N. Febbraio 2019
a cura di Elena Vaciago
Associate Research Manager, The Innovation Group
Stiamo assistendo a una rapidissima trasformazione in chiave digitale. L’arrivo del 5G, la migrazione al cloud, la convergenza di IT e OT, non fanno altro che ridisegnare l’orizzonte cibernetico, allargandone sempre più la superficie vulnerabile ad attacchi esterni. Tutto questo, come dimostrano molti fatti, ha e avrà sempre di più impatti significativi sulle società e sulla sicurezza nazionale.
La buona notizia, riportata anche a gennaio nell’edizione 2018 dell’Enisa Threat Landscape, è che oggi forze dell’ordine, vendor e governi europei sono in grado di mettere in campo misure attive di difesa (Active Defence) e di contrastare, in alcuni casi molto bene, le azioni malevole sulla rete.
Pensiamo a quanto avvenuto nel mese di dicembre in Germania, dove un migliaio di personaggi famosi, artisti ma anche politici e giornalisti, sono starti presi di mira da un hacker che ha diffuso, prima dal suo account Twitter, poi tramite YouTube, dati personali come numeri di telefono, dettagli di carte di credito, foto, indirizzi, nomi di famigliari. Si è trattato di un evento molto grave, un vero attacco alle Istituzioni tedesche, essendo stati colpiti tutti gli esponenti di tutti i partiti rappresentati al Bundestag (405 parlamentari del partito Cdu, 249 per Spd, i verdi con 105, la Linke con 82 e la Fdp con 28), e la stessa Cancelliera Angela Merkel, con l’eccezione solo dei rappresentanti di Alternativa per la Germania (Afd), partito di estrema destra. Bene: nel giro di pochissimi giorni, la BKA, polizia investigativa tedesca, ha arrestato l’hacker, un uomo di 20 anni residente nel Paese, che ha confessato i fatti, aggiungendo di aver agito da solo e motivato dall’astio contro i politici tedeschi.
Se quindi, sia gli enti deputati al contrasto sia le organizzazioni sono sempre più pronte nella risposta, quali permangono nel 2019 come i principali problemi della cybersecurity?
Oggi, un problema ancora non risolto è l’incapacità delle aziende di misurare e comprendere un rischio che oramai le riguarda molto direttamente, ossia, la capacità di avere contezza, di stimare quali sono i possibili rischi di perdita economica per il business da evenienze di tipo cyber.
La mancanza di un approccio “scientifico” nella gestione del rischio cyber impedisce una corretta allocazione degli investimenti e una prioritizzazione delle minacce, cosicché – anche da parte del management dell’azienda – non viene messa al primo posto la protezione degli asset informativi più critici del business (dai dati personali all’intellectual property). In prospettiva, con l’ampliarsi del tema anche ai processi operativi e all’ambito della fabbrica (in scenari di Industria 4.0), questo comporta la sottostima dell’impatto di un possibile evento cyber con arresto operativo delle attività produttive.
Quello che emerge come reale emergenza per la stessa sostenibilità del business, è quindi una situazione in cui le aziende sono sempre più dipendenti da un’infrastruttura digital composta di applicazioni tradizionali e nuove, su cloud, app mobile, IoT, che negli ultimi anni hanno estremamente ampliato la superfice d’attacco (come dimostra il fatto che gli incidenti registrati sono in grande aumento) senza che si siano intraprese sufficienti misure per mitigare i rischi. Aree in cui sarebbe urgente prendere provvedimenti sono:
- Maggiore visibilità sulla propria esposizione ad attacchi cyber
- Maggiore attenzione alla ricerca di vulnerabilità
- Focalizzazione sui propri rischi specifici.
Oltre all’organizzazione complessiva, alle sue misure e processi che innalzano la cybersecurity, bisognerebbe poi tener presenti i rischi collegati ai singoli individui: le persone vanno viste anche al di fuori del contesto lavorativo, e oggi sono loro le più esposte a minacce che arrivano da un utilizzo della rete primo di sufficienti misure precauzionali.
Il 2018 – con l’arrivo del GDPR, il Regolamento Europeo sulla privacy – ha portato in primo piano il tema dell’utilizzo poco trasparente da parte di social media e Over-the-top player sui dati legate a singoli utenti e alle loro attività online. Non è più un segreto per nessuno il fatto che Facebook e Google monetizzano qualsiasi informazione possono ottenere online dagli utenti, mettendola a disposizione di chi indirizza messaggi promozionali ai medesimi, singoli utenti. In realtà, molti erano finora ignari di quanto avanzate fossero queste attività: i vari data breach dello scorso anno, a partire da quello più noto (lo scandalo Cambridge Analytica), alla fine sono serviti, perchè hanno portato alla luce un fenomeno che stava passando piuttosto inosservato.
Lo scenario che riguarda le singole persone è quello peggiore se si guarda al futuro: mentre le aziende sono tenute, oggi anche per compliance alle norme, a predisporre misure e a prepararsi ad affrontare un evento cyber, le singole persone sono le più impreparate ed esposte. Pensiamo ai furti di identità tramite social media: i singoli non sono incentivati a utilizzare metodi di accesso (biometrici, password forti) che possano rendere più difficile agli hacker il furto della loro identità, per posta elettronica, account social, fino ad account bancari o altro.
Pensiamo agli attacchi alle informazioni sul cloud: moltissime persone affidano al cloud una parte importante della propria vita, dei propri dati: pensiamo ai backup, alle foto di familiari, alla posta elettronica. Tutto risiede in cloud, con scarsa sicurezza, nessuna crittografia, nessuno valutazione delle misure di sicurezza del cloud provider. Lo stesso Office365 è stato oggetto di un attacco (da parte della botnet KnockKnock, che prendeva di mira account privi di autenticazione multifattore). Infine, anche attacchi all’IoT domestico/Voice Assistant tramite smartphone, tablet e router: in futuro nuovi malware (passando tramite mobile o i router della rete domestica) punteranno ad ottenere l’accesso agli assistenti digitali e ai dispositivi IoT della casa intelligente.
Una maggiore consapevolezza futura dei singoli utenti, associata alla convinzione che molte delle piattaforme online e dei nuovi oggetti connessi NON sono sufficientemente sicuri, costringerà i singoli a farsi promotori di scelte di self defense, che dovranno passare in primo luogo in una migliore gestione della propria identità, dei meccanismi di uso e di accesso ai device, e un più attento controllo e segnalazione immediata ai produttori/ai social media provider, di qualsiasi anomalia riscontrata.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!