Stimare i rischi, direzionare gli investimenti, adattare i percorsi strategici a seconda dell’evoluzione delle minacce, rappresentano alcuni dei capisaldi di confronto per le aziende quando si parla di cybersecurity. Ancora di più per determinati verticali, come sanità e pubblica amministrazione che, rispetto ad altri comparti, non dispongono ancora di un cybersecurity model index all’altezza.
Perché questo accada occorre lavorare sulla formazione ma anche “ai gangli” delle diverse organizzazioni. Intelligenza artificiale e machine learning si rivelano abilitatori digitali chiave per esempio proprio per indirizzare le esigenze di identity governance, user and entity behaviour e threat detection, a patto di riuscire davvero ad avere visibilità, capacità di quantificazione e di prioritizzazione sulle minacce. Ne parla Giovanni Napoli, presales director Emea di Rsa Security.
Lo scenario delle minacce cyber è in continua evoluzione e il processo di digitalizzazione sta aumentando l’esposizione al rischio anche in settori come la pubblica amministrazione e la sanità, come evidenziato dal Barometro Cybersecurity 2021. Quali sono oggi le principali criticità che le organizzazioni si trovano ad affrontare?
Il processo inarrestabile di digitalizzazione, ulteriormente accelerato da circa due anni di pandemia da Covid-19, ha certamente aumentato la consapevolezza sui rischi cyber di aziende ed organizzazioni includendo anche settori come la pubblica amministrazione e la sanità. Campagne di phishing, furti di identità e di credenziali d’accesso, così come attacchi ransomware, imperversano senza sosta e con impatti a volte devastanti. Tuttavia in azienda la sfida per i decision maker rimane: stimare con maggior accuratezza possibile i vari rischi, per poi prendere con confidenza la decisione di dove direzionare gli investimenti rivalidando o riadattando il percorso strategico.
Diversi analisti concordano ormai da tempo che identità ed account aziendali sono il principale veicolo di moltissimi attacchi e che le innumerevoli e sofisticate campagne ransomware sono poi la causa di molte situazioni di vere e proprie crisi.
La stessa Verizon nel suo ultimo Data Breach Investigation Report del 2021 (Dbir) evidenzia questo enorme impatto con l’85% delle breaches che ha coinvolto persone fisiche mentre, nel 61% dei casi, si è fatto un uso illecito di credenziali d’accesso.
In uno scenario di questo tipo, dove la maggioranza dei threat actor è tra il crimine organizzato (oltre 80% dei casi), diventa chiaro che la visibilità ed il governo dei rischi legati alle identità aumenta sensibilmente la postura di sicurezza di una qualsiasi organizzazione e ne supporta il mantenimento nel tempo. D’altra parte, anche la capacità di detection, gestione e risposta agli incidenti diventa cruciale per identificare se l’organizzazione è effettivamente il target di specifiche minacce e se poi è capace di rispondere a situazioni di crisi nel momento in cui la minaccia si trasforma in incidente informatico o in una vera e propria breach.
Così come evidenziato anche dal Barometro Cybersecurity 2021 di NetConsulting cube, pubblica amministrazione e sanità sono tra i settori che presentano un cybersecurity maturity index non in linea con la media di altri settori come banche ed assicurazioni piuttosto che telco e media. Perciò un robusto programma di identity e access management così come un altrettanto robusto programma di monitoraggio, threat detection e response assicurerebbero quei corretti controlli per la mitigazione dei principali rischi cyber che vediamo evolvere da tempo, migliorando di conseguenza anche il rispettivo cybersecurity maturity index.
La maggiore sfida per pubblica amministrazione e sanità (ma anche per altri settori di mercato) è che assicurare l’efficace implementazione di tali programmi significa toccare i gangli di tutta l’organizzazione. D’altra parte, se vogliamo davvero migliorare la capacità di identificazione e mitigazione dei rischi, aumentare sensibilmente i livelli di visibilità, rendere più efficiente ed automatizzare l’operatività in azienda, trasformare difatti la sicurezza in definitivo abilitatore al business, mettendo nelle mani dei decision maker tutti gli elementi per prendere con confidenza le appropriate decisioni, allora dobbiamo assolutamente supportare con impegno e convinzione tali iniziative.
La costituzione dell’Agenzia di Cybersicurezza Nazionale rappresenta un importante passo avanti per poter rafforzare la cybersecurity per il Sistema Paese. Quali pensa siano le priorità da affrontare a livello nazionale?
