Il 53% dei provider di infrastrutture critiche è stato attaccato
mediamente 10 volte negli ultimi cinque anni con un costo medio di
850mila, per l’operatore dollari ad attacco. È l’allarme
fotografia scattata dalla ricerca 2010 Critical Information
Infrastructure Protection (Cip) Survey che, nel dettaglio, rileva
anche che il 48% degli intervistati (1580 risposte di provider di
infrastrutture critiche di 15 Paesi e 6 settori economici) si
aspetta un attacco nel prossimo anno e l'80% ritiene che la
frequenza degli attacchi stia crescendo. E sempre stano alle
aziende censite questi cyber-attacchi sarebbero di natura
terroristica oppure sponsorizzati da stati stranieri.
In questo contesto gli operatori si dicono disposti a collaborare
con i governi per la protezione delle infrastrutture critiche.
“Quasi tutte le aziende interpellate (90%) sono coinvolte nel
programma di protezione delle infrastrutture critiche dei
rispettivi governi e il 56% è significativamente o completamente
coinvolto – precisa lo studio -. Due terzi di esse, inoltre, sono
favorevoli a questi programmi e alquanto o completamente disposti a
cooperare con i loro governi”.
Ma “buona volontà” a collaborare non basta, serve la
preparazione. Solo un terzo dei provider di infrastrutture
critiche, però, si sente pienamente preparato contro ogni tipo di
attacco e il 31% si giudica meno che preparato. Secondo gli
intervistati, le aree che richiedono miglioramenti sono la
formazione specifica, la consapevolezza e la comprensione delle
minacce da parte del management, la sicurezza degli endpoint e i
processi di auditing. Infine, le piccole aziende sono quelle che
ritengono di essere meno preparate.
"La protezione delle infrastrutture critiche non è solo un
problema del governo – spiega Justin Somaini, Chief Information
Security Officer di Symantec -.In Paesi nei quali la maggior parte
dell'infrastruttura critica nazionale è nelle mani di aziende
private, molte di queste sono piccole realtà con meno di 100
dipendenti. Da sola, la sicurezza non è sufficiente perché i
provider di infrastrutture critiche di ogni dimensione possano
rispondere ai moderni cyber attacchi. Il worm Stuxnet, che ha
colpito le aziende energetiche di tutto il mondo, rappresenta un
tipo di minaccia avanzata che richiede l'implementazione di
soluzioni per la sicurezza, lo storage e il backup, nonché
processi di autenticazione e di controllo degli accessi per
un’efficace resilienza dei dati.”
Quali azioni possono si possono dunque mettere in campo a tutela
delle infrastrutture critiche? Per prima cosa sviluppare ed
applicare policy IT e automatizzare i processi di conformità.
Dando priorità ai rischi e definendo policy valide per ogni
installazione, le aziende possono far rispettare le policy definite
integrando automazione e workflow e possono non solo identificare
le minacce ma rispondere tempestivamente agli incidenti o
prevederli.
“Proteggere proattivamente le informazioni mediante un approccio
information-centric – continuano gli esperti di Symantec -.
Adottare un approccio content-aware alla protezione delle
informazioni è essenziale per sapere chi detiene le informazioni,
dove risiedono i dati sensibili, chi può accedervi e come
proteggerli in ingresso o in uscita. Usare la crittografia per
proteggere le informazioni riservate e proibire l'accesso alle
persone non autorizzate.
E poi, nell’ordine: autenticare le identità per mezzo di
soluzioni che permettano alle aziende di garantire l'accesso ai
sistemi solamente al personale autorizzato; gestire i sistemi
implementando ambienti operativi sicuri, automatizzando i processi
di distribuzione delle patch, monitorando lo stato dei sistemi e
producendo i relativi report; proteggere l'infrastruttura
tutelando gli endpoint, gli ambienti Web e la messaggistica.;
sviluppare una strategia di gestione delle informazioni comprensiva
di un piano e di policy per la conservazione dei dati.
Da parte loro i governi dovrebbero continuare a dedicare risorse
sufficienti per stabilire programmi dedicati alle infrastrutture
critiche, collaborando con associazioni di settore e gruppi di
aziende private per distribuire informazioni atte a sensibilizzare
le aziende.
