Security oggi non è più semplicemente sinonimo di protezione dei dati e dei sistemi aziendali dagli attacchi di cyber criminali e concorrenti scorretti. È, prima ancora, consapevolezza degli asset, dei touch point, dei processi e dei comportamenti che costituiscono l’ecosistema all’interno del quale si sviluppano i business nell’era digitale. Un’era in cui oggetti connessi, applicazioni erogate da remoto e tool per la produttività in modalità smart working hanno dissolto i tradizionali perimetri delle imprese, che ora si trovano a gestire superfici sempre più estese e fluide. Vere e proprie pareti osmotiche indispensabili per trasmettere all’organizzazione e ai suoi interlocutori le informazioni su cui vanno orchestrati i vari task. Solo a partire dalla conoscenza di come funzionano questi flussi diventa possibile predisporre strumenti, buone pratiche, competenze e professionalità a difesa dell’azienda.
Come cambia il paradigma dei confini aziendali
“È un cambio di paradigma che cavalca la continua crescita del cyber space e dei modelli di business digitali”, conferma Andrea Ferrazzi, Direttore del Security Competence Center e CISO di Maticmind. “Internet non è più un luogo da raggiungere, ma un accessorio della vita professionale e sociale. L’importanza della dimensione del suo utilizzo non è data dal volume, ma dalla qualità delle informazioni scambiate. All’interno del nuovo contesto il cambiamento ha toccato aspetti che riguardano il modo in cui si sfruttano gli strumenti e si sviluppano le interazioni tra mondo digitale e mondo reale”.
Per Ferrazzi definire la nuova superficie dell’azienda risulta estremamente difficile, anche per gli aspetti legati ai temi del 4.0, specialmente in settori delicati come quelli che erogano servizi essenziali, a partire dalle Utilities e dal Finance. “Parliamo ormai di un luogo generato dall’interdipendenza di tecnologie, processi, relazioni e funzioni aziendali; un ambiente variegato e dinamico, che per essere affrontato va sviluppato in modo sistemico. La mia convinzione”, continua l’esperto, “è che questo cambiamento di paradigma sia stato al contrario gestito spesso in modo selvaggio, a causa della scarsa capacità di adattamento dell’essere umano all’evoluzione tecnologica, che è fisiologicamente più rapida”. Ecco perché, secondo Ferrazzi, i business faticano ancora a sviluppare una visione estesa sulla superficie di affari esposta alle minacce.
“Parliamo di una rivoluzione vera e propria, che effettivamente è stata rapidissima”, conferma Cesare Radaelli, Senior Director Channel Account di Fortinet. “Ciò che esisteva fino a non più di tre anni fa appartiene a un’altra era geologica: se prima il perimetro era identificabile, e i punti d’accesso alla rete erano progettati, gestiti e affrontati come porte che separavano i dati dal mondo esterno, oggi i confini sono sempre più labili, e la sfida non è capire cosa chiudere, ma trattare la sicurezza in modo allargato: non sappiamo da dove arriveranno gli attacchi, interni o esterni che siano. Bisogna valutare tutti gli ambiti e tutti i meandri dell’organizzazione ragionando in ottica di continuità di servizio”.
Un rischio sistemico, determinato dall’incapacità di governare la struttura aziendale
In questo contesto, le voci di Andrea Ferrazzi e Cesare Radaelli sono tra le più autorevoli in Italia per analizzare il tema in continuo divenire della cyber security. Maticmind e Fortinet hanno infatti unito le forze in una collaborazione strategica che proprio in quest’ottica punta a rafforzare le rispettive competenze offrendo un approccio integrato al mondo del business. Se da una parte il system integrator fornisce una visione e un contatto ravvicinati rispetto alle esigenze concrete delle imprese italiane, dall’altra l’expertise sul fronte tecnico del vendor globale di soluzioni di sicurezza consente di sviluppare soluzioni e approcci che tengano conto dell’incessante evoluzione delle minacce informatiche, costantemente monitorate dai Fortinet Labs.
“Sono in effetti sempre più numerose le tipologie di attacchi ai touch point aziendali”, dice Radaelli di Fortinet. “Si va dalle classiche, ma sempre di moda, iniziative ransomware – che rappresentano per lo più fenomeni estesi, opportunistici, che mirano alle frodi informatiche – fino agli attacchi mirati, che si fanno sempre più raffinati”. Radaelli ricorda come sia ormai facile anche per un amatore sferrare un attacco ransomware: basta scaricare sul deep o sul dark web i codici, e con un minimo di esperienza informatica si possono sviluppare malware adatti a campagne su larga scala.
