Non serve semplicemente “cercare una soluzione” quando si parla di cybersecurity, bisogna piuttosto cercare di “capire” ogni sfaccettatura del problema sicurezza, in relazione ad ogni singola procedura aziendale e coinvolgere i team IT, come anche i dipendenti. Certo oggi tra gli abilitatori digitali, anche l’AI si propone come valido strumento in grado di semplificare una serie di task, ma il suo utilizzo, ancora non preponderante nelle aziende ha bisogno della definizione di un progetto di cyber resiliency coerente. Ne parla Dolman Aradori, Vice President, Head of Cybersecurity NTT DATA Italy.
Dal Barometro Cybersecurity emerge che le aziende hanno ancora gap sul fronte della maturità organizzativa e della cultura cyber. Quali sono a suo avviso le strategie e le azioni da intraprendere per conseguire una maggiore maturità?
E’ veramente singolare la constatazione di come, sebbene quasi quotidianamente ormai si venga sollecitati da informazioni che testimoniano il crescente fenomeno degli attacchi informatici, con numeri che segnalano il raddoppio del fenomeno da un anno con l’altro, soltanto il 7% delle imprese italiane ritenga di essere in grado di difendersi opportunamente da situazioni di questo tipo e l’8% si trovi ancora in una fase da “principiante” rispetto ai temi della sicurezza informatica. Questo evidenzia come il lavoro da fare sia ancora molto, soprattutto nell’approccio alla tematica ed a maggior ragione in un contesto come quello italiano fortemente caratterizzato da piccole e medie imprese che si trovano nel bel mezzo di un processo di trasformazione verso la digitalizzazione e per le quali l’informatica non rappresenta il core business.
In situazioni di questo tipo l’errore più comune è quello di focalizzare i propri piani di azione sull’individuazione della soluzione, sia essa una componente tecnologica o un servizio, pensando di avere così indirizzato efficacemente il problema, mentre il primo passo da fare dovrebbe essere rivolto verso la comprensione del fenomeno, delle sue dinamiche e delle esigenze specifiche che caratterizzano il contesto in cui ci si trova ad operare.
E’ necessario quindi intraprendere un significativo percorso di “educazione” che operi a diversi livelli e con strumenti appropriati. Verso il management dell’azienda è importante fornire gli strumenti comunicativi per comprendere il rischio che deve essere fronteggiato ed il valore delle iniziative che si vogliono mettere in campo. Verso il personale tecnico è necessario fornire le opportune linee guida che indirizzino efficacemente l’attenzione alla cybersecurity in ogni fase del processo di sviluppo e gestione di un servizio o un’infrastruttura Ict. Verso i dipendenti è importante effettuare un’opera di sensibilizzazione affinché si presti attenzione al giusto comportamento da tenere in ogni situazione, affiancando sempre di più il lavoro quotidiano con il supporto di strumenti che consentano di effettuare “scelte informate” che limitino al massimo la possibilità di compiere un’azione rischiosa. Senza tralasciare l’importanza crescente che le terze parti ricoprono nell’ecosistema produttivo di un’azienda e quanto risulti critico fare in modo che anche tali soggetti prestino la massima attenzione alla corretta gestione della propria sicurezza informatica.
Per intraprendere tale viaggio, in un contesto spesso caratterizzato da una scarsità di risorse e competenze, è quindi di fondamentale importanza focalizzare il disegno della propria strategia partendo dal rafforzamento di due elementi cardine: il governo ed il controllo. Questi sono i capisaldi che fortemente influenzano un cambiamento della cultura aziendale in quanto consentono di presidiare efficacemente le fase di scelta ed indirizzamento di azioni e comportamenti e permettono all’azienda di dotarsi di approcci e strumenti che puntano ad effettuare una continua e puntuale verificare che quanto pianificato sia stato correttamente messo in campo e sia in linea con le reali esigenze del contesto.
In sintesi quindi, minore focalizzazione sulle attività operative, che possono essere demandate verso player di settore fortemente specializzati ed opportunamente preparati in termine di gestione degli aspetti di sicurezza informatica, e forte presidio interno di quelle che sono le attività che consentono di implementare più rapidamente un concreto approccio basato su una gestione matura del rischio informatico.
