NE PARLIAMO CON UN ESPERTO: VITTORIO BOERO, CHIEF INFORMATION OFFICER (CIO) DEL GRUPPO PIAGGIO. QUANTO SONO IMPORTANTI CONSAPEVOLEZZA, FORMAZIONE E COLLABORAZIONE NELLE ORGANIZZAZIONI.
Aprile 2023 (G.T.) – I dati riportano tutti il segno +, e non è una buona notizia. Gli attacchi informatici sono in costante crescita, di anno in anno, ovunque nel mondo e non risparmiano nessuno. Nel 2022 la crescita degli attacchi, rispetto al 2021, conferma il trend; in base alla tipologia delle aziende colpite le stime dicono che gli attacchi sono aumentati del 77,8% nel settore delle Telecomunicazioni, del 76,7% nei settori Finanziari/Assicurativi/banche, + 51,2% nelle organizzazioni pubbliche, + 50% nelle aziende d’informazione e multimedia, +34% nei settori industriali e manifatturieri; negli ambiti ICT, energy e utilities e healthcare si registra un aumento degli attacchi tra l’11 e il 2%.
Solo in tema di Privacy & GDPR (General Data Protection Regulation, il regolamento europeo entrato in vigore nel maggio 2018, relativo alla protezione dei dati personali), nel 2022 il Garante ha sanzionato per un totale di 832 milioni di euro in tutta Europa. Un altro dato quale esempio che “fotografa” la grandezza del fenomeno: come molti Paesi del mondo, l'India sta soffrendo sempre più a causa della criminalità informatica. Il numero di attacchi informatici denunciati nel 2018 è stato di 208.456 e, solo nei primi 2 mesi del 2022, sono stati segnalati 212.485 crimini informatici, più dell'intero 2018; e nei primi sei mesi del 2022 gli attacchi informatici in India sono ulteriormente aumentati del 15.3%.
Vittorio Boero, CIO (Chief Information Officer) del Gruppo Piaggio.
Un panorama allarmante, che così commenta Vittorio Boero, CIO del Gruppo Piaggio: “Non solo gli attacchi informatici sono aumentati rispetto al 2021, ma sono anche più gravi e invasivi, con ripercussioni importanti sull’economia, considerando che i danni stimati worldwide ammontano per il 2021 a 6 trilioni di dollari. E si prevede che questo numero cresca del 15% su base annua, raggiungendo i 10,5 trilioni di dollari entro il 2025”.
Dottor Boero, come le aziende stanno affrontando il problema degli attacchi informatici?
“Per evitare danni le aziende stanno aumentando i loro budget per la sicurezza informatica. Gartner (una delle maggiori società di ricerca mondiali nel campo delle tecnologie) rileva che la spesa globale per la sicurezza informatica è aumentata da 150 miliardi di dollari nel 2021 a 172,5 miliardi di dollari nel 2022 (+13%), prevedendo di arrivare a 267,3 miliardi di dollari nel 2026 (+12% anno su anno)”.
I “NEMICI”: RANSOMWARE E PHISHING.
Quali sono le tipologie di attacchi più frequenti?
“Le dividerei in due macroaree. Ransomware, ossia programmi informatici dannosi che possono ‘infettare’ dispositivi digitali bloccando l’accesso ai suoi contenuti, con l’obiettivo di chiedere un ‘riscatto’ per liberarli; e Phishing, le dilaganti truffe informatiche che, tramite e-mail con loghi/sender contraffatti, hanno l’obiettivo di carpire dati riservati (sia a cittadini, sia ad aziende e organizzazioni)”.
Quali sono i trend in questi ambiti della criminalità informatica?