“All’altro estremo ci sono invece vere e proprie organizzazioni criminali, che studiano il target e progettano attacchi multivettoriali per raggiungere lo scopo prefissato, che il più delle volte è rubare informazioni di valore”, precisa il manager di Fortinet.
“Ma immaginiamo anche a cosa può succedere in presenza di vulnerabilità all’interno dei sistemi di automazione industriale, o ai disservizi che un attaccante può causare in un’azienda nel momento in cui viene in possesso di credenziali o informazioni di accesso riservate”, avverte Ferrazzi di Maticmind. “Il rischio è ormai sistemico proprio perché le vulnerabilità, oggi, sono parte integrante di processi e interazioni sempre più interdipendenti, che se non sono ben governati risultano facilmente penetrabili. Facile immaginare, per esempio, cosa può succedere se un operatore aziendale subisce un data breach sul suo telefono privato che contiene in memoria, insieme a effetti personali, anche password e credenziali di accesso ai sistemi. L’attacco va dunque a buon fine se si verifica il fallimento anche solo di un elemento dell’intera catena. La maggior parte dei malware sfrutta vulnerabilità che sono note, è la cattiva gestione di chi amministra la struttura a determinare intromissioni e furti di dati”.
Gli approcci tecnologici – e culturali – al contenimento delle vulnerabilità
In che modo si possono contrastare i rischi estendendo la visibilità sull’intera superficie aziendale senza aumentare ulteriormente la complessità dell’ecosistema? “Ci sono due grandi ambiti d’azione”, sostiene Ferrazzi di Maticmind. “Il primo comprende tutte le pratiche necessarie per conoscere le abitudini del tuo nemico, di cui se ne occupa la Cyber threat intelligence. Successivamente, bisogna imparare a monitorare la propria superficie adottando tre famiglie di controlli: in primo luogo occorre sapere quali informazioni che ci riguardano sono disponibili a terzi, anche tramite i canali social. Le persone condividono online numerose informazioni senza classificarle come sensibili, queste finiscono per diventare disponibili sulle autostrade del deep e del dark web, alla mercé di chi vuole tentare attacchi opportunistici come il phishing. La seconda categoria comprende la comprensione delle vulnerabilità dei sistemi, che possono essere umane, di processo, o tecnologiche. Su quelle umane involontarie si può intervenire solo con programmi di formazione e awareness, ricordandosi che il primo elemento di difesa rimane proprio lo stesso essere umano. Le vulnerabilità tecnologiche occupano un posto di secondo piano, soprattutto se si considera che la stragrande maggioranza sono note, e quindi facilmente attaccabili dato che non sono state riparate con le patch a disposizione. La terza via è quella dell’analisi comportamentale all’interno delle organizzazioni. Qui si fanno strada le applicazioni di intelligenza artificiale, che identificano comportamenti difformi tenendo sotto controllo le attività di dispositivi e persone. Un approccio che per essere adottato necessita un’infrastruttura tecnologica di base capace di dare visibilità a tutti gli elementi in gioco. Proprio per queste ragioni Maticmind ha scelto di collaborare con Fortinet, che con la sua fabric ci consente di offrire ai nostri clienti questa infrastruttura”.
La tecnologia, però, da sola non è sufficiente, ed è proprio Radaelli di Fortinet a sottolinearlo. “Quando compriamo una casa o un’automobile, diamo per scontato che nel capitolato o nel set di optional sia inclusa quanto meno la predisposizione per l’installazione di un antifurto. Non posso pensare di comprare casa per poi spaccare i muri e costruire un impianto a posteriori, né di smontare l’auto per fare altrettanto. Vorrei che lo stesso pensiero fosse fatto a priori nelle aziende italiane quando valutano le soluzioni di sicurezza informatica disponibili sul mercato oggi. Con il decadimento dei perimetri certi e definiti e con l’avvento di servizi allargati a clienti e fornitori, a cui vanno aggiunti temi come la compatibilità con le strutture legacy on premise e le opportunità offerte dal cloud, la security deve essere garantita con un approccio by design. Ma la questione fondamentale è un’altra”, chiosa Radaelli. “Auspico che un giorno siano i clienti a imporci criteri di sicurezza personalizzati, che siano di livello adeguato alle esigenze della propria organizzazione, e non tanto le condizioni minime per rispettare la compliance. La sfida, come sempre in ambito digitale, è prima di ogni altra cosa culturale”.