L’AI sta assumendo un ruolo crescente nelle tecniche di attacco, rendendole sempre più sofisticate, ma può essere adottata anche per incrementare la capacità di difesa, supportando sia nei processi operativi che nella fase di intelligence e di predictive. Quali sono oggi gli use case più interessanti?
L’uso dell’intelligenza artificiale ha e sempre più avrà un sicuro impatto in termini di cybersecurity, sia per l’utilizzo della stessa nell’ambito delle attività in quest’area sia per quanto riguarda la sicurezza nell’uso dell’intelligenza artificiale medesima.
Volendo sistematizzare l’analisi degli impatti futuri che avrà questa tecnologia, possiamo infatti identificare quattro possibili scenari d’uso dell’AI in ambito cybersecurity, due in fase di “difesa” e due in fase di “attacco”. La prima, che possiamo definire come Respond with AI, si basa sull’uso dell’intelligenza artificiale per migliorare alcune attività di risposta ad un tentativo di attacco, svolgendo in forma automatizzata e migliorativa molte delle attività che vengono svolte tipicamente all’interno di un security operation center. L’AI può facilitare il rilevamento e la risposta alle minacce, che implica l’identificazione e la risposta a potenziali attacchi informatici. Prepare with AI è un secondo scenario in cui dell’intelligenza artificiale viene utilizzata per svolgere molte attività proprie dei processi di gestione della sicurezza informatica di un’azienda. L’intelligenza artificiale può supportare attività di threat intelligence, monitoraggio di vulnerabilità e minacce grazie alle componenti di capacità decisionali automatizzate, consentendo ai team di sicurezza informatica di rispondere in modo più rapido ed efficiente ai problemi rilevati dalle applicazioni AI e spostando l’attenzione su attività più strategiche di governance complessiva della cybersecurity. Il terzo scenario, Attack with AI, prevede l’uso dell’intelligenza artificiale per svolgere in forma automatica degli attacchi alle infrastrutture. Questo utilizzo, sebbene possa essere sfruttato in forma malevole per sferrare attacchi verso target di interesse, è in un’accezione positiva principalmente finalizzato a testare il livello di protezione raggiunto nell’implementazione del proprio programma di protezione delle infrastrutture aziendali. Quarto ed ultimo scenario, che possiamo denominare come Attack on AI, prende in considerazione la protezione che deve essere garantita agli ambienti in cui viene sviluppato l’uso dell’intelligenza artificiale per migliorare processi aziendali. In questo caso si va dalla protezione degli algoritmi di intelligenza artificiale, alla protezione dei dati che vengono elaborati da questi algoritmi per arrivare a problematiche correlate alla privacy nell’uso di queste informazioni. Supponiamo che i dati sensibili vengano compromessi o vi accedano soggetti non autorizzati. In tal caso, l’intelligenza artificiale può essere utilizzata per lanciare violazioni dei dati con diversi scopi come attacchi informatici, spionaggio industriale, lancio di campagne di disinformazione e altri incidenti di sicurezza.
Molte soluzioni oggi in uso nell’ambito della cybersecurity si basano sull’intelligenza artificiale, sebbene più nell’accezione del machine learning che nell’ottica di una vera generative AI. Quelle più avanzate trovano la loro principale applicazione in ambito protezione frodi e Soc automation, dove l’AI può facilitare il rilevamento e la risposta a potenziali attacchi informatici. L’obiettivo è rilevare attività sospette o comportamenti anomali su una rete di computer, un sistema o un’applicazione e rispondere rapidamente per mitigare il rischio, ridurre al minimo i possibili danni e prevenire ulteriori effetti negativi. L’intelligenza artificiale in questi casi semplifica e potenzia le capacità degli esperti di sicurezza, riassumendo e razionalizzando le informazioni sulle minacce e aiutando a identificare le attività dannose tra il rumore del traffico monitorato e dei dati analizzati.
Qual è il contributo che NTT Data può dare alle aziende per rafforzare la postura Cyber e migliorare la capacità di difesa?