“La fotografia è a luci ed ombre; in sintesi, l’Europa nel 2023 potrebbe sorpassare gli USA come area con più attacchi di tipo ransomware. Si rilevano: una crescita degli attacchi a scopo esfiltrazione dati ed estorsione per brand reputation o privacy; decrescita delle estorsioni a scopo ripristino dati crittografati; decrescita delle organizzazioni che hanno pagato il riscatto rispetto alle attaccate da ransomware. E ancora: crescita della richiesta di assicurazioni contro gli attacchi cyber e ransomware ma, va detto, le compagnie assicureranno soltanto aziende con grado di protezione adeguato e a seguito di premi in netto rialzo; alcune compagnie assicurative potrebbero non stipulare più policy cyber. E, infine, crescita della vendita sul dark web di credenziali già esfiltrate e di informazioni relative ad aziende semi-compromesse, che si traduce in attacchi più facili e accessibili anche da hacker con skill bassi e di età minore”.
Quindi, annota Boero, diventa sempre più importante per l’intero Gruppo Piaggio dotarsi di soluzioni costantemente all’avanguardia per mitigare i rischi sempre più presenti nel mondo cyber-attack.
Vittorio Boero, CIO del Gruppo Piaggio, con alcuni collaboratori del team Cyber Security & Risk Management, Riccardo Loggini e Laura Nardi, in ambito Information & Communication Technologies.
“Riguardo all’evoluzione prevedibile del Phishing – continua Vittorio Boero – possiamo sintetizzarla così: conferma del trend di spostamento degli obiettivi degli hacker dal controllo dell’endpoint (PC/server) a quello delle identità degli utenti: l’obiettivo non è controllare ma avere accesso alle informazioni. Crescita della vendita su dark web di Phishing-as-a-Service, cioè del noleggio di tutto l’occorrente (dai server per la raccolta delle informazioni ai sistemi di invio mail) per effettuare campagne di phishing. In crescita, inoltre, l’utilizzo di tecniche per superare, insieme al furto delle credenziali, anche le protezioni di tipo Multi Factor Authentication. Ed è in crescita anche l’utilizzo del Vishing (voice phishing) per fare phishing tramite messaggio vocale o telefonata, e spacciandosi per dipendente di una banca, un funzionario dell’Agenzia delle Entrate o un agente assicurativo e chiedendo la installazione di app (malevole) o la fornitura di dati e credenziali. Altre varianti di attacchi in crescita: il Qrishing (phishing tramite QRCode) soprattutto a tema bancario, e lo Smishing (phishing tramite SMS) a tema bancario e logistico (spedizione pacchi); e, infine, in crescita il phishing mirato su gruppi specifici di individui (Spear Phishing) o su un singolo individuo in posizione apicale (Whaling)”.
Quindi, si comprende facilmente come il panorama delle “tecniche di attacco” stiano diventando sempre più variegate e sofisticate.
Fonte immagine e pubblicazioni utili: CSIRT-Computer Security Incident Response Team, in ambito Agenzia per la cybersicurezza nazionale (ACN-Governo Italiano): www.csirt.gov.it/pubblicazioni
LE AZIONI DI CONTRASTO: VULNERABILITY MANAGEMENT.
Come le aziende affrontano i rischi di attacchi informatici e come si difendono?
“Partendo dal Vulnerability Management, ossia dal processo di ‘gestione della vulnerabilità’: si tratta di un processo ciclico (che, quindi, va ripetuto periodicamente nel tempo), sintetizzabile in cinque tappe: Identificazione degli asset da verificare; Scansione con tool specifici per rilevare la presenza di vulnerabilità; Analisi del report per classificazione delle vulnerabilità in base alla loro criticità; Azioni di remediation (‘bonifica’), attraverso patching, riconfigurazione, aggiornamenti applicativi, etc.); Verifica tramite ulteriore scansione della effettiva chiusura della vulnerabilità. Ma, attenzione, è impossibile azzerare il rischio (gli hacker sono sempre attivi nell’individuare continuamente nuove vulnerabilità software!) ma è possibile mitigarlo, aumentando la frequenza e l’efficacia del processo di Vulnerability Management. E, ovviamente, potenziando il parallelo processo ciclico di Incident Management, con interventi rapidi ed efficaci in caso di intrusioni, monitoraggio continuo, azioni di contenimento e di ripristino di eventuali applicazioni o di servizi danneggiati”.
