Sulla cybersecurity le aziende devono ancora fare il salto decisivo verso la piena consapevolezza. Le tecnologie per proteggersi dalle minacce informatiche, anche le più sofisticate, esistono ma l’assenza di strategie ragionate sulla sicurezza e, soprattutto, la mancanza di una formazione adeguata sui cyber pericoli in ogni strato e ruolo aziendale lascia le imprese esposte. Al Cybertech Europe 2019, terza edizione della piattaforma di networking B2B della cyber industria, Morten Lehn, General Manager Italy di Kaspersky, e Marco Preuss, Direttore europeo del Global Research & Analysis Team di Kaspersky, intervistati da CorCom hanno sottolineato come la cybersecurity abbia un peso strategico dove il vero punto di forza (o di debolezza) restano le persone.
Vietato sottovalutare le minacce
“Purtroppo non siamo arrivati ancora alla piena consapevolezza della necessità di difendersi dai cyber attacchi, sia nelle piccole che nelle grandi aziende”, ha affermato Morten Lehn. “I budget sono ristretti, le conoscenze sul panorama della minacce e sulle strategie di difesa sono esigue, le risorse interne per la cybersecurity a volte mancano, mentre le problematiche di sicurezza diventano sempre più complesse”.
Kaspersky, multinazionale della cybersicurezza attiva in 200 paesi e territori, con un team di oltre 4000 esperti, 400 milioni di utenti e 270.000 clienti corporate, sa bene che occorre portarsi sempre un passo avanti rispetto alle minacce, attuali e potenziali. Il passo indietro può costare caro e gli esempi che Lehn trae dalla sua esperienza sono numerosi. “Piccola azienda, italiana, attaccata con cryptolocker, un programma maligno di tipo ransomware. È rimasta ferma 3 settimane, perdendo 200.000 euro al giorno”, racconta. “Non ha giustamente pagato il riscatto chiesto dagli hacker e l’unica soluzione per il ripristino dei sistemi è stato rifare tutto da capo. Per fortuna avevano un backup”.
È solo uno dei tanti casi: “Il problema è la mancanza di conoscenza”, ribadisce Lehn: “quali sono i pericoli, come si presentano, che cosa si deve fare per proteggersi. Serve una formazione continua, una cultura della sicurezza in tutta l’azienda”.
Fa bene chi punta sulla formazione
Anche nelle multinazionali i livelli di consapevolezza possono non essere adeguati. Un’organizzazione che ha integrato aziende diverse con l’attività di M&A deve fare un lavoro notevole sulla cybersicurezza perché le superfici di attacco e gli anelli deboli della catena si moltiplicano: l’integrazione veloce e efficiente è la chiave. “Chi ha fatto bene in questo campo sono le imprese che hanno messo l’accento innanzitutto sulla formazione”, ha sottolineato Lehn. “Ci sono banche in Italia che sono casi di successo anche perché hanno investito sull’aggiornamento del personale”. Gli hacker sono sempre aggiornati e imparano ad attaccare laddove trovano la vulnerabilità. “Se la nostra azienda è difficile da penetrare proveranno a puntare su anelli deboli all’esterno del perimetro aziendale, per esempio nella catena dei fornitori, provando a farne una testa di ponte per l’intrusione in azienda”, conclude Lehn.
I rischi degli attacchi Ddos nel mondo iperconnesso
Vietato sbagliare sulla cybersecurity, ha ribadito Marco Preuss. Il furto della proprietà intellettuale ad opera di hacker può far chiudere i battenti a società in fase di startup. Aziende che operano su Internet (come nell’e-commerce) e subiscono un attacco Ddos (Distributed denial of service, tutti i sistemi vanno in tilt) rischiano una pericolosa emorragia di utenti: “L’incidente cyber ti manda offline per settimane e intanto la clientela passa alla concorrenza”,
“Le aziende non It pensano di non aver bisogno di sicurezza”, continua Preuss, “e invece oggi tutte le aziende sono It e devono pensare e agire come tali. Nel mondo digitalizzato l’It è la spina dorsale di ogni attività, non solo l’industria 4.0 e i trasporti automatizzati, non solo le reti Tlc, le banche e le utility: ogni società usa soluzioni It. Alle cyber minacce bisogna rispondere con un arsenale che include tecnologie avanzate, formazione per tutto il personale, consapevolezza diffusa, strategie disegnate in base alle proprie priorità e ai diversi scenari di attacco, e leadership adeguata da parte del management”.
