CYBER SECURITY - IN GIUGNO PRIMO TEST PER LE IMPRESE STRATEGICHE

PERCHÉ IL TEST DI GIUGNO È IMPORTANTE PER TUTTI

Le organizzazioni chiamate al test sono quelle nelle quali una violazione della sicurezza può avere conseguenze drammatiche perché interromperebbe servizi essenziali per la comunità (per esempio, l’erogazione di energia elettrica o i servizi sanitari).

I sistemi e i processi adottati dalle organizzazioni strategiche diventeranno un punto di riferimento per tutte le imprese, in particolare per le imprese manifatturiere e di servizi che, pur avendo negli anni recenti introdotto sistemi e misure per gestire il rischio Cyber, sono spesso indietro rispetto ai livelli raggiunti, per esempio, dalle banche.

Sono ancora molte le imprese carenti nella capacità di analisi e gestione del rischio Cyber, a causa dell’obsolescenza tecnologica degli impianti oppure di condizioni operative consolidate. Spesso, in queste imprese, i sistemi di controllo sono di vecchia concezione, tecnologicamente datati o sviluppati per ambienti poco o per nulla esposti ad attacchi.

La natura di questi sistemi li rende spesso incompatibili con molte delle misure standard di Cyber Security, impedendo azioni immediate di risposta. Introdurre sistemi di analisi anti-malware, per esempio, può avere un impatto sui tempi di risposta di un’applicazione tradizionale, con effetti non accettabili sul sistema di controllo di linea.

Le imprese, dunque, si trovano ad affrontare problemi tecnologici (impossibilità di superare i vincoli del sistema in uso senza modifiche radicali) ed economici (costi di ammortamento per alcuni sistemi in uso non ancora completati).

Il responso di giugno darà a tutti un’indicazione su che cosa bisogna fare per mettersi in sicurezza.

Protiviti ha assistito e assiste alcune delle società che stanno preparandosi al primo test e può rispondere alle domande chiave: quali sono gli aspetti fondamentali per un programma di sicurezza efficace che risponda ai requisiti richiesti dagli standard? Quali le criticità più frequenti? Quali interventi, normalmente, sono necessari per incrementare la capacità di fronteggiare il rischio Cyber?

CHE COSA DEVONO FARE LE IMPRESE

Le risposte devono necessariamente partire dagli standard internazionali e i framework utilizzati per la Cyber Security che si sono aggiunti a standard storici come l’ISO 27001. Tra questi vanno considerati il Framework for Improving Critical Infrastructure Cybersecurity, pubblicato negli Stati Uniti dal National Institute of Standards and Technology (NIST), e il Framework Nazionale per la Cybersecurity e la Data Protection adottato in Italia e ispirato al NIST.

A questi si aggiungono poi framework settoriali come il Critical Infrastructure Protection (CIP) per il settore dell’energia elettrica del North American Electric Reliability Corporation (NERC) o il MITRE ATT&CK for ICS che descrive scenari di attacco ai sistemi industriali.

I framework sono un utile riferimento per delineare le aree d’intervento. Qui di seguito riportiamo quali sono le aree chiave e che cosa devono fare le imprese.

1. Le misure tecnologiche

I requisiti di performance richiesti da alcuni sistemi di controllo industriali uniti alla loro concezione obsoleta richiedono specifiche soluzioni di Cyber Security che servono a superare le limitazioni dell’architettura originaria. In tutte le situazioni in cui non è possibile aggiornare il sistema o installare patch compatibili con gli applicativi utilizzati, si può ricorrere a sistemi di virtual patching, che simulano l’applicazione degli aggiornamenti di sicurezza attraverso soluzioni filtro esterne, o di integrity monitoring. In questo modo, anziché installare sistemi di rilevazione di malware o virus che potrebbero ridurre le prestazioni del sistema, viene consentita l’esecuzione dei soli programmi autorizzati.

Esistono soluzioni specifiche anti Cyber Attack anche per i cosiddetti sistemi IoT (sistemi non informatici come elettrodomestici o autoveicoli connessi a internet per il controllo remoto), che possono essere usati per introdursi nelle reti aziendali o domestiche sia per attaccare altri sistemi sia per commettere frodi.

Queste soluzioni consentono di verificare se il codice applicativo utilizzato ha errori di funzionamento che impattano sulla sicurezza, oppure se gli aggiornamenti del software sono autentici e quindi tutte le funzionalità introdotte sono previste.