NTT DATA opera in Italia nel settore della sicurezza informatica da più di vent’anni ed è oggi parte di un gruppo internazionale che riconosce il valore di tali attività investendo in modo significativo in attività di ricerca e sviluppo per mantenere la propria proposizione al passo con le nuove esigenze. Grazie a questa pluriennale esperienza ed alla capacità di proporre un completo portafoglio d’offerta in ambito, siamo in grado di assistere i nostri clienti con un reale approccio end-to-end che consente di mettere in campo soluzioni sostenibili e costantemente allineate con le specifiche esigenze del contesto operativo del cliente.
In un’area che vede costantemente crescere l’incidenza di incidenti gravi a livello globale, diventa fondamentale lavorare alla definizione di un efficace programma di cyber resiliency che consenta ad un’azienda di ridurre la propria superficie di attacco, garantire la sufficiente capacità operativa in caso di incidente e di ristabilire rapidamente ed efficacemente le normali condizioni di funzionamento, limitando gli impatti di un attacco informatico. Per questo, mediante l’erogazione di servizi di emergency response, siamo in grado di scendere rapidamente in campo ed affiancare i nostri clienti nel complesso svolgimento di attività di contenimento di un attacco, dalle attività di mitigazione a quelle di coordinamento della comunicazione sia verso l’interno che verso l’esterno sino ad arrivare a fornire supporti tecnologici, mediante la predisposizione di unità mobili da mettere a disposizione dei nostri clienti, al fine di garantire l’utilizzo di infrastrutture di base (connettività mobile, storage, capacità elaborativa) per far sì che l’operatività possa essere ripristinata in tempi brevi.
Crediamo inoltre che un elemento di base per essere pronti ad affrontare le nuove sfide legate al rapido mutare del contesto tecnologico sia rappresentato dalla capacità di incrementare la propria visibilità.
Questo significa avere in primis piena coscienza di quale sia il reale patrimonio informativo da proteggere, cosa non semplice in un contesto in cui la potenziale superficie di attacco è in continua espansione a seguito del mutare del contesto operativo, grazie all’adozione del cloud, alla diffusione di un numero sempre maggiore di dispositivi IOT ed al crescere del numero di persone che lavorano da remoto.
Una maggiore visibilità ci consente di identificare cosa deve essere protetto e con quale priorità.
Una maggiore visibilità ci permette di adeguare i sistemi di protezione in linea con le nuove esigenze.
Una maggiore visibilità ci aiuta ad identificare quali dati è importante raccogliere e monitorare per rafforzare la nostra capacità di rilevare anomalie che spesso rappresentano l’allarme per un incidente informatico in corso.
Questa visibilità consente quindi di migliorare la propria capacità di operare processi fondamentali come il vulnerability management e la rilevazione e gestione degli incidenti informatici.
Maggiore visibilità significa però anche spostare l’attenzione verso ciò che non è strettamente sotto il nostro controllo ma che dobbiamo in qualche modo imparare a controllare, diciamo influenzare, spingendoci a lavorare per identificare il livello di sicurezza “lungo l’intera filiera”.
Non ultimo, maggiore visibilità significa avere uno sguardo su ciò che accade lontano da noi, incrementando la nostra capacità di in qualche modo prevedere quello che potrebbe succedere, attingendo a fonti di intelligence che ci possono dare chiara evidenza di quale sia il mutare del contesto in termini di nuove vulnerabilità e minacce.
Per finire, un altro aspetto di fondamentale importanza è il supporto che sappiamo garantire nella predisposizione della reportistica necessaria a comunicare al top management lo stato di necessità ed i risultati nella gestione della sicurezza informatica. La cybersecurity non è un concetto facile da far capire ai non addetti ai lavori e per questo negli ultimi anni abbiamo dedicato molto tempo alla predisposizione di approcci quantitativi nella valutazione del rischio informatico, che consentano un maggior controllo della spesa e del ritorno degli investimenti effettuati, aiutando quindi a valorizzare quanto fatto in ambito cybersecurity ed a comunicarlo in una forma più facilmente comprensibile e misurabile.
Ci proponiamo perciò come partner nell’individuazione delle proprie specificità e nel disegno di programmi di cybersecurity che rispettino la storia dell’organizzazione con cui veniamo in contatto, valorizzando quanto già fatto a protezione dell’azienda, ed individuino un percorso pragmatico per il rafforzamento nel contrasto delle minacce informatiche.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2023
© RIPRODUZIONE RISERVATA
