Il test è vicino. A giugno il Dipartimento delle Informazioni per la Sicurezza (Dis) metterà per la prima volta sotto esame le circa cento imprese essenziali per il sistema Paese che il governo ha incluso nel Perimetro di Sicurezza Nazionale Cibernetica (D.L. 105 del 2019). Quattro le aree d’esame: predisposizione e trasmissione dell’elenco beni Ict critici; revisione della gestione fornitori e terze parti; comunicazione degli incidenti, entro tempi predefiniti, al Computer Security Incident Response Team (Csirt); applicazione delle misure di cybersecurity.
Sistemi e processi che queste imprese dovranno obbligatoriamente adottare diventeranno quasi certamente un riferimento obbligato per tutte. A cominciare dalle imprese manifatturiere e di servizi, spesso carenti nella capacità di analisi e gestione del rischio cyber e indietro rispetto ad altri settori (banche, per esempio). Motivo del ritardo: sistemi di controllo tecnologicamente datati o sviluppati per ambienti poco o per nulla esposti ad attacchi che li rende incompatibili con molte delle misure di cyber security, impedendo azioni immediate di risposta. Un esempio: introdurre sistemi di analisi anti-malware può avere un impatto sui tempi di risposta di un’applicazione tradizionale, con effetti non accettabili sul sistema di controllo di linea. Gran parte delle imprese deve dunque affrontare problemi tecnologici (impossibilità di superare i vincoli del sistema in uso senza modifiche radicali) ed economici (costi di ammortamento per alcuni sistemi in uso non ancora completati).
I compiti delle imprese
Quali sono gli aspetti fondamentali per un programma di sicurezza efficace che risponda ai requisiti richiesti dagli standard? Quali le criticità più frequenti? Quali interventi, normalmente, sono necessari per incrementare la capacità di fronteggiare il rischio cyber?
Le risposte devono necessariamente partire dagli standard internazionali e dai framework utilizzati per la cyber security. Sono quattro le aree d’intervento: misure tecnologiche; monitoraggio delle anomalie e gestione degli incidenti; gestione di fornitori e terze parti; la gestione del fattore umano.
Le misure tecnologiche
I requisiti di performance richiesti da alcuni sistemi di controllo industriali uniti alla loro concezione obsoleta richiedono specifiche soluzioni di Cyber Security per superare le limitazioni dell’architettura originaria. Laddove non è possibile aggiornare il sistema o installare patch compatibili con gli applicativi utilizzati, si può ricorrere a sistemi di virtual patching o integrity monitoring che simulano” le patch o limitano i programmi eseguibili.
Esistono soluzioni specifiche anti cyber attack anche per i cosiddetti sistemi IoT (sistemi non informatici come elettrodomestici o autoveicoli connessi a internet per il controllo remoto), che possono essere usati come punto di ingresso nelle reti aziendali per condurre altri attacchi.
Queste soluzioni devono affiancarne altre più generali che non pongono particolari vincoli tecnologici, ma spesso sono trascurate. In molti casi, per esempio, si riscontra l’accesso agli applicativi di controllo con utenze condivise o addirittura senza identificazione dell’utente, con il rischio di accessi non autorizzati o l’impossibilità di ricostruire a posteriori chi abbia commesso azioni non corrette. Identificare l’utente al momento dell’accesso non significa necessariamente rallentarne l’operatività, in quanto, per esempio, potrebbe essere fatto con sistemi di rilevazione di prossimità del badge, praticamente immediati.
Il monitoraggio delle anomalie e la gestione degli incidenti
Proprio perché nei sistemi di più vecchia concezione gli interventi preventivi sono più limitati, è fondamentale dotarsi di sistemi di monitoraggio efficaci. I moderni sistemi sono in grado di raccogliere informazioni e intercettare eventi in sorgenti interne ed esterne e correlarli, permettendo una pronta rilevazione delle situazioni sospette e l’intervento degli analisti per reagire.
La gestione di fornitori e terze parti
Le recenti esperienze hanno dimostrato che uno dei canali preferiti dagli hacker sono le società che eseguono le attività di monitoraggio e manutenzione informatica, perché magari applicano standard di sicurezza inferiori. Spesso le aziende affrontano questo tema in maniera puramente formale, prevedendo per fornitori e partner accordi in cui le misure di sicurezza da adottare sono descritte solo in maniera superficiale, oppure non sono commisurate alla tipologia di dati e sistemi ai quali accedono.
L’approccio più corretto dovrebbe prevedere delle misure standard da applicare nelle situazioni più semplici e la definizione di misure ad hoc da valutare con il partner in base ai rischi effettivi nelle situazioni più complesse E’, in ogni caso, necessario eseguire degli audit periodici per verificare l’applicazione di tali misure e la loro efficacia.
La gestione del fattore umano
Anche le tecnologie più sofisticate ed efficaci non possono fare a meno di procedure che coinvolgono il personale. Troppo spesso non si ha consapevolezza che comportamenti sbagliati possono facilitare gli hacker. E quindi occorre informare e formare il personale, soprattutto quello che può avere minore familiarità con l’informatica, sui rischi esistenti e i comportamenti da adottare. Le aziende più evolute dedicano a questo tema campagne di comunicazione con contenuti e iniziative diverse (e-mail, video, formazione, gamification individuali o di gruppo). Le campagne sono integrate con simulazioni di attacco per valutare la capacità del personale di reagire in maniera corretta. L’obiettivo è fare in modo che la cyber security diventi un elemento fondamentale della cultura aziendale.
