CENTRALITÀ E CYBERSECURITY

COVID-19 e cybersecurity

In ogni crisi si insinuano rischi di frodi e di malaffare. Nella continuità operativa si insegna che soprattutto durante un evento critico non bisogna abbassare la guardia e occorre mantenere il presidio su tutti gli elementi di sicurezza. In questo contesto di pandemia biologica COVID-19 si considera essenziale rinforzare gli attuali piani e strategia sia della pubblica amministrazione che di enti privati con specificità relative alla funzionalità e sicurezza operativa sugli aspetti di Cybersecurity in situazioni di Business Continuity.

In particolare riteniamo utile avere una visione prospettica sulla tematica secondo i seguenti punti di vista:

  • Cybersecurity
  • Trasformazione digitale (Digitalizzazione)
  • Continuita’ operativa e gestione delle crisi

Cybersecurity

Innanzitutto riteniamo che il nostro Paese non debba trovarsi impreparato di fronte ad un virus digitale quanto lo è stato di fronte ad un virus biologico.

Dall’altra parte si osserva che l’evoluzione del Cybercrime e degli State-Sponsored attacks è estremamente dinamica, veloce e adattativa e quindi richiede un’analoga risposta nei sistemi e nei piani di prevenzione e di protezione; la logica conseguenza e la necessità che la risposta si sviluppi fortemente sul piano delle competenze, che devono essere sempre maggiori, nuove ed aggiornate e sempre di piu’ di tipo interdisciplinare da cui la necessita’ di un ricambio generazionale del tipo di risposta al problema (e quindi delle competenze in grado di poter rispondere efficacemente).

Riteniamo inoltre che l’approccio stesso alla Cybersecurity debba contenere e tenere sempre in considerazione elementi di:

  • allineamento e funzione rispetto alla strategia di Trasformazione digitale (Digitalizzazione) del Sistema Paese
  • approccio interdisciplinare e di coordinamento multi livello, ovvero non può e non deve essere affrontata singolarmente ma la condivisione di informazioni, di esperienze, di “best practices” e di obiettivi di innovazione sono strumenti essenziali per ottenere il risultato; possiamo quindi pensare di affrontare la Cybersecurity come un vero sport di squadra
  • ispirazioni ai principi di Cybersecurity & Privacy “by design”; ogni prodotto o servizio di mercato dovrebbe essere sviluppato con delle “practices” industriali, documentate, ripetibili e misurabili in termini di Cybersecurity & Privacy, e questo sin dalle fasi di concezione e sviluppo dei prodotti e servizi e non come aggiunta attraverso interventi successivi o come accessori opzionali di livello incrementale
  • orientamento all’integrazione delle soluzioni e delle tecnologie, in modo di sviluppare architetture aperte, scalabili, automatizzate, sicure e “software defined”, che facciano inoltre leva su algoritmi di Machine Learning e Artificial Intelligence per reagire con rapidità alle attuali minacce
  • proattività e coordinamento; un’entità centrale che verifichi lo stato dell’arte dell’effettiva sicurezza degli asset digitali pubblici e privati esposti sull’infrastruttura pubblica/Internet e che vi ponga rimedio in concerto con i singoli attori
  • verifica del livello di esposizione delle infrastrutture critiche e delle organizzazioni da proteggere (per tutte le classi merceologiche) sull’ infrastruttura pubblica/Internet e dell’esistenza o meno di falle di sicurezza sulle infrastutture, sui sistemi server e sulle applicazioni delle organizzazioni individuate; dovrebbero essere considerate metodologie per verificare in maniera continuativa l’integrità di tutte le componenti di ogni infrastruttura critica
  • sviluppo di nuove capability di Cyber Security & Privacy che aiutino il Sistema Paese a reagire alle emergenze ed aumentino il livello di resilienza; in questo contesto, la collaborazione con soggetti di mercato porterebbe rapidamente competenze ed informazioni di Threat Intelligence sulle principali minacce osservate in rete e sulle modalità per affrontarle
  • formazione continuativa del personale delle organizzazioni Pubbliche, Private e dei singoli cittadini utilizzatori dei servizi digitali; in particolare sviluppo di una “digital awareness” degli italiani con formazione obbligatoria a partire dalla scuola (Cyber Hygiene)
  • inclusione dei requisiti di Cyber Security & Privacy negli approvvigionamenti di ogni prodotto o servizio, non solo di quelli specificamente informatici.