La nascita dell’Agenzia di Cybersicurezza Nazionale (Acn), con i suoi primi 620 milioni di euro di finanziamento e circa 300 dipendenti iniziali, è senz’altro un enorme passo avanti a protezione da attacchi cyber del sistema Paese. Tuttavia, la velocità con la quale si evolvono le minacce e si palesano i relativi rischi impone un importante cambio di passo. A ciò si aggiunge la limitata consapevolezza su tali rischi sia tra i cittadini, sia nell’ambito di settori di mercato meno maturi, ed in generale, c’è una enorme scarsità di competenze in ambito cybersecurity che porta ad una forte contesa di talenti. Nell’ambito di un tale scenario, semplicemente mantenendo al suo interno alti livelli di comunicazione, skill, professionalità e organizzazione, l’Agenzia per la Cybersicurezza Nazionale potrebbe davvero dare l’esempio e diventare il faro per le nostre infrastrutture critiche, per la pubblica amministrazione e la sanità, e per tutti i settori di mercato che comunque desiderano migliorare il loro cybersecurity maturity index.
Assicurare una forte preparazione in ambito cyber ai giovani fin dall’università sarà fondamentale per alimentare quel motore di competenza che poi si riverserà su tutto il sistema Paese, un obiettivo verso il quale l’esempio di eccellenza dato nel tempo dall’Acn potrebbe giocare un ruolo chiave e con un contributo rilevante.
Al di là degli aspetti economici, dei quali comunque bisognerà tenere conto, i giovani talenti (e non solo) sono certamente attratti dalla prospettiva di un’interessante esperienza in ambito cybersecurity che, in questo contesto, potrebbe per esempio contemplare il venire a contatto con strumenti e tecnologie innovative, scenari d’attacco e di investigazione sofisticati, iniziative di identificazione e contenimento dei rischi cyber in situazioni delicate e complesse anche in ambito internazionale. Tutto questo richiederà non solo programmi di ulteriori e forti investimenti così come altri Paesi hanno già fatto (Francia e Germania sono solo alcuni esempi) ma anche capacità e velocità di esecuzione su piani e strategie ben definite.
Dalle rilevazioni del Barometro Cybersecurity emerge come l’applicazione del machine learning non sia ancora ampiamente diffusa in ambito cybersecurity, pur crescendo gli attacchi che sfruttano le potenzialità dell’intelligenza artificiale con finalità malevole. Quali sono invece i vantaggi legati all’utilizzo del machine learning per una migliore difesa e detection?
In RSA sviluppiamo ed innoviamo machine learning da oltre 15 anni. Abbiamo iniziato in ambito frodi bancarie per poi estendere ed adattare i modelli statistici anche ad altri domini supportati dalle nostre soluzioni. Multi factor authentication, identity governance, user and entity behaviour in contesti di Siem avanzati, threat detection, sono solo alcuni dei contesti supportati da motori di machine learning. Tali motori, li usiamo soprattutto in casi dove i pattern comportamentali possono essere identificati con sufficiente accuratezza grazie al supporto di modelli statistici capaci di andare in “autoapprendimento” nel tempo. Questo ci consente di ridurre al minimo i falsi positivi, di aumentare notevolmente l’efficacia nell’identificazione automatica di anomalie e di conseguenza far scattare i dovuti controlli, ma anche di migliorare il supporto alle decisioni operative.
La sfida maggiore per la dimostrazione dell’efficacia di un vero e proprio motore statistico di machine learning è che dovrebbe essere inserito in un contesto di produzione e non sempre ciò è possibile.
Dal vostro punto di vista, quali sono i principali elementi che possono contribuire a definire un approccio proattivo ed efficace alla cybersecurity, in ottica di riduzione del rischio?
Affinché un’azienda o un’organizzazione possa efficacemente mitigare i rischi cyber ne deve avere innanzitutto visibilità, capacità di quantificazione o stima e capacità di prioritizzazione. In genere questo lavoro viene svolto egregiamente dalle persone di business, ma solo se forniamo loro gli elementi per trarre le corrette decisioni. Sulla base del risultato di analisti di migliaia di incidenti noi di RSA suggeriamo di agire proattivamente innalzando i livelli di visibilità sia in ambito identity ed access management/governance, sia in ambito threat detection e response. Ottenuti i livelli effettivi di visibilità nell’ambito di questi due domini fondamentali, suggeriamo di adottare un solido programma di risk management per supportare al meglio e con consapevolezza le decisioni di business e le relative prioritizzazioni di investimento. In generale, maggiore sarà la capacità di governance in ambito identity ed access management, threat detection e response e risk management, maggiore sarà la capacità di descrivere benefici misurabili verso il business e all’interno dell’organizzazione.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2021
© RIPRODUZIONE RISERVATA