Le minacce sofisticate puntano ai segreti industriali
Il panorama delle minacce, pur complesso, può essere diviso in due macro aree. Ci sono gli attacchi meno sofisticati, ma sempre efficaci, il cui obiettivo è fondamentalmente l’estorsione di denaro. È il caso di cryptolocker e ransomware, sempre in crescita e sferrati in grandi quantità. Per un’azienda può diventare un disastro: i data breach costano multe, reputazione, clienti e – a volte – poltrone nel top management.
Ci sono anche attacchi più sofisticati e mirati, che vanno dritti all’obiettivo di sottrarre dati e segreti industriali. Tracciare una mappa di questi attacchi è difficile, osserva Preuss: molte aziende che subiscono il furto di dati tendono ancora a non denunciare gli incidenti di sicurezza; inoltre molti di questi attacchi non sono facili da portare alla luce e restano latenti nei sistemi anche per anni. Si tratta di attacchi ATP (Advanced Persistent Threat), in cui i malware si insinuano nelle reti in modo da rimanere non visti e agire indisturbati per molto tempo.
Molti attacchi cyber fanno anche riferimento a tentativi di sottrazione di segreti a imprese concorrenti di paesi rivali, mescolando finalità economiche e politiche. “Possiamo rilevare la presenza di malware o ATP di un certo tipo, ma non risaliamo agli autori dell’attacco né alle loro motivazioni. Questo è compito per le forze di polizia”, chiarisce Preuss.
Kaspersky per la cybersecurity: tecnologia, formazione e trasparenza
Ai suoi clienti Kaspersky offre tecnologia, servizi e formazione – a tutti i livelli, anche Soc e Cert – forte di un lavoro di intelligence che conduce da 20 anni e che garantisce una conoscenza estensiva del panorama delle minacce cyber.
Un’altra iniziativa in cui Kaspersky è impegnata è la Global Transparency Initiative, che mira a coinvolgere la community di sicurezza informatica e altri stakeholder nella convalida e verifica dell’attendibilità dei suoi prodotti, processi interni e operazioni aziendali.
“Abbiamo trasferito tutto il traffico europeo in Svizzera, a Zurigo, dove abbiamo un mega data center”, sottolinea Lehn. “Il mercato vuole visibilità su quello che fai e qui aziende e governi possono verificare come sono sviluppati e costruiti i prodotti Kaspersky. I nostri processi sono inoltre certificati da consulenti esterni” . Per esempio, quest’anno Kaspersky ha completato con esito positivo l’audit Service Organization Control for Service Organizations (SOC 2) Type 1. Il report finale, condotto da una delle “Big Four” tra le società di consulenza, ha confermato che lo sviluppo e la release dei database delle regole di rilevamento delle minacce (AV database) sono protetti contro le modifiche non autorizzate grazie a rigidi controlli di sicurezza.
La Global Transparency Initiative di Kaspersky include numerose misure: revisione indipendente del codice sorgente dell’azienda, degli aggiornamenti del software e delle regole di rilevamento delle minacce; revisione indipendente dello sviluppo sicuro del ciclo di vita dei processi dell’azienda, così come delle strategie di mitigazione del rischio relative al software e alla supply chain; e centri di trasparenza in tutto il mondo per gestire eventuali problemi di sicurezza, insieme a clienti, partner fidati e stakeholder governativi. Il primo di questi centri di trasparenza è stato inaugurato a Zurigo, in Svizzera, nel novembre 2018, lo stesso dove quest’anno sono stati trasferiti tutti i dati dei clienti europei; nel mese di giugno 2019 Kaspersky ha inaugurato un altro Transparency center a Madrid, mentre il terzo, in Malesia, sarà aperto entro il 2020.