Troppo spesso si pensa che la sicurezza informatica non ci riguardi, se non di striscio. È un tema tecnico, e deve riguardare solamente i tecnici? No, non è proprio così. Non lo è per gli utenti (proteggere la propria mail, così come gli accessi agli account social e all’home banking, è una necessità) né per le imprese, incluse le PMI e le microimprese, che hanno precisi obblighi di conformità normativa da rispettare. La conformità, tra l’altro, è solo uno degli aspetti da considerare: se si è vittima di un attacco e non si riesce a gestire correttamente la risposta, un’eventuale multa sarà l’ultimo dei problemi. Il primo? La reputazione danneggiata. Che può costare molto di più in termini di fiducia da parte dei clienti. E poi c’è l’eventuale blocco della produzione, che non è certo trascurabile. Ma cosa possono fare i piccoli imprenditori che non possono investire budget enormi per un team di cybersecurity dedicato? Se ne è parlato nell’ultimo episodio del podcast Innovate Faster di Google Cloud Italia insieme a Teo Santaguida, Security Senior Manager di Bip Cybersec, centro di eccellenza per la sicurezza informatica che ha stretto una partnership strategica con Google Cloud.
Lo scenario di riferimento
Partiamo da un presupposto: oggi, è impensabile fare ragionamento del tipo “perché dovrebbero attaccare proprio me?”. Il livello di competenze necessarie per scagliare un attacco informatico si è abbassato notevolmente, anche perché nel mondo della criminalità informatica si applicano le stesse logiche di quello reale, e la servitizzazione è ormai una realtà. Ci sono team di criminali informatici che sviluppano gli strumenti per violare le difese e li offrono “in abbonamento” ad altri, che si occupano di selezionare le vittime, per poi passare la palla a ulteriori gruppi specializzati nella negoziazione del riscatto. E questi individui non necessariamente guardano alle dimensioni della vittima: facendo un paragone con la pesca, non vanno a selezionare tonni o salmoni, ma usano la tecnica dello strascico, prendendo quello che trovano.
Perché lo fanno? Nella maggior parte dei casi, per denaro. Prima trafugano i dati, poi li cifrano bloccando i sistemi informatici delle vittime. La fase successiva è quella della richiesta di riscatto per riprendere l’operatività, ma soprattutto per non pubblicare i dati trafugati, che possono contenere segreti industriali e dati sensibili dei clienti. Avere un buon piano di backup e di disaster recovery può consentire di minimizzare l’impatto sulla produttività, ma il danno reputazionale in caso di divulgazione delle informazioni non può essere evitato. Tanto che sono in tanti a cedere alla richiesta dei criminali. Quanto chiedono? A livello globale, il costo del riscatto medio è di mezzo milione di dollari circa, ma se la vittima è una multinazionale di alto profilo, si può salire di molto.
“Il report Clusit di quest’anno riporta dati molto interessanti relativamente la cyber security in Italia, fotografandoci come un paese nel mirino. Un dato su tutti: la crescita degli incidenti di sicurezza nel mondo è pari a circa il 20% anno su anno, mentre in Italia l’incremento registrato è pari al 168%”, spiega Santaguida nel podcast. “Un altro dato estremamente interessante è l’incidenza in Italia degli attacchi diretti al settore manufacturing rispetto al resto del mondo: il 20% in Italia contro il 5% circa a livello globale”. Detto più direttamente: il nostro Paese è sotto attacco! In particolare, la manifattura, PMI incluse, che del resto rappresentano la stragrande maggioranza del tessuto imprenditoriale italiano.
Cybersecurity: prevenire è importante, ma altrettanto il reagire
Le imprese più strutturate, quelle di fascia enterprise, possono investire cifre importanti per assumere un team di esperti di sicurezza informatica, ma nella maggior parte dei casi il costo è troppo elevato e in tanti esternalizzano i servizi di sicurezza delegandoli a dei SOC (Security Operation Center) esterni. Quello che evidenzia Santaguida, però, è che spesso questi SOC “adottano tecnologie e modalità di erogazione un po’ legacy [tradizionali NdR ] rispetto all’evoluzione degli ultimi anni e le possibilità offerte oggi dalle tecnologie moderne. Troppo spesso vediamo provider di servizi SOC troppo sbilanciati solo sulla detect e pochissimo sulla response”. In pratica, in tanti ancora seguono una logica vecchia: prevenire l’attacco. Che di per sé non è sbagliata, naturalmente. Ma alla prevenzione è sempre necessario affiancare un piano di disaster recovery nel caso un attaccante riesca a superare le difese. Un piano che deve prevedere misure tecniche per ripristinare i sistemi il più velocemente possibile, ma che dovrebbe coinvolgere anche altri aspetti, fra cui la comunicazione coi media e coi clienti, spesso trascurata. Un piano di risposta deve insomma coinvolgere tutte le funzioni aziendali.
La partnership fra Bip Cybersec e Google Cloud
Bip Cybersec ha stretto una collaborazione strategica con Google Cloud per le sue soluzioni di sicurezza. Perché, come spiega Santaguida, “abbiamo riscontrato nella sua Cloud Security Platform una visione in linea con i nostri obiettivi”. Un esempio pratico è Chronicle SIEM, una soluzione di Security information and event management che acquisisce tutti i dati relativi agli endpoint e ai dispositivi di rete e che consente di analizzare in maniera efficace cosa sta succedendo, individuando attività sospette e segnalando gli avvisi a cui dare priorità fra le migliaia di segnalazioni. Uno dei vantaggi di questa soluzione è da cercare anche nel modello di licenza, che al contrario di altre alternative sul mercato, è basato sul numero di utenti da proteggere e non sul numero di endpoint o sullo spazio di archiviazione occupato. E, soprattutto, Chronicle SIEM offre dei validi strumenti per rispondere agli attacchi, automatizzando la fase di response e mitigazione.
L’intervista in podcast
Le dichiarazioni che avete letto in questo articolo sono tratte da un’intervista a Teo Santaguida nel nuovo episodio del podcast Innovate Faster di Google Cloud Italia. Potete ascoltarlo sulle principali piattaforme di streaming: https://www.spreaker.com/user/16751532/cybersicurezza-con-bip
Ascolta “Ep. 6 Cybersicurezza con BIP” su Spreaker.