La cybersicurezza delle imprese è messa a rischio da tre grandi macro-trend: utilizzo diffuso dell’accesso ai dati su mobile e cloud, carenza di competenze in materia di security e hacker sempre più abili nell’impiego di intelligenza artificiale. È quanto afferma McKinsey nel nuovo report “Cybersecurity trends: looking over the horizon”, che delinea le tendenze della sicurezza informatica dei prossimi tre-cinque anni che avranno le maggiori implicazioni per le organizzazioni.
Lo studio sottolinea come i costi legati al cybercrime cresceranno fino 10,5 trilioni di dollari l’anno nel 2025. L’85% delle piccole e medie imprese intende accrescere la spesa in sicurezza It. Ma, in tutte le organizzazioni, resteranno non coperti 3,5 milioni di posti di lavoro nella cybersecurity. E i premi assicurativi contro gli incidenti di sicurezza cresceranno del 21% ogni anno di qui al 2025.
Lo studio indica anche alcune strategie che possono aiutare le imprese a rispondere attivamente all’emergenza.
I cyber-rischi dell’accesso on-demand alle piattaforme di dati
Le piattaforme mobili, lo smart working e altri trend si basano sempre più sull’accesso ad alta velocità a set di dati ubiqui e di grandi dimensioni, esacerbando la probabilità di una violazione. Il mercato dei servizi di web hosting genererà 183,18 miliardi di dollari entro il 2026, secondo le previsioni degli analisti. Le aziende raccolgono molti più dati sui clienti – dalle transazioni finanziarie al consumo di elettricità alle visualizzazioni sui social media – per comprendere e influenzare il comportamento d’acquisto e prevedere più efficacemente la domanda. Nel 2020, in media, ogni persona sulla Terra creerà 1,7 megabyte di dati ogni secondo.
Con la maggiore importanza del cloud, le imprese sono sempre più responsabili dell’archiviazione, della gestione e della protezione di questi dati e di affrontare le sfide di volumi di dati esplosivi. Per attuare questi modelli di business data-based, le aziende hanno bisogno di nuove piattaforme tecnologiche, compresi i data lake in grado di aggregare informazioni. Le aziende non solo stanno raccogliendo più dati, ma li stanno anche centralizzando, memorizzandoli nel cloud e concedendo l’accesso a una serie di persone e organizzazioni, comprese terze parti come i fornitori.
Ai e machine learning: gli hacker sono sempre più sofisticati
Oggi il cyber-hacking è un’impresa multimiliardaria, completa di gerarchie istituzionali e budget di ricerca e sviluppo. Gli aggressori utilizzano strumenti avanzati, come l’intelligenza artificiale, il machine learning e l’automazione. Nei prossimi anni saranno in grado di accelerare – da settimane a giorni o ore – il ciclo di vita dell’attacco end-to-end, dalla fase di ricognizione a quella di exploit.
Per esempio, Emotet, una forma avanzata di malware che prende di mira le banche, può cambiare la natura dei suoi attacchi. Nel 2020, sfruttando l’Ai avanzata e le tecniche di machine learning per aumentare la sua efficacia, ha utilizzato un processo automatizzato per inviare email di phishing contestualizzate che hanno intercettato altre email di minaccia – alcune legate alle comunicazioni di Covid-19.
Altre tecnologie e competenze stanno rendendo più diffuse forme di attacco già note, come il ransomware e il phishing. Il ransomware as-a-service e le criptovalute hanno ridotto sostanzialmente il costo del lancio di attacchi ransomware, il cui numero è raddoppiato ogni anno dal 2019. Altri tipi di interruzioni spesso innescano un picco di questi attacchi. Per esempio, durante l’ondata iniziale di Covid-19, da febbraio 2020 a marzo 2020, il numero di attacchi ransomware in tutto il mondo è aumentato del 148%. Gli attacchi di phishing sono aumentati del 510% da gennaio a febbraio 2020.
Carenza di risorse e competenze per la cybersecurity
Molte organizzazioni non hanno sufficienti talenti, conoscenze e competenze in materia di cybersecurity e la lacuna sta diventando sempre più grande. In generale, la gestione dei rischi informatici non ha tenuto il passo con la proliferazione delle trasformazioni digitali e di analytics, e molte aziende non sono sicure di come identificare e gestire i rischi digitali.
