con una struttura per il resto similarmente replicata nelle società operative.
In questo anno del tutto particolare, in cui non si sono viste emergere soluzioni tecnologiche che non fossero già disponibili, per affrontare l’emergenza – ma un’accelerazione nell’utilizzo di quelle già disponibili – le differenze tra le realtà che sono riuscite a reagire al cambiamento e quelle che invece hanno trovato più difficoltà – oltre che a questioni organizzative – sono state legate alla capacità di “gestire il fattore umano”, come spiega Leonardo Maria Rosa, responsabile Data Governance e Sicurezza IT di BPM. “Dipendenti, clienti e management sono i domini su cui si sono giocate le sfide più importanti”. Nel primo caso quella dello smart working, con tutte le implicazioni relative alla sicurezza, al bisogno di formazione e di una reale cultura al riguardo (per esempio nell’ambito della collaboration); per i clienti la sfida si è giocata nella capacità dell’azienda di ripensare a come mantenere la relazione con il cliente con diversi canali e modalità di interazione.
Per il management la sfida più importante resta invece la business continuity, la disponibilità di piani per garantire la continuità operativa in sicurezza, a fronte di minacce crescenti. Con la lettura, anche in questo ambito, “non di modalità innovative di attacco, quanto piuttosto della capacità degli attaccanti di sfruttare le “aree grigie” legate all’estensione dei perimetri di attacco, all’esposizione di una superficie più estesa (anche per la commistione tra ambienti operativi aziendali e privati e la multicanalità) e alla carenza di awareness da parte di clienti e dipendenti”, con un’accelerazione sulle possibilità di sfruttare il fattore umano negli attacchi.
“Ecco, che per questo – riprende Rosa – intelligence, raccolta di dati e informazioni per accorciare i tempi di reazione e diventare proattivi, sono fondamentali tanto quanto approntare per i dipendenti un ambiente di lavoro con diversi livelli di accesso, fino ad approdare ad un ideale di sicurezza by design“ indispensabile in relazione alle nuove sfide.
Emerge anche anche dai dati del Barometro Cybersecurity 2020 cui dedichiamo un contributo separato ma prezioso per evidenziare una serie di spunti fondamentali. Spunti per indirizzare l’azione in azienda studiando l’organizzazione e la governance della sicurezza informatica nelle organizzazioni, i sistemi di difesa, le soluzioni di remote working, così come le sfide e le priorità di investimento nell’anno e per il 2021, gli impegni di budget, la cybersecurity nell’ambito cloud, OT e IoT e per la supply chain, fino a collocare le aziende oggetto dell’indagine all’interno di uno specifico matury model.
Tra le evidenze del Barometro messe in luce da Rossella Macinante, practice leader NetConsulting cube, “l’aumento degli attacchi (+54% in Europa solo nel primo semestre, secondo i dati Enisa), ma anche l’individuazione del fattore umano come principale anello debole. Con il remote working che ha rappresentato una scelta obbligata, ma allo stesso tempo ha rivelato come per tante aziende lo smart working non sia ancora una scelta “matura” ed appena il 64% di esse abbia effettuato attività di formazione specifiche”.
Protezione dei dati, OT e sicurezza software sono considerati dalle aziende “gli ambiti più carenti in termini di copertura e – a fronte di un ruolo crescente nei processi aziendali – proprio gli ambienti OT e IoT sono quelli che rivelano una serie di criticità, per la mancanza di risorse qualificate (nel 49% dei casi), mancanza di governance, chiarezza nella suddivisione delle responsabilità tra IT e fabbrica (36%), e un modello di security by design purtroppo adottato solo dal 30% delle aziende”.
La spesa in cybersecurity rimasta invariata durante la prima emergenza Covid, nel 2021 riprenderà a crescere, nella maggior parte delle aziende intervistate (70 complessivamente), ma quello che è più importante evidenziare è come la cybersecurity sia diventata ora una priorità nei piani strategici, pur a fronte di Resiliency Plan in verità non ancora diffusi. Pur con una serie di rilievi positivi per cui, per esempio, ora il top management mostra una sensibilità crescente al tema al punto da diventare parte attiva in relazione allo studio degli investimenti per la cybersecurity. Mentre nelle aziende crescono le attività di penetration test e intelligence analytics, per cui è necessario mettere in campo una serie di sforzi per incrementare risorse e competenze.
La fotografia finale sul Cybersecurity Maturity Model delle aziende intervistate è caratterizzata da luci e ombre: vede da una parte diminuire l’incidenza delle aziende “risky” con un approccio poco maturo ed un aumento delle aziende con un approccio più strutturato dal punto di vista della governance, che però “devono ancora compiere una serie di progressi nell’adozione di strumenti di difesa e detection adeguati”, mentre le organizzazioni mature sia dal punto di vista di governance che di adozione delle tecnologie sono cresciute dal 24% al 29%. I settori che presentano i maggiori Gap si confermano industria e PA, sanità e Gdo/retail, con il mondo dei media a rappresentare “la cenerentola” nella mappa del Barometro.
Resilienza dei sistemi, consapevolezza, capacità di rafforzare la gestione della cybersecurity con terze parti e cloud provider e skill up delle risorse saranno le principali priorità da valutare per gli investimenti cybersecurity nel 2021.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2020
© RIPRODUZIONE RISERVATA