INTRODUZIONE
Alessandro Piva
Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.
L’innovazione digitale offre grandi opportunità alle organizzazioni, ma sono richiesti modelli differenti di gestione della sicurezza per fronteggiare le nuove minacce. I trend per il 2017 mostrano uno scenario allarmante, ma che può essere uno stimolo importante per la crescita di questo settore
L’anno degli attacchi
Il 2016 verrà con buona i probabilità ricordato come l’anno dell’Hack. In primis le rivelazioni di Yahoo, che ha prima reso pubblico di aver scoperto solo nel corso dell’anno una violazione risalente al 2014 che ha interessato 500 milioni di account, poi ammesso di aver subito un attacco ancora più grave nell’agosto 2013, che ha coinvolto oltre un miliardo di utenti. Gli ultimi mesi hanno visto aumentare drasticamente l’attenzione al cybercrime in seguito a quanto emerso durante le elezioni presidenziali americane, dove si ritiene che vi possano essere state azioni di cyberspionaggio in grado di influenzare l’esito delle consultazioni.
Vi è stata inoltre una continua e progressiva crescita dei ransomware – una particolare minaccia che richiede il pagamento di una somma per rientrare in possesso dei propri dati – che si sono diffusi in differenti varianti, in grado di colpire anche dispositivi mobile.
Gli stessi device smart connessi all’Internet of Things sono diventati veicolo di possibili minacce; è il caso dell’attacco DDoS (Distributed Denial of Service) di ottobre che ha colpito Dyn , uno dei principali DNS (Domain Name System) provider, causando l’impossibilità di accedere a servizi quali, ad esempio, Netflix e Twitter. In questo caso, infatti, l’attacco è stato causato dalla breccia in decine di migliaia di device di videosorveglianza che, infettati da un malware, sono diventati agenti in grado di mettere fuori uso i server del vendor.
Solo un mese dopo, in novembre, un altro attacco DDoS rilevante è stato compiuto in Finlandia, dove i sistemi di automazione di due edifici sono stati messi fuori uso, impendendo di controllare da remoto sistemi quali il riscaldamento e la ventilazione.
Per fornire un ulteriore esempio di violazione è opportuno citare anche l’attacco condotto ai danni di Tesco Bank, che ha comportato la perdita di alcune centinaia di sterline dal proprio conto per 9000 clienti. Questo incidente è particolarmente rilevante in quanto sono concretamente evidenti i danni al consumatore, che solitamente viene tenuto all’oscuro del fatto che i propri dati siano stati trafugati.
Anche il 2017 si è preannunciato come un anno nero per la sicurezza informatica. Tra i diversi incidenti che si sono susseguiti durante i primi mesi dell’anno va sicuramente menzionato il caso `WannaCry”, avvenuto a maggio. L’attacco, di portata mondiale, ha colpito i sistemi di organizzazioni, aziende e istituzioni pubbliche in oltre 150 Paesi, infettandoli tramite un ransomware, che ha reso inaccessibili i dati richiedendo il pagamento di un riscatto da effettuare in Bitcoin.
I fattori macroeconomici
Vi sono diversi fattori macroeconomici che influenzano il cambiamento di approccio al tema della sicurezza informatica all’interno del mondo delle imprese. Diversi analisti parlano oggi di una nuova guerra fredda, che vede protagonisti Stati nazionali e hacker.
Organizzazioni statali possono oggi utilizzare gli strumenti informatici per condurre azioni di spionaggio nei confronti di cittadini o altri Stati, così come finanziare operazioni illegali grazie ad attacchi hacker a scopo di estorsione. Scenari futuristici immaginano inoltre l’utilizzo di droni hackerati per operazioni di spionaggio. L’attribuzione stessa degli attacchi a matrice statale diventa complessa, offrendo il fianco a possibili manipolazioni da parte di hacker o, peggio ancora, da parte di organizzazioni terroristiche.
Le informazioni trafugate a cittadini ed organizzazioni possono diventare inoltre oggetto di azioni di cyber propaganda, ovvero essere utilizzate per fornire informazioni riservate su uno specifico tema per influenzare l’opinione pubblica. Si pensi a titolo esemplificativo a quanto avvenuto con il caso Wikileaks.