Nel frattempo i regolatori stanno aumentando la loro attenzione sulle capacità di cybersecurity aziendale – spesso con lo stesso livello di supervisione e attenzione applicato ai rischi di credito e liquidità nei servizi finanziari e ai rischi operativi e di sicurezza fisica nelle infrastrutture critiche. Le aziende affrontano requisiti di conformità più rigidi, risultato delle crescenti preoccupazioni sulla privacy e delle infrazioni di alto profilo. Ora ci sono circa 100 regolamenti sul flusso di dati transfrontalieri.
Le risposte possibili: le capacità zero-trust
Secondo McKinsey, mitigare i rischi di sicurezza informatica dell’accesso on-demand ai dati ubiqui richiede precise risorse di sicurezza informatica. Una è il modello di sicurezza zero-trust (Zero trust architecture, Zta). Il lavoro ibrido e remoto, l’aumento dell’accesso al cloud e l’integrazione dell’Internet delle cose (IoT) creano potenziali vulnerabilità. Una Zta spinge l’attenzione della cyberdifesa a non limitarsi ai perimetri statici che circondano le reti fisiche e verso gli utenti, le risorse e i beni, mitigando così il rischio derivante dai dati decentralizzati. L’accesso è applicato in modo più capillare dalle politiche: anche se gli utenti hanno accesso all’ambiente dei dati, potrebbero non avere accesso ai dati sensibili.
Importante anche l’analisi comportamentale: le applicazioni di analytics possono monitorare alcuni parametri come le richieste di accesso o lo stato di salute dei dispositivi e stabilire una linea di base per identificare un comportamento anomalo, intenzionale o non intenzionale, degli utenti o l’attività dei dispositivi.
Il monitoraggio elastico dei log per grandi set di dati (come quelli dell’IoT) è un ulteriore strumento di protezione. Inoltre, la crittografia omomorfica permette agli utenti di lavorare con i dati crittografati senza prima decifrarli e quindi dà a terzi e collaboratori interni un accesso più sicuro a grandi set di dati.
Automazione e Ai per combattere i cyberattacchi
Per contrastare gli attacchi più sofisticati guidati dall’Ai e da altre capacità avanzate le organizzazioni dovrebbero adottare un approccio all’automazione basato sul rischio e risposte automatiche agli attacchi.
Se gli hacker usano Ai e machine learning, devono farlo anche le aziende, in modo da stare al passo con i cambiamenti dei modelli di attacco e mitigare il rischio anche dopo un incidente di sicurezza. In particolare, le organizzazioni possono utilizzare queste tecnologie per rilevare e rimediare ai sistemi non conformi. I team possono anche sfruttare l’apprendimento automatico per ottimizzare i flussi di lavoro e gli stack tecnologici in modo che le risorse siano utilizzate nel modo più efficace nel tempo.
Contro l’aumento della portata degli attacchi ransomware i cambiamenti tecnici includono l’utilizzo di archivi e infrastrutture di dati resilienti, risposte automatiche alla crittografia dannosa e autenticazione multifattoriale avanzata per limitare il potenziale impatto di un attacco. I cambiamenti organizzativi includono la conduzione di esercitazioni a tappeto, lo sviluppo di playbook dettagliati e multidimensionali e la prevenzione di tutte le opzioni e gli imprevisti – comprese le decisioni di risposta esecutiva – per rendere la risposta aziendale automatica.
La sicurezza by design e nelle competenze
L’aumento del controllo normativo e le lacune in termini di conoscenze, talenti e competenze rafforzano la necessità di costruire e integrare la sicurezza nelle risorse tecnologiche nel momento in cui vengono progettate, costruite e implementate.
Secondo McKinsey, le aziende dovrebbero incorporare la sicurezza informatica nella progettazione del software fin dall’inizio. Un modo efficace per creare un ciclo di vita dello sviluppo software sicuro (Ssdlc) è quello di avere team di sicurezza e rischio tecnologico impegnati con gli sviluppatori in ogni fase del processo.
Può anche essere importante diversificare i cloud partner strategicamente per limitare l’esposizione a problemi di prestazioni o disponibilità.
Inoltre, standardizzare e codificare l’infrastruttura e i processi di control-engineering può semplificare la gestione degli ambienti ibridi e multicloud e aumentare la resilienza del sistema. Questo approccio (infrastructure and security as code) permette processi come il patching orchestrato, così come un rapido provisioning e deprovisioning.