Come primo esempio pratico di raccomandazione preventiva possiamo indicare quello di un progetto di scansione passiva di tutti gli asset digitali critici del Sistema Paese che consentirebbe di ottenere i seguenti risultati:

  • identificare e diminuire le vulnerabilità degli asset per prevenire le possibili minacce
    • valutare i rischi mediante la conoscenza dello stato di tutti gli asset e degli impatti delle possibili minacce
    • innalzare il livello di attenzione sulla sicurezza e continuità operativa
    • confrontare i dati ottenuti con le statistiche ed i “benchmark” esistenti
    • lavorare su una visione di insieme
    • coordinare le necessarie azioni con le Entità Istituzionali (CSIRT nazionale, Presidenza del Consiglio dei Ministri, ecc.)

Ulteriori elementi di attenzione e pratiche da raccomandare si trovano:

  • nell’area del controllo della rete e delle attività anomale sulla stessa in quanto l’aumentato del suo utilizzo (da smart-working/e-learning/online-gaming/video-streaming) rappresentano un terreno fertile per un hacktivismo malevolo;
  • nell’area della messa in sicurezza delle applicazioni, delle modalità di autenticazione e dei dati (bancari, relazionali, professionali, biometrici, ecc.) contenuti nei dispositivi mobili personali sui quali verrà caricata l’app di monitoraggio e contenimento del virus (contact tracing).

Trasformazione digitale (digitalizzazione)

La digitalizzazione del nostro Sistema Paese (impresa, industria e settore pubblico) è una transizione che aiuterà l’Italia a essere più competitiva. La digitalizzazione è un fenomeno globale, 20 miliardi di dispositivi connessi, con una previsione di 500 milioni nel 2022 solo in Italia, circa 9 dispositivi per persona, ed un’opportunità economica stimata di 19 mila miliardi nei prossimi 10 anni; il percorso di trasformazione digitale è quindi critico e richiede l’aumento delle competenze e delle capacità di connessione, collaborazione, automazione e sicurezza di tutti gli attori coinvolti.

D’altro canto, le nuove transizioni tecnologiche stanno aumentando esponenzialmente la complessità delle infrastrutture IT:

  • Sempre più oggetti connessi portano un aumento della superficie di attacco.
  • Multi-Cloud: i dati e le applicazioni possono risiedere ovunque, on premises, in private Cloud, public Cloud, e sempre più spesso in Hybrid Cloud; l’utilizzo delle nuove metodologie di sviluppo applicativo in ottica DevOps, basate su container e microservizi sta accelerando questa dinamica.
  • Mobilità: gli utenti vogliono fruire di dati ed applicazioni in mobilità, con la stessa user experience delle modalità di accesso tradizionali.
  • Innovazione sempre più rapida nelle tipologie di attacchi e sempre maggiore disponibilità di strumenti già pronti per sviluppare kill-chain complete.

In sostanza, il “perimetro” che una volta identificava e racchiudeva in maniera univoca gli asset fisici e logici di un’organizzazione non esiste più, sta evolvendo o meglio ancora si sta dissolvendo con evidenti conseguenze sugli aspetti di Cybersecurity.

Dall’altra parte il punto di vista degli attaccanti diventa sempre più interessante e attraente. Alle tipologie di attacco più tradizionali si affiancano altre metodologie che ultimamente stanno aumentando in diffusione, dallo SMShing (attacchi di phishing focalizzati verso smartphone/messaggistica/chat), al Business Email Compromise (attacchi di phishing basati su social engineering).