Il cambiamento generazionale, con l’ingresso nel mondo del lavoro dei millennials, sta comportando anche nell’ambiente business un cambiamento radicale nell’approccio delle persone all’uso delle informazioni personali. Rispetto al passato c’è uno shift culturale importante verso l’uso degli strumenti digitali e l’impiego sempre più pervasivo di strumenti social che richiede policy di utilizzo differenti, più permissive e coerenti con quello che è il normale modo di relazionarsi e di vivere delle persone.
In un mondo caratterizzato dal dato come nuova valuta, che apre ad utilizzi talvolta impropri delle informazioni a disposizione, crescono i casi di abuso da parte di dipendenti che fanno leva su dati riservati legati all’azienda o a clienti per massimizzare performance o obiettivi personali, in modo noncurante degli effettivi diritti di sfruttamento in loro possesso.
Un ulteriore trend rilevante vede l’emergere di regolamentazioni più dure ed esigenti in termini di raccolta ed utilizzo dei dati personali. La nuova regolamentazione UE in materia di trattamento dei dati personali, nota come GDPR (General Data Protection Regulation), pone l’accento su una maggiore strutturazione dei processi di gestione dei dati, sulla creazione di nuovi moli organizzativi e sulla messa in atto di pratiche e strumenti più complessi rispetto al passato.
La stratificazione di tecnologie, applicazioni e servizi che negli ultimi venti anni ha caratterizzato l’evoluzione dell’informatica fino a come la conosciamo oggi ha portato, come in altri mercati, all’entrata ed uscita di player, anche rilevanti. Il mercato dell’Information Technology è sempre più caratterizzato da fenomeni di consolidamento, di fusione e acquisizione, elementi necessari per rispondere a un mercato che si muove a velocità vorticose. Questi cambiamenti significano però anche tecnologie non più supportate o sviluppate che, nell’ambito della sicurezza, comportano sistemi non protetti e più esposti all’attacco di terze parti.
Le implicazioni del digitale sulla gestione della sicurezza nelle imprese
Negli ultimi anni le organizzazioni stanno vivendo un processo di trasformazione digitale (digital transformation) importante, che spesso prescinde da logiche di evoluzione incrementale per abbracciare logiche di cambiamento disruptive. I trend dell’innovazione digitale che guidano questa transizione sono f principalmente il Cloud Computing, l’internet of Things, il Mobile, i Big Data Analytics, i Social.
La diffusione di servizi di Cloud Computing, ormai nell’uso quotidiano di persone ed organizzazioni, ha permesso alle imprese di dispone di sistemi informativi flessibili e riconfigurabili, in grado di rispondere in modo rapido alle nuove esigenze del business. L’adozione di modelli ibridi, in cui i dati spesso risiedono al di fuori dei confini aziendali, richiede nuovi processi e nuove regole di gestione della sicurezza del dato e nuove modalità di relazione con i provider di servizi. I fornitori, in grado di gestire una grande numerosità di clienti con esigenze differenti, sono generalmente nelle condizioni di offrire standard di sicurezza allo stato dell’arte, superiori nella maggior parte dei casi a quelli messi in campo dalla singola organizzazione, a maggior ragione se parliamo di realtà di medie o piccole dimensioni. Per contro, la centralizzazione di dati nelle infrastrutture di grandi fornitori, rende questi ultimi preda appetibile per gli hacker, che vedono la possibilità di raggiungere, con un singolo attacco, una platea di soggetti molto ampia. L’attenzione dei criminali informatici può essere orientata sia al furto di dati degli utenti, sia alla realizzazione di eclatanti attacchi di tipo Denial of Service (DoS), finalizzati a rendere irraggiungibili per un periodo di tempo servizi Cloud di grandi player.
