N. Febbraio 2019
a cura di Elena Vaciago
Associate Research Manager, The Innovation Group
Intervista a Marco Tulliani, Head of IT Risk Management and Cybersecurity/CISO di BNL Gruppo BNP Paribas.
Lo scenario relativo all’evoluzione dei rischi cyber continua a mostrare un’elevata complessità, che si ripercuote sui temi di gestione di queste criticità, e richiede un costante ripensamento delle politiche di Cyber Risk Management nelle grandi organizzazioni italiane. Ne parliamo con Marco Tulliani, Head of IT Risk Management and Cybersecurity/CISO di BNL Gruppo BNP Paribas, che su questi temi interverrà nel corso del Cybersecurity Summit 2019 di The Innovation Group, il prossimo 19 marzo 2019 a Roma.
Quale saranno le priorità nel 2019 per i Responsabili della Cybersecurity?
Dal mio punto di vista, le tematiche che devono ancora esplodere sono quelle legate allo sviluppo dell’Internet of Things, un tema che al momento ha già mostrato qualche problema, ma non è stato ancora impattato da gravi data breach o da incidenti rilevanti per la collettività. Ciò nonostante, le vulnerabilità dell’IoT sono note e le minacce cresceranno. Pensiamo ad esempio alle auto connesse di ultima generazione: in diversi casi è stato dimostrato che si può prenderne il controllo da parte di esterni, anche se finora si è trattato di casi isolati. Inoltre, non si è trattato finora di veri attacchi ma piuttosto di test da parte di alcuni White Hat hacker, esperti di cybersecurity. Anche nel caso delle botnet, pensiamo a quanto successo con la botnet Mirai con cui è stato sferrato l’attacco DDoS più grave, le webcam non sono state danneggiate ma infettate e quindi usate come veicolo per sferrare l’attacco.
Considerando le aziende che spostano dati e processi del business sul cloud, un problema è oggi avere garanzie di sicurezza di questi ambienti …
Il problema della cloud security oggi è un po’ meno rilevante rispetto a qualche anno fa, anche perché il cloud è meno in auge. In alcuni casi si torna a guardare a tecnologie tradizionali piuttosto che al cloud, soprattutto quando si deve affrontare il tema dei costi, e la spesa per la migrazione non sempre è giustificata dai benefici che si ottengono. Oggi molte organizzazioni privilegiano il cloud privato, e, a parte Amazon, che ha la quota più importante di servizi nel cloud pubblico, non vedo un’uguale crescita per altri provider.
Da dove si originano oggi le maggiori frustrazioni per chi gestisce la sicurezza dell’organizzazione?
Sicuramente un problema che nonostante tutto continua a preoccupare moltissimo è quello del fattore umano, della mancanza di cultura. Se consideriamo gli ultimi attacchi importanti, come quello a dicembre alla Iris Ceramica di Modena (un black out informatico di 48 ore con richiesta di riscatto per 950mila euro, prontamente denunciato alla Polizia Postale) o il data breach per 500 milioni di clienti durato per diversi anni al Marriott Hotels, all’origine della violazione c’è stato sempre un errore umano, l’apertura di una mail e un click su un link che ha portato a installare un malware sui sistemi aziendali. Nel caso di Marriott poi all’origine ci sarebbe stata anche un’attività scorretta di software distribution da parte di terzi, che avrebbe portato a infettare i sistemi della società. Quindi, oltre al problema di condurre corrette attività di awareness, aggiungerei anche per il 2019 il tema di un’attenta valutazione delle pratiche di security delle terze parti. I fornitori, pensiamo a tutto il mondo dei servizi ICT, all’outsourcing che punta ad efficientare i costi nel mondo finanziario, può essere sfruttato come ponte di ingresso per gli attaccanti esterni.
Cosa sarebbe prioritario mettere a piano per incrementare la sicurezza delle terze parti?
Serve dotarsi di un vero framework per assegnare dei risk rating alle terze parti e decidere, anche a livello contrattuale, come fare un remediation plan. Ultimamente molte delle attività verso i fornitori sono state indirizzate per rispondere alla compliance GDPR, ma non basta, servono clausole contrattuali anche per aspetti di security e un framework per vedere nella sostanza quali sono le vulnerabilità: il problema sostanziale è come evitare l’attacco, non solo quale può essere la rivalsa contrattuale. Quindi in ultima analisi serve collaborare meglio con le terze parti e adottare soluzioni per analizzare nel concreto la sicurezza, creando alla fine una maggiore resilienza a livello di ecosistema. Quindi anche CERT condivisi, scambio di informazioni, verifica sulle terze parti tramite player del mondo security.
Oggi nel mondo della cybersecurity si parla spesso dei vantaggi introdotti da tecnologie di intelligenza artificiale e machine learning: qual è la vostra esperienza?
Stiamo andando verso questi sistemi, ad esempio usiamo aspetti di orchestrazione e data warehouse con Machine Learning su comportamenti e use cases implementati nel SIEM. L’automazione della cybersecurity risponde in generale al problema della mancanza di capacity. Ci sono però aspetti a cui bisogna fare attenzione: per automatizzare serve aver definito dei processi standard e omogenei, estremamente lineari, con pochi passaggi, altrimenti il robot non è in grado di gestirli.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!