Il mercato globale delle minacce

Dato lo scenario riteniamo che per affrontare con la necessaria tranquillità il percorso di trasformazione digitale del Sistema Paese i concetti di Cybersecurity e Trust ne costituiscano gli elementi costitutivi ed abilitanti.

Trust è una singola parola che racchiude tanti aspetti come fiducia, affidabilità, responsabilità. In particolare, parliamo di:

  • Trust nelle infrastrutture e soluzioni alla base della trasformazione digitale;
  • Trust nelle collaborazioni, tra soggetti pubblici e privati per aumentare il livello di sicurezza a livello nazionale e globale;
  • Trust nelle persone che operano il servizio e negli utenti, includendo gli operatori di settori, ma anche tutti noi come cittadini, parte attiva della trasformazione digitale di un paese.

Per indirizzare la gestione di questo livello di complessità si verifica sempre di più come il concetto di Trust debba essere sempre alla base dei processi di digitalizzazione che devono considerare CyberSecurity & Privacy sin dall’inizio e non come un accessorio da aggiungere successivamente.

Alcuni elementi tecnologici caratteristici da tenere in considerazione sono rappresentati da:

Intent-based Security che si basa su un’infrastruttura affidabile e integra, a cui vengono aggiunte capacità di automazione, policy ed intelligenza data dalla Telemetria e dagli algoritmi di Machine Learning e Artificial Intelligence per analizzare i dati raccolti e arrivare a ottenere:

  • visibilità di chi e cosa è connesso, in che modo e attraverso quali strumenti stia comunicando e di conseguenza determinare il profilo di rischio e di compliance di quella comunicazione;
  • zero Trust, in particolare mettendo in sicurezza e segmentando l’infrastruttura, le applicazioni e gli utenti;
  • protezione costante identificando il più rapidamente possibili rischi e vulnerabilità attraverso l’automazione, diminuendo il time-to-detection ed il time-to-response & remediation:

Intent-based Security

  • Integrazione fra le diverse soluzioni tecnologiche di Cyber Security; l’integrazione abilita lo scambio di informazioni di Threat Intelligence, di visibilità, di contesto e di policy automatizzate attraverso l’utilizzo di API implementate nei dispositivi, documentate e pubblicate:

La sicurezza integrata

  • Integrità delle soluzioni; le infrastrutture devono essere costruite su piattaforma di tecnologie affidabili, che siano in grado di garantire che le componenti hardware e software utilizzate siano integre attraverso la costante raccolta di dati a verifica del mantenimento nel tempo di tale integrità:

Si arriva quindi alla definizione di una soluzione “Trustworthy” nel momento in cui sono verificate le seguenti condizioni:

  • sia stata sviluppata secondo processi documentati, misurabili, ripetibili e che prevedano un approccio “Cyber Security & Privacy by design”;
  • abbia delle capacità hardware e software per aumentare la propria resilienza ed integrità;
  • sia aderente ai principali standard internazionali di best practices ed Information Assurance.

Ad esempio, è possibile fare in modo di assicurare l’integrità di un’infrastruttura con componenti hardware dedicate e componenti software presenti in tutti i livelli (dai più bassi ai più alti) di un sistema operativo. Dalla fase di boot “sicuro” di un componente, fino alle difese run-time (durante il normale funzionamento operativo), deve essere possibile verificare, mantenere e visualizzare reportistica sul livello di trust ed integrità dell’infrastruttura.

In definitiva, il Trust è la chiave per una digitalizzazione sicura; le tecnologie, la collaborazione e la formazione sono le fondamenta per questo processo di trasformazione in sicurezza.

D’altro canto, un’infrastruttura di sicurezza è efficace solo se riceve informazioni in maniera accurata e tempestiva: per assolvere questa funzione riteniamo fondamentale l’utilizzo della Cyber Threat Intelligence.

