Nell’era dell’industria 4.0 la consapevolezza nelle aziende dell’importanza della cybersecurity diventa anello determinante per la business continuity. Ne parliamo con Igor Falcomatà, Ceo e Senior Security Consultant di Enforcer e figura di spicco nel settore della sicurezza informatica e all’interno della comunità degli ethical hacker.
Qual è la situazione in Italia a livello di cybersecurity?
Lo stato attuale non è molto confortante; molte aziende non sono adeguatamente strutturate né dal punto di vista organizzativo né da quello tecnologico e spesso rimangono vittime di attacchi “semplici”, che si sarebbero potuti evitare con maggiore consapevolezza e con la definizione di processi aziendali adeguati.
Per capirci, non stiamo parlando di attacchi da film di spie alla “Misson Impossible”, ma di attacchi che sfruttano tecniche e tecnologie di attacco ben conosciuti (phishing, malware, software non aggiornati, credenziali deboli, ..), effettuati non da “hacker geniali” come in qualche famosa serie TV, ma da molto meno romantici (e molto più pericolosi) cyber criminali, che sfruttano Internet per portare attacchi su larga scala in poco tempo. Nella maggior parte dei casi l’attacco non viene inviato a “me” in quanto vittima predestinata, ma viene inviato a milioni di potenziali vittime tra tante disponibili (indirizzi email, siti web pubblicati su Internet, ecc.).
Spesso però si pensa che la sicurezza informatica sia un problema semplicemente tecnologico, che si può risolvere comprando uno o più prodotti.. “ho comprato l’antivirus, quindi risolvo il problema dei malware” (NdR: malware è il termine tecnico per indicare i “virus informatici”).
Gli strumenti tecnologici sono fondamentali, ma se non vengono utilizzati correttamente ed inseriti all’iterno di una più ampia gestione “strategica” della cybersecurity all’interno dei processi aziendali, non servono a molto, e anzi, potrebbero darci un senso di “tranquillità” che forse sarebbe meglio non avere.
Industry 4.0 poi ha reso – paradossalmente – ancora più vulnerabili molte infrastrutture aziendali: gli impianti industriali sono sempre più connessi, sia con la rete ICT tradizionale che direttamente con Internet, ma gli apparati usati in questo ambito storicamente hanno misure di sicurezza molto carenti, diventando l’anello più debole per la cybersecurity di un’azienda.
Aggiungiamo anche che nel corso del 2020 i vari lockdown ed il conseguente utilizzo massivo dello smartworking hanno reso ancora più effettivi alcuni tipi di attacchi, oltre al già naturale aumento esponenziale degli stessi, ed il quadro che ne emerge è a tinte fosche. Fortunatamente sta anche aumentando la consapevolezza delle aziende nel prendere in considerazione il tema della cybersecurity come elemento determinante per la business continuity.
In quali rischi può incorrere un'azienda che non ha un piano strutturato di protezione?
Innumerevoli, dalla sottrazione di dati alle perdite finanziarie, dai danni d'immagine e reputazione al blocco delle capacità operative e/o del processo produttivo. Solamente per fare un esempio, uno dei rischi più diffusi in questo periodo sono i c.d. attacchi “ransomware”.
Questi attacchi sono attacchi mirati a:
- compromettere la sicurezza di una rete aziendale (spesso usando un malware inviato via email e poi usando la postazione di lavoro compromessa come “testa di ponte” per accedere da Internet alla rete interna)
- identificare dati e sistemi vitali per il processo produttivo (rimando “silenti” per qualche giorno e analizzando i flussi di dati sulla rete dell’azienda vittima)
- rendere i dati su questi sistemi non più accessibili all’azienda (fisicamente i dati rimangono sui sistemi dell’azienda, ma vengono cifrati con una password che ne impedisce l’apertura, password che ovviamente l’azienda non conosce)
- chiedere un riscatto per restituire i dati (cioé rivelare la password con cui sono stati cifrati i dati; da notare che, oltre alle ovvie implicazioni legali, da un punto di vista tecnico il sistema informativo aziendale va comunque considerato compromesso, sia che vengano sbloccati i dati con la password, sia che si riparta dalle copie di sicurezza, e andrebbe completamente “bonificato” per evitare ulteriori sgradevoli conseguenze in futuro)
- oltre a questo è da notare che sempre più spesso viene chiesto un riscatto (anche) per non pubblicare su Internet i dati sottratti durante l’attacco, soprattutto nei casi in cui l’azienda vittima decida – correttamente – di non cadere nel primo ricatto
E' importante la formazione per potersi tutelare in questo ambito?
La formazione è uno dei tasselli fondamentali di una corretta strategia di gestione della cybersecurity:
- è necessario che il management sia consapevole dei rischi, per definire una strategia di cybersecurity, ed è fondamentale la figura di un cybersecurity manager adeguatamente preparato per governare il processo
- è necessario che lo staff tecnico ICT abbia una formazione specifica sulle tematiche di cybersecurity e adeguati aggiornamenti tecnologici
- è fondamentale in tutti gli ambiti professionali non ICT che il personale sia adeguatamente sensibilizzato e formato sui rischi in ambito cybersecurity e sull'utilizzo consapevole degli strumenti aziendali
Come possono le organizzazioni sensibilizzare i propri collaboratori in ottica cybersecurity?
Per cominciare, predisponendo piani di formazione periodica e svolgendo campagne di sensibilizzazione su queste tematiche. Molto efficaci sono anche le campagne di “simulazione” di phishing da svolgersi periodicamente.
Per lo staff ICT, oltre alla formazione, è importante un coinvolgimento “proattivo”, per esempio tramite autoformazione, l’iscrizione a gruppi di discussione o d’interesse, la consultazione dei bollettini di sicurezza rilasciati da produttori o enti terzi, la partecipazione a conferenze specialistiche, ecc.