L’Internet of Things ha avuto negli ultimi anni un’esplosione inarrestabile. Analisti internazionali stimano che attualmente siano presenti nel mondo interconnesso oltre 8 miliardi di sensori121, che rendono intelligenti le nostre case, le auto, gli impianti di videosorveglianza, gli smartphone ed i wearable. Quando parliamo di sicurezza di dispositivi connessi, il tema della security by design assume un ruolo fondamentale. Sicurezza by design significa progettazione dei prodotti orientata a limitare, fin dalla prima fase di creazione, le possibili vulnerabilità del sistema. Sono principi che valgono in qualsiasi contesto, ma che hanno implicazioni maggiori nell’ambito dei dispositivi connessi, che sono naturalmente esposti alle minacce provenienti dalla rete. L’Internet of Things, per la sua pervasività in differenti settori di impresa, ha portato svariati manufacturer ad inserire nella propria offerta progressivamente prodotti intelligenti per cogliere, ed anticipare, le nuove richieste dei consumatori. Spesso però mancano le competenze necessarie al disegno delle corrette misure di sicurezza, che richiedono, dopo il lancio dei prodotti, il richiamo o la creazione di update, con un grande esborso economico da parte dei produttori. Diviene quindi necessario, durante la progettazione, simulare attacchi per esplorare e comprendere potenziali vulnerabilità insite nei prodotti stessi, tramite Vulnerability Assessment e Penetration Test. La raccolta di dati massiva, permessa dai dispositivi dell’Internet of Things, oltre ad ampliare la possibilità di riduzione della privacy degli utenti, apre le porte a nuovi potenziali punti di attacco, legati ai sistemi di raccolta dei dati e alle piattaforme di controllo dei device.
Le applicazioni di Internet of Things interessano sempre più anche l’ambito industriale, dove si assiste ad una progressiva convergenza dell’Information Technology e dell’Operational Technology. In particolare l’utilizzo più ampio di sistema SCADA (Supervisory Control And Data Acquisition), ovvero sistemi informatici distribuiti per il monitoraggio elettronico di sistemi fisici, espone a vulnerabilità maggiori dato l’utilizzo più diffuso di sensori.
I device mobili accompagnano le persone nella vita quotidiana, a supporto delle nuove modalità di smart working. I device mobili sono sempre più diventati strumenti di lavoro e naturale canale di accesso alle informazioni personali e aziendali. In ambito business, la definizione di policy e l’introduzione di strumenti di MDM (Mobile Device Management) orientati al monitoraggio dell’accesso alle informazioni raccolte sui dispositivi sono diventati sempre più necessari per garantire il corretto trattamento dei dati. Sono nate tuttavia nuove forme di attacco orientate specificatamente al mondo mobile, che puntano per esempio a bloccare i dispositivi per ottenere le credenziali bancarie. Inoltre gli stessi dispositivi divengono l’obiettivo di strumenti di RAT (Remote Access Tools), che mirano ad utilizzare i device mobili come strumento per controllare gli utenti tramite l’utilizzo di videocamera o applicazioni social.
La crescita dei dati a disposizione, dai sensori così come dai social, i cosiddetti Big Data, offrono oggi alle imprese possibilità di far leva sui dati stessi per ottimizzare i processi aziendali e creare nuovi prodotti e servizi. I Big Data Analytics rappresentano la capacità di interpretare i dati, con modelli e algoritmi predittivi, utilizzando tecnologie che permettono di individuare i pattern nascosti in essi. Per fare questo le organizzazioni sono chiamate a raccogliere grandi moli di dati, a digitalizzare tutti i processi, senza necessariamente conoscerne a priori l’utilizzo. Questo approccio, oltre a richiedere particolare accortezza nel trattamento dei dati dei consumatori, implica di raccogliere e custodire molte informazioni potenzialmente per un periodo lungo di tempo. I Big Data Analytics rappresentano una grande opportunità per le imprese, ma gli scenari di utilizzo, le competenze ed i modelli organizzativi per governarli non sono ancora del tutto chiari e codificati, aumentando i punti di attacco e le vulnerabilità. Infine è necessario codificare i permessi di accesso alle informazioni, per limitare i possibili utilizzi fraudolenti.
