N. Ottobre 2018
a cura di Elena Vaciago
Associate Research Manager, The Innovation Group
La rapida transizione a infrastrutture software defined, la virtualizzazione, il passaggio ai servizi cloud, impongono oggi ai Responsabili della Cybersecurity aziendale una revisione dell’approccio della propria organizzazione alla sicurezza dei processi, dei dati, delle applicazioni. Quali sono le scelte prioritarie da considerare? Ne parliamo in questa intervista con Riccardo Barrile, Responsabile Cyber Security del Gruppo Ferrovie dello Stato.
Quali sono oggi le priorità e le contromisure per mettere in sicurezza le infrastrutture in trasformazioni?
Per rispondere a come vada effettuato correttamente questo percorso di trasformazione digitale in maniera sicura, è necessario fare una premessa. Siamo stati abituati in passato ad operare all’interno di un perimetro ben definito da proteggere. Questa situazione ci ha portato ad adottare contromisure ben definite di difesa dall’esterno e all’interno del suddetto perimetro. Oggi, le nuove evoluzioni tecnologiche e in particolare l’adozione di servizi in cloud, nelle varie modalità (IaaS, PaaS, SaaS), ci obbliga a rivedere l’approccio alla cybersecurity seguendo strade non tracciate con lo scopo di proteggere innanzi tutto i dati e le informazioni critiche del business. Innanzitutto, abbiamo ridefinito le policy interne puntando a definire il livello di classificazione del dato. Bisogna infatti avere contezza di quanto sensibile o riservato sia il dato in azienda e conoscere da dove è originato. Abbiamo emesso nuove policy che vanno nella direzione della classificazione dei dati, e, in base a questa, indicato al business come meglio gestire queste informazioni, e nello specifico, se è meglio scegliere l’infrastruttura di un cloud provider con certe caratteristiche oppure mantenerle in azienda.
Come migrare in modo sicuro al cloud?
Mentre prima il perimetro era ben individuato e circoscritto, con l’avvento del cloud dobbiamo verificare da un lato che il cloud service provider eroghi i propri servizi con adeguate misure di sicurezza, che comunque vanno ben comprese ed individuate. Dall’altro lato, è fondamentale concentrarsi sulla protezione delle informazioni. Sicuramente oggi il mercato offre soluzioni che consentono a chi fa security di adottare livelli di sicurezza corretti anche per i dati in cloud: si tratta di soluzioni che stanno maturando velocemente, e che ci aiutano a fare delle scelte. Ad esempio, le soluzioni CASB consentono di interagire con il cloud service provider per verificarne le condizioni di sicurezza, sia a livello di infrastruttura sia di trattamento del dato.
Per utilizzare i servizi in cloud con maggiore tranquillità, prima di portare le informazioni fuori, è fondamentale conoscere il livello di sensibilità del dato. Finora si è sempre pensato che in casa la sicurezza fosse maggiore: ora forse questo non è più vero, ci sono sicuramente ambienti cloud molto sicuri, anche più di quanto sia possibile ottenere internamente. L’azienda non deve però dimenticare che anche portando in cloud i propri dati la responsabilità su furto o integrità del dato rimane sempre in capo alla committenza, non basta dire a quale cloud provider mi sono affidato.
Un ambito in cui il cloud sta dimostrando grande valore aggiunto in termini di flessibilità, scalabilità, time-to-market, è quello dello sviluppo applicativo: come sfruttare questa opportunità in modo sicuro?
In questo momento stiamo rivedendo l’intero assetto, anche quello dello sviluppo software: come security, siamo chiamati ad intervenire per garantire misure di sicurezza adeguate e per consentire uno sviluppo sicuro. È nostro compito quindi assicurare che le condizioni offerte dal cloud service provider siano adeguate, in termini di localizzazione dei data center, di disponibilità del provider nel fornire accesso ai log di sicurezza degli ambienti di sviluppo, nel mettere a disposizione il piano di sicurezza e la gestione degli incident (in modo da poter essere collegati e poterli gestire simultaneamente). Sono queste tutte prerogative essenziali per sviluppare in cloud come prima in house. Questo confronto con i provider si riflette anche nelle nostre gare di appalto pubbliche, in cui i capitolati di gara riportano questi prerequisiti. In ogni modo, riteniamo che non sia possibile portare in cloud i sistemi IT più sensibili per il business e per tanto con esigenze di riservatezza maggiori.
Considerando che negli ultimi anni l’evoluzione delle infrastrutture è stata caratterizzata da un’ampia virtualizzazione delle risorse, dal suo punto di vista, quali sono le nuove sfide alla sicurezza poste dal passaggio verso ambienti virtuali?
Un’infrastruttura moderna vede oggi un utilizzo massiccio di virtualizzazione delle risorse elaborative, con vantaggi evidenti, dalla riduzione degli spazi al contenimento dei costi: noi ad esempio siamo arrivati all’ultima frontiera virtualizzando il 90% dei server. Lo stesso si può dire per i cloud service provider, che grazie a un’elevata virtualizzazione ottengono livelli superiori di ottimizzazione delle risorse di calcolo e di storage, e quindi una forte condivisione di capacità elaborativa e di memoria in base alle richieste di servizio. Ci sono anche dei rischi, i bachi dei processori ad esempio permettono di intaccare le informazioni residenti nella memoria dell’elaboratore. Esistono varie soluzioni che consentono una migliore protezione tramite un interfacciamento diretto e live. La tecnologia per risolvere questi problemi c’è: il problema di fondo però è che manca una conoscenza approfondita di questi strumenti.
