“Il mercato delle telecomunicazioni e quello della pubblica amministrazione sono tra i più colpiti dagli attacchi informatici. Proprio in virtù di questo trend hanno bisogno di una maggiore resilienza, per contrastare l’attività di chi attacca e fare in modo di minimizzare i danni. Per arrivare a questa resilienza non basta investire in tecnologie, che pure sono estremamente importanti, ma si deve dedicare un’attenzione particolare anche ai processi e alle persone. Queste tre direttrici devono procedere in maniera parallela, soprattutto in una fase storica in cui le minacce sono sempre più sofisticate e insidiose, ed è sempre più difficile definire un perimetro di sicurezza”. Lo dice in un’intervista a CorCom Paolo Cecchi Regional Sales Director per l’Italia di SentinelOne, multinazionale specializzata nella sicurezza informatica.
Cecchi, perché telco e PA sono così esposte alle minacce informatiche?
Le cause di questa situazione sono molteplici, e alcune sono comuni ai due comparti. Iniziamo dalle telco: per dare un’idea della situazione potremmo citare il fatto che nei giorni scorsi l’operatore mobile statunitense T-Mobile è stato colpito dall’ennesimo breach, iniziato a fine novembre e scoperto soltanto a inizio gennaio, che ha compromessoi dati di 37 milioni di utenti. L’offensiva è partita su un’API che ha dato accesso ai dati. La cosa particolare da evidenziare, però, è che lo stesso operatore aveva già subito un attacco nel 2021, che aveva colpito 76 milioni di utenti e aveva comportato una spesa di oltre 500 milioni di dollari per fare fronte agli aspetti giudiziari e per migliorare la sicurezza. Questo dimostra da una parte che gli attaccanti sono molto interessati a questo tipo di mercato e a ripetere gli attacchi, e dall’altra che gli investimenti di sicurezza devono essere migliorati, perché parliamo di una potenziale superficie di attacco estremamente ampia e di target che possono essere considerati a tutti gli effetti infrastrutture critiche, in quanto asset di comunicazione nazionali.
E per la pubblica amministrazione?
Anche in questo caso parliamo di un target estremamente interessante per gli attaccanti, perché offre una superficie ampia e varia a chi ha voglia di lanciare un’offensiva. La tendenza è apparsa con ancora maggiore chiarezza a partire dallo scorso anno, quando con l’esplosione del conflitto in Ucraina e con le tensioni sul piano geopolitico sono scattati anche una serie di attacchi informatici che avevano l’obiettivo di mettere in cattiva luce gli stati “nemici”. In generale le PA non sono molto propense a pagare i riscatti per i ransomware, e quindi l’interesse degli attaccanti si sposta spesso dal campo del guadagno finanziario a quello delle dinamiche di tipo “state sponsored”, che puntano ad esempio all’interruzione di servizi essenziali o all’accesso a informazioni sensibili per screditare i governi interessati o indirizzare il consenso.
Focalizziamoci sull’ambito telco: come sta cambiando lo scenario?
Per quello che riusciamo a vedere a livello nazionale e internazionale ciò che rende le telco più difficili da difendere è il fatto che hanno infrastrutture molto complesse, una superficie di attacco estremamente ampia e servizi molto diversificati, con infrastrutture di back-end complesse. Ad aumentare questa complessita’ si è aggiunta anche la migrazione al cloud: la maggior parte delle telco oggi utilizza infrastrutture ibride, on-premise e in cloud. In questo caso l’ulteriore problema è che quando si migrano dati e applicazioni in cloud si rischia sempre di perdere un po’ di visibilità sugli stessi. In questo scenario è fondamentale avere visibilità non solo sugli endpoint tradizionali, PC e server on-premise, ma anche sui cloud workload e i dispositivi mobili grazie ai quali è possibile accedere a tali dati e applicazioni ovunque ci si trovi. Questo determina un aumento della complessità e quindi la necessità di integrare in un’unica dashboard tutte le tecnologie che vengono utilizzate in tema di sicurezza nel mondo telco, che da questo punto di vista è più complesso, ad esempio, di quelli del manufacturing o della PA.
Su quali tecnologie dovrà concentrarsi la spesa degli operatori per farsi trovare pronti all’evoluzione dello scenario?