I social network sono entrati ormai da anni nelle nostre vite, ridefinendo implicitamente i confini della privacy, di ciò che è corretto condividere in termini di gusti e di episodi della propria vita quotidiana. Il modo di vivere social, sospeso tra narcisismo, personal branding e nuove opportunità di conoscenza ha aperto la strada a nuovi canali e modelli di marketing. Tuttavia, la disponibilità di un numero così elevato di informazioni personali offre possibilità di attacco nuove, basate sul profilo dell’attaccato. La diffusione di sistemi di apprendimento automatico ha permesso la nascita di sistemi di Social Intelligence, in grado di delineare in modo dettagliato i comportamenti degli utenti su Internet e di sferrare, quindi, attacchi mirati e profilati.
Oltre a questi grandi trend dell’evoluzione digitale, vi sono altre tendenze emergenti che richiedono attenzione dal punto di vista della gestione della sicurezza.
Le nuove modalità di interazione tra essere umani e device (si pensi a titolo esemplificativo alle piattaforme che pongono l’attenzione sull’interazione vocale come Cortana o Siri), indirizzano le scelte degli utenti sulla base di complessi algoritmi, suggerendo comportamenti o azioni che potrebbero compromettere la sicurezza dell’utente. Inoltre, nuove modalità di autentificazione adattativa e basata sul comportamento, come per l’appunto la voce o la biometria, possono aprire a nuove possibili vulnerabilità.
Anche i droni, che nel futuro potrebbero diventare la quotidianità nelle consegne a casa e che vengono impiegati nell’ambito della realizzazione di video di qualità, sono un potenziale destinatario di attacchi hacker (fenomeno noto come dronejacking). Potrebbe essere possibile tracciare i percorsi, con l’obiettivo di sottrarre il contenuto della consegna, oppure comprometterli e prenderne il controllo laddove si tratti di droni di alta qualità utilizzati in ambito video o, estremizzando, in ambito militare.
L’evoluzione degli attacchi
I nuovi trend dell’innovazione digitale pongono nuove sfide in termini di sicurezza, ma allo stesso tempo cambiano le modalità stesse con cui vengono condotti gli attacchi e l’oggetto degli attacchi stessi.
In particolare aumenta l’interesse da parte di cybercriminali verso infrastrutture critiche, come reti di telecomunicazioni, impianti nucleari, reti idriche, che possono arrecare blocchi sistemici ad intere comunità o Paesi.
Crescono gli attacchi di tipo ransomware, ovvero orientati all’estorsione di denaro in cambio della possibilità di rientrare in possesso dei propri dati. Per il futuro si pensa che tali attacchi possano interessare sempre più spesso device dell’Internet of Things.
Accanto ai ransomware cresce rattrattività di attacchi di tipo BEC (Business Email Compromise), che permettono di ottenere cifre maggiori rispetto ai primi. Questa tipologia di attacco, che sfrutta come punto di accesso un errore umano; tende ad essere targettizzata su soggetti di particolare interesse, ai quali possono essere estorte quantità di denaro maggiori o informazioni di elevato valore (es. CEO Scam).
Si diffonderanno inoltre attacchi basati sulla compromissione di un processo, in particolare focalizzati sul settore bancario, come ad esempio sui sistemi di pagamento, per reindirizzare beni su altre destinazioni.
L’assicurazione del rischio cyber
La crescente complessità nella gestione della sicurezza e della mitigazione del rischio rende di particolare interesse il tema dell’assicurazione del rischio cyber. L’attivazione di una copertura può essere scatenata da diversi fattori, quali una violazione dei dati personali, difetti di sicurezza, problemi legati a una omissione negligente durante l’uso o la manutenzione del sistema informativo.
II mercato dell’assicurazione del rischio cyber è ancora immaturo e lo scenario è in continuo cambiamento. La copertura del rischio cyber riguarda i danni causati direttamente al sottoscrittore o a terze parti. Le principali aree di copertura riguardano, a titolo esemplificativo, l’investigazione e gestione degli eventi, la gestione delle istruttorie e la copertura danni in seguito a richieste di terze parti o a danni subiti direttamente.
Fonte: Gruppo Sole 24 Ore