Spesso si utilizza l’ultima generazione di prodotti molto avanzati senza conoscerli in modo appropriato: come se oggi, passando da una Ferrari degli anni ’60 a una odierna, non ci preoccupassimo di imparare a guidarla in modo totalmente diverso. Questo ci dice che non tutto si risolve con la tecnologia: servono invece processi, organizzazione e tecnologie, e la capacità di far crescere velocemente gli skill del personale che utilizza questi oggetti.
Quali sono quindi oggi, considerato le nuove domande che provengono dal business e la necessità di una radicale trasformazione tecnologica, le principali sfide per chi si occupa di sicurezza?
Il Gruppo, oltre ad avere numerose infrastrutture da gestire, conta numerosi processi critici legati al trasporto di persone e merci, pertanto ha la necessità di ottenere il massimo dinamismo nell’elaborazione ed erogazione di informazioni, velocità e sicurezza. Oggi una cybersecurity moderna è quindi una funzione da governare in continuazione, non può essere separato dal business e dalle strategie dell’azienda: deve tener conto di quello che è il mercato, delle soluzioni di cui disponiamo, per proporre in anticipo, fin dalla progettazione di un nuovo servizio, le modalità con cui metterlo in sicurezza.
Il nostro primo obiettivo è quindi proteggere il business, e non invece modificarlo o frenarlo: bisogna evitare di rimanere arroccati su vecchie posizioni, fare squadra con il business, entrare nei processi senza bloccare l’azienda. Il Gruppo è immerso in un’evoluzione continua che richiede una gestione dinamica della cybersecurity, che tenga conto anche del quadro normativo che lascia sempre meno spazio ad interpretazioni. Il CISO o Responsabile della Cyber Security deve quindi conoscere molto bene le norme, le tecnologie, i processi e le strategie dell’azienda, in modo da proporre soluzioni che non siano un limite ma, invece, uno strumento.
Considerando la situazione degli attacchi sofferti dalle aziende, i livelli di rischio più alti sono di solito raggiunti da attacchi mirati, che beneficiano di maggiori risorse e hacker più esperti. Quali sono secondo lei le azioni per far fronte all’evoluzioni del panorama delle minacce?
Si assiste a un’evoluzione delle minacce cyber molto variegata. Indubbiamente sono d’accordo con l’affermazione che le minacce più pericolose sono quelle con target mirato, ben organizzate, con alle spalle attori dotati di capacità tecnologiche e risorse finanziarie, talvolta sponsorizzate da singoli Stati. Si tratta in alcuni casi di minacce molto serie, che possono sfociare in una reale aggressione allo stato e alle sue infrastrutture critiche. In Italia abbiamo però strutture preposte e preparate per la protezione a questo tipo di minacce, nello specifico la Polizia Postale e la Presidenza del Consiglio con il DIS, con cui siamo in costante contatto proprio per evitare l’emergenza di un attacco cibernetico mirato così rischioso da poter bloccare l’erogazione di servizi essenziali per la comunità. È importante su questi temi preparare e predisporre risposte coordinate e condivise tra i soggetti e le Istituzioni coinvolti.
Per quanto riguarda l’identificazione di queste minacce, abbiamo seguito un percorso evolutivo importante, adottando diverse tecnologie di correlazione e analisi dotate di intelligenza artificiale e strumenti specifici per individuare eventuali anomalie. Questo in aggiunta alle diverse linee di difesa predisposte per la gestione delle minacce note. Tenendo presente che la sicurezza assoluta non esiste, si deve comunque mettere in campo tutto il possibile, ed è fondamentale essere in grado di fornire una risposta in caso di attacco che sia decisa, rapida, organizzata e ordinata: non c’è alternativa. In sostanza, è molto importante come si è organizzati. Il tempo infatti gioca a sfavore, e gli attacchi cyber sono molto rapidi.
È importante, inoltre, che questa capacità sviluppata internamente, di individuazione di un eventuale attacco o minaccia, sia fruita anche da tutto il sistema. Per questo motivo è fondamentale allertare sempre anche gli altri attori del comparto delle infrastrutture critiche. È possibile infatti che un attacco mirato, dopo aver provato a colpire una specifica organizzazione, dopo mezz’ora si rivolga ad altre del mondo Finance o Energy. Per favorire questo scambio di informazioni saranno fondamentali le attività nei prossimi mesi, così come sono state richieste dalla Direttiva NIS, di predisposizione di uno o più CSIRT sul territorio. Internamente abbiamo un nostro Computer Security Incident Response Team, che già ora è in grado di collaborare con altre strutture esterne. Inoltre, collaboriamo in vari tavoli di lavoro con Ministeri ed enti nazionali, sul fronte della definizione di uno standard comune di comunicazione da adottare.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!