La Cyber Threat Intelligence, ovvero la capacità di “intelligence” sviluppata in ambito Cybersecurity, rappresenta un fattore abilitante per l’implementazione di efficaci misure di difesa e prevenzione delle aziende pubbliche e private che perseguono e proteggono i propri obiettivi di business attraverso le nuove tecnologie dell’informazione. 

La Cyber Threat Intelligence include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce “cyber” dal punto di vista tecnico, di risorse, di motivazioni e di intenti, spesso in relazione a contesti operativi specifici.

Nel corso della pandemia COVID-19 le osservazioni di Cyber Threat Intelligence ad oggi (15 Aprile 2020) si sono delineate in 3 ampie categorie di cyber attack che fanno leva sul tema COVID con la partecipazione di attacchi avanzati persistenti in ognuna di esse:

  • campagne di malware di tipo phishing che utilizzano come esca il tema COVID
  • cyber attack ad organizzazioni attive in relazione all’emergenza COVID
  • frodi e disinformazione (fake news)

Continuità operativa e gestione delle crisi

L’emergenza COVID-19 in Italia ha evidenziato la necessità di un Piano/Sistema Strategico di Gestione della Continuità Operativa del Sistema Paese che includa la gestione delle crisi di qualunque tipo in modo organico ed interdipendente

Nella parte tattica e operativa, un tale Piano/Sistema si occupa di tutte le potenziali interruzioni dei servizi, ne analizza gli impatti, trova soluzioni preventive per essere preparati ad affrontarli, struttura team, organi ed enti di risposta, sviluppa piani per il coordinamento, mantiene aggiornate e revisiona tutte le attività per garantire il miglioramento continuo della propria gestione, realizza esercitazioni ricorrenti per simulare le condizioni di emergenza, sviluppa piani di formazione ed aggiornamento per tutte le figure professionali coinvolte.

L’emergenza COVID-19 in Italia ha evidenziato una fortissima ricaduta sulla sollecitazione delle TLC (reti di telecomunicazioni) e dell’ICT (Information & Communication Technology) a seguito delle misure di lockdown; così come ha rivelato una stretta relazione ed analogia tra epidemia ed attacchi cyber (virus biologici / virus digitali)

In questa prospettiva riteniamo quindi che un Piano/Sistema Strategico di Gestione della Continuità Operativa del Sistema Paese debba indirizzare in maniera integrata tra tutte le possibili crisi ed interruzione dei servizi anche e con particolare evidenza, quelle legate alle pandemie, agli attacchi cyber ed al disaster/recovery tecnologico.

In particolare, nel caso COVID-19 in Italia sono state riscontrate:

  • sollecitazione della rete e conseguente aumentato afflusso/scambio di dati (da smart-working/e-learning/video-streaming/online-gaming) come terreno fertile per attacchi “cyber”;
  • necessità di messa in sicurezza delle applicazioni, delle modalità di autenticazione e dei dati (bancari, relazionali, professionali, biometrici, etc) contenuti nei dispositivi mobili personali (smartphone/tablet/laptop) dei cittadini su cui verrà caricata l’applicazione di monitoraggio e contenimento del virus (contact tracing);
  • necessità di drastico incrementato della digital awareness degli italiani con formazione obbligatoria a partire dalla scuola (Cyber Hygiene) sui temi di Cybersecurity & Privacy;
  • insufficienza degli investimenti sulle infrastrutture TLC per copertura territoriale, banda larga e qualità dei servizi, che diventano sempre di più Infrastrutture Critiche;
  • larga insufficienza dei sistemi informatici delle pubbliche amministrazioni dal punto di vista della scalabilità, delle prestazioni e della sicurezza.

AVVERTENZA: Le raccomandazioni ed opinioni contenute nei documenti e report presenti nel sito ‘Unitiperinformare.it’ sono basate oltre che sulla ricerca svolta, sul bagaglio di esperienze e competenze professionali individuali e sono espresse a titolo personale, non essendo in alcun modo riferibili alle rispettive organizzazioni di appartenenza.