Quanto sono importanti la consapevolezza e la collaborazione dei dipendenti delle aziende per contrastare attacchi e incidenti informatici?
“Sono molto importanti: le aziende devono affrontare continuamente attacchi sia provenienti dall’esterno (effettuati da hacker fuori il perimetro aziendale), sia dall’interno (per esempio in casi di malware su pc, furto di credenziali tramite phishing, azioni errate degli utenti quali l’accesso a siti compromessi, e così via). E, quindi, far crescere la consapevolezza nei collaboratori dei rischi che si corrono, aumentare la loro conoscenza su tali tematiche, tramite informazione e formazione continua, e in generale promuovere coinvolgimento e collaborazione di tutti, a tutti i livelli aziendali, è impegno quotidiano”.
Quali sono, in termini manageriali, le azioni più innovative in tema di prevenzione e protezione?
“Sono molteplici: si va dall’incrementare le capacità di monitoring per anticipare il più possibile la rilevazione di intrusioni e comportamenti illeciti all’adozione di tecnologie di protezione ‘perimetrale e applicativa’, dal miglioramento delle protezioni preventive per ridurre la propagazione di attacchi all’interno dell’azienda all’incremento della Security Awareness (la consapevolezza della sicurezza) degli utenti interni tramite azioni di training mirato sulla cybersecurity. Sono questi, direi, i progetti più innovativi adottati dalle aziende più avanzate, come il Gruppo Piaggio”.
E concludiamo l’intervista con Vittorio Boero con una riflessione finale sul concetto del NIST Cybersecurity framework, rappresentato nell’immagine qui sotto, che consente di valutare il posizionamento delle aziende riguardo la Cybersecurity.
CYBERSECURITY FRAMEWORK BY NIST
(The National Institute of Standards and Technology,
US Department of Commerce, United States Government).
Per fronteggiare tutti gli elementi sopra descritti, il Gruppo Piaggio si è dotato di un riferimento (framework) internazionale, che dettaglia le aree da tracciare e le regole suggerite e da seguire al fine di approntare una valida “rete di protezione”.
Si tratta di una base su cui edificare i vari livelli di sicurezza dell’azienda, monitorandone permanentemente l’efficacia, e valutare le soluzioni aggiuntive da applicare.
Fonte immagine e info Cyberwatching.eu: cyberwatching.eu/nist-cybersecurity-framework
Cyberwatching.eu is the European observatory of research and innovation in the field of cybersecurity and privacy.
Info NIST: www.nist.gov
Identify/Identificare: conoscere il perimetro da proteggere, ossia il business aziendale, le applicazioni, le infrastrutture, il software, i dati, regolamentazioni, eccetera.
Protect/Proteggere: dotarsi di tecnologie, processi, persone e misure necessarie per proteggersi dagli attacchi e limitare i danni.
Detect/Rilevare: monitorare costantemente il perimetro per rilevare la presenza di attività malevole, accessi non autorizzati, azioni illecite, comportamenti rischiosi.
Respond/Rispondere: predefinire e implementare la strategia più efficace e rapida per rispondere ad un incidente di sicurezza o ad un attacco, procedendo al blocco e alla mitigazione del danno.
Recover/Recuperare: definire e implementare la strategia più efficace per il rapido ed efficace ripristino dei dati, delle applicazioni, dei servizi; in generale, ripristinare quanto compromesso durante gli incidenti/attacchi informatici, in linea con le regolamentazioni vigenti e i requisiti specifici del business.
E qui, infine, aggiungeremmo la “regula aurea” che non compare nei report post azioni ma che deve essere sempre presente: lesson learned! Lezione imparata, a dire che anche i momenti critici contribuisco al miglioramento continuo. E questo viatico è valido sempre e in ogni ambito, non solo per la Cybersecurity.
Per saperne di più, Agenzia per la cybersicurezza nazionale:
www.acn.gov.it
CSIRT-Computer security incident response team-Italia:
www.csirt.gov.it