Le tecnologie che a nostro avviso si diffonderanno di più nel corso del 2023 saranno quelle XDR, Extended Detection & Response, e quelle per l’Identity Protection. La prima è in grado di estendere le capacità di rilevamento e risposta agli attacchi sugli endpoint, sui dispositivi mobili e sui sistemi OT e di automazione dei processi coniugando la telemetria raccolta su questi sistemi con informazioni e dati provenienti da altre soluzioni di sicurezza in modo da disporre di un “single pane of glass” per analizzare le informazioni e le loro correlazioni. Anche se il lavoro manuale resta prezioso, la necessità’ di analizzare moli di dati sempre più grandi e la carenza di skill in ambito cyber farà sì che le tecnologie di analisi automatizzata prenderanno sempre più piede nel corso del 2023. Quanto poi alla protezione delle identità, soprattutto in uno scenario in cui il perimetro aziendale è diluito, diventa fondamentale adottare soluzioni di Identity Threat Detection & Response (ITDR) applicate a livello di Active Directory, endpoint e network. Si tratta in questo caso di soluzioni automatizzate che non soltanto limitano il furto di credenziali, ma che sono in grado anche di “sviare” su binari morti gli attaccanti, senza consentire loro di accedere ai dati aziendali.
Passiamo alla pubblica amministrazione. Quali sono dal suo punto di vista i nodi più importanti in ambito cybersecurity?
I punti di partenza sono la cultura e gli investimenti. La cultura della sicurezza informatica nel pubblico è di molto inferiore rispetto al settore privato, dove le aziende hanno iniziato da tempo a fare awareness con training interni e simulazioni rivolte anche ai singoli dipendenti. È più difficile fare queste stesse attività anche in ambito PA, ma questo è dal mio punto di vista uno dei principali nodi da sciogliere, dal momento che il “fattore umano” resta l’elemento di rischio maggiore in ambito cybersecurity. La questione culturale non riguarda soltanto i dipendenti pubblici, ma anche i dirigenti, che spesso non vedono la cybersecurity come elemento fondante del proprio ecosistema di riferimento. Quanto agli investimenti, devono riguardare prodotti, processi e persone. Se si pensa di fare cybersecurity senza persone si parte già in svantaggio. E non si tratta di una cosa scontata, se pensiamo che c’è un dislivello enorme tra lo stipendio di una analista SOC nel pubblico e nel privato. Gli investimenti in tecnologie, organizzazione e profili devono crescere ed essere allineati a quello che si ritrova nel privato.
Che ruolo può avere in questo campo l’agenzia per la cybersicurezza nazionale?
L’agenzia per la cybersecurity è nata da poco e in questa prima fase sta facendo un ottimo lavoro soprattutto nel mettere a punto regole e direttive a cui la PA è chiamata ad adeguarsi. Ma a mio avviso le difficoltà più grandi in Italia si presentano quando dalle norme si deve passare all’execution. Se non c’è la cultura per capire cosa fare e se non ci sono le risorse economiche il rischio è che ci si limiti a una compliance “poco convinta” e poco efficace.
Ad aiutare la pubblica amministrazione anche nel campo della cybersecurity potrà tornare utile il Pnrr?
Certo, sarà importante, anche se il punto cruciale sarà andare a investire bene le risorse. Non basta infatti acquistare strumenti per fare penetration test o vulnerability assessment, se questo non è accompagnato dalla crescita della postura di sicurezza complessiva, fatta di processi, persone e prodotti. La chiave del successo sarà riuscire a integrare la creazione di processi, l’acquisizione di risorse con skill di alto livello e l’acquisto di tecnologie per aiutare le persone a essere più protette in tempi e con costi minori.
Per fare fronte a questi scenari come si sta muovendo SentinelOne in Italia in termini di investimenti e di attività di ricerca e sviluppo?
A livello mondiale cresciamo a ritmo sostenuto. Tra le società quotate in borsa siamo stati tra quelle con il più alto tasso di crescita a livello mondiale in termini di fatturato, clienti e copertura di mercato negli ultimi anni. Questa dinamica si riflette anche a livello italiano, dove stiamo ampliando il team per aggiungere risorse di vendita e riuscire a essere fisicamente più vicini ai clienti su tutto il territorio nazionale. Inoltre, mentre le attività di ricerca e sviluppo sui prodotti vengono condotte principalmente all’estero, in Italia possiamo contare su un team di specialisti che si occupano di Threat Intelligence, e che ci permettono di scoprire cose interessanti. Dal loro lavoro, ad esempio, è emerso che l’Italia è il primo Paese al mondo in termini di numero di attacchi informatici in cui è stata sfruttata una specifica vulnerabilità legata ai server di Confluence. Proprio questo genere di analisi ci consente, grazie alla presenza locale, di avere una vista privilegiata sul mercato italiano.