Le soluzioni indicate devono affiancarne altre più generali che non pongono particolari vincoli tecnologici, ma spesso sono trascurate. In molti casi, per esempio, si riscontra l’accesso agli applicativi di controllo con utenze condivise o addirittura senza identificazione dell’utente, con il conseguente rischio di accessi non autorizzati o l’impossibilità di ricostruire a posteriori chi abbia commesso volutamente o per errore un’azione non corretta. Richiedere l’identificazione dell’utente al momento dell’accesso non significa necessariamente rallentarne l’operatività in quanto, per esempio, potrebbe essere integrata con sistemi di rilevazione di prossimità del badge praticamente immediati.

2. Il monitoraggio delle anomalie e la gestione degli incidenti

Proprio perché nei sistemi di più vecchia concezione gli interventi preventivi sono più limitati, è fondamentale per l’azienda dotarsi di sistemi di monitoraggio efficaci. I moderni sistemi sono in grado di raccogliere informazioni e intercettare eventi in sorgenti interne ed esterne e correlarli in maniera intelligente. Questo permette una pronta rilevazione delle situazioni sospette e l’intervento degli analisti per approfondimenti o per una reazione.

I sistemi più evoluti sono alimentati costantemente con knowledge base esterne che aggiornano in tempo reale su nuove vulnerabilità e attacchi attraverso i cosiddetti indicatori di compromissione, dai quali emerge se e dove il sistema è stato effettivamente attaccato.

3. La gestione di fornitori e terze parti

Alcuni degli incidenti avvenuti recentemente hanno dimostrato che uno dei canali preferiti dagli hacker sono le società incaricate di eseguire per l’azienda le attività di monitoraggio e manutenzione, perché magari applicano standard di sicurezza inferiori.

Spesso le aziende affrontano questo tema in maniera puramente formale, richiedendo ai propri fornitori e partner di sottoscrivere accordi in cui le misure di sicurezza che devono adottare sono descritte solo in maniera superficiale, oppure non sono commisurate alla tipologia di dati e sistemi ai quali accedono, con il risultato di essere eccessivamente stringenti in alcuni casi e troppo lasche in altri.

L’approccio più corretto è duplice:

• definire un insieme di misure standard da applicare nelle situazioni più semplici e meno rischiose;
• aprire un confronto con i partner per le situazioni più complesse, concordando le misure da adottare sulla base di un’analisi del rischio.

È, in ogni caso, necessario eseguire degli audit periodici per verificare l’applicazione di tali misure e la loro efficacia.

4. Il fattore umano e i comportamenti

Anche le tecnologie più sofisticate ed efficaci non possono fare a meno di procedure applicative che coinvolgono il personale. Troppo spesso nelle aziende non si ha consapevolezza che comportamenti sbagliati possono facilitare gli hacker. Occorre per questo informare e formare il personale, soprattutto quello che può avere minore familiarità con le tecnologie informatiche, sui rischi esistenti e i comportamenti da adottare.

Le aziende più evolute in questo senso hanno dedicato a questo tema delle campagne di comunicazione con contenuti e iniziative diverse (e-mail, video, formazione, gamification individuali o di gruppo). Le campagne sono integrate con simulazioni di attacco phishing o social engineering per valutare la capacità del personale di rilevare queste situazioni e reagire in maniera corretta.

L’obiettivo è fare in modo che la Cyber Security diventi un elemento fondamentale della cultura aziendale.

IL VALORE DELLA CONSULENZA DI PROTIVITI

Protiviti, leader nei servizi di Cyber Risk Management e Cyber Security Advisory grazie alle esperienze maturate in imprese italiane e internazionali di diversi settori industriali, ha sviluppato approcci e metodologie specifiche per i diversi contesti operativi delle aziende clienti.

L’elemento distintivo è considerare come elemento di partenza il contesto di business ed i rischi rilevanti da un punto di vista Cyber, per poi concentrarsi sulla loro mitigazione. Questo consente di concentrare risorse e investimenti negli ambiti più critici, ottenendo risultati concreti e rilevanti in tempi brevi e massimizzando il ritorno degli investimenti.

L’esperienza maturata in situazioni critiche, come le imprese inserite nel Perimetro di Sicurezza Nazionale Cibernetica, consente di applicare le soluzioni più efficaci, coniugandole per le specifiche esigenze.