Il conflitto russo-ucraino sta avendo importanti ripercussioni sui temi della sicurezza informatica, come emerso dai numerosi episodi che hanno riempito le cronache nell’ultimo mese, tra hackeraggi, ransomware, attacchi DDoS e campagne di phishing collegate al tema della guerra.
Se ne è parlato anche durante la decima edizione del Cybersecurity Summit organizzato da The Innovation Group. Il livello di allerta è elevato, a causa del protrarsi di una situazione in cui gli attacchi informatici continuano a crescere e del rischio di spillover, cioè di contaminazione generale, a partire dalle azioni delle armate cyber di Russia e Ucraina. Secondo Ivano Gabrielli, direttore del servizio di Polizia Postale e delle Comunicazioni, il momento è molto critico e si ha evidenza di attacchi intensi, iniziati in realtà anche prima del conflitto. “Al di là di quello che si legge su schieramenti di sigle già note, c’è una situazione non dichiarata che produce danni consistenti e che sta richiedendo una risposta molto attenta da parte di chi si occupa di sicurezza”, ha detto Gabrielli. “Non è un caso che vi siano quotidianamente bollettini di awareness pubblicati dalle principali agenzie di intelligence. Servirà poi fare un’analisi approfondita per comprendere meglio uno scenario che in passato era stato solo teorizzato e che ora vediamo alla prova dei fatti. Uno scenario connotato dal fatto di avere poca ribalta pubblica e di puntare più alla sostanza che non ai proclami”. “Viviamo in tempi di guerra, e il dominio cibernetico è di estrema attualità”, ha dichiarato Giorgio Mulè, sottosegretario con delega alla sicurezza del Ministero della Difesa. “C’è una guerra parallela, che si sta combattendo non ai confini ma all’interno dei Paesi, con attacchi che viaggiano in tutte le direzioni, con gruppi che stanno dalla parte dei russi, degli ucraini o che si definiscono neutrali. Sono attacchi gravi quanto quelli fisici, che si nutrono di fake news e che hanno effetti dannosi confrontabili con quelli degli strumenti normali”.
Il percorso della Pubblica Amministrazione
L’esigenza di una maggiore sicurezza dei dati e servizi della Pubblica Amministrazione italiana precede, però, gli eventi della cyberguerra in corso. Il Piano Nazionale di Ripresa e Resilienza prevede la creazione di un’infrastruttura innovativa per abilitare e accelerare il processo di migrazione verso il cloud dei servizi e dei dati delle Pubblica Amministrazione centrale e locale, il cosiddetto Polo Strategico Nazionale. Uno tra i risultati da raggiungere è proprio quello elevare gli standard di sicurezza per il trattamento di dati e servizi critici e strategici per il Paese. “La trasformazione digitale nella Pubblica Amministrazione è tra i principali obiettivi del Pnrr”, ha spiegato Mulè . “La prima missione del piano punta ad accompagnare le amministrazioni in questo passaggio verso soluzioni cloud, come definito nella strategia Cloud Italia. Oggi abbiamo davanti a noi tre grandi sfide. La prima è quella di assicurare l’autonomia tecnologica, un sovranismo resiliente e tecnologico che deve fare da perimetro a ciò che costituisce lo Stato, cioè territorio, popolo e sovranità. Il secondo aspetto è la garanzia sul controllo dei dati, il terzo è l’aumento della resilienza dei servizi digitali. In coerenza con questi obiettivi, il Pnrr mette a disposizione 623 milioni di euro per la cybersecurity nelle Pubblica Amministrazione, e si rivolge a quel 75% delle PA che deve migrare appunto ad ambienti cloud, entro cui i dati di ciascuno possano essere custoditi in sicurezza”. Il sottosegretario ha anche sottolineato l’importanza di sviluppare una competenza sulla cybersicurezza, aspetto su cui l’Italia è ritardo, e le risorse del Pnrr andranno utilizzate anche in questo senso. “I fondi del Pnrr rischiano di essere una goccia nel mare di quello che serve nella Pubblica Amministrazione”, ha sottolineato Giovanni Ciminari, head of cyber defence di Sogei, “ma in realtà potrebbero aiutare ad avviare programmi di grande valore: sono usciti i primi bandi per utilizzare questi fondi e come Sogei vediamo un forte interesse nelle Pa”.
Le priorità del 2022
Quali saranno nei prossimi mesi le priorità dei responsabili della sicurezza aziendali? Dalle discussioni del Cybersecurity Summit 2022 è emersa l’importanza di “fare sistema” per elevare una resilienza che oggi non può più essere circoscritta alla singola organizzazione. “La cybersecurity non può essere un esercizio fine a sé stesso, della singola organizzazione”, ha detto Simone Pezzoli, group Ciso di Autostrade per l’Italia. “Non esiste un soggetto unico che possa risolvere tutti i problemi. C’è invece un ecosistema di interazioni e di partnership, con vendor e con le società terze, con gli altri Ciso italiani, con organismi pubblici, che aiuta a impostare meccanismi virtuosi di scambio di informazioni sempre più tempestive, fondamentale per una corretta postura di sicurezza soprattutto in momenti caratterizzati da una situazione geopolitica molto critica”.
Un fattore differenziante per le aziende è il fatto di poter disporre delle informazioni corrette in modo molto veloce. Lo ha ribadito Corradino Corradi, head of Ict security & fraud management di Vodafone: “Oggi servono iniziative di sistema per elevare la resilienza comune: con la Polizia Postale noi collaboriamo attivamente per contrastare e prevenire i crimini informatici che colpiscono reti e sistemi informativi”.
Il secondo imperativo è oggi (per i responsabili della cybersecurity ma anche per tutti noi) elevare la cultura della sicurezza in Italia. “Oggi è fondamentale colmare un divario digitale molto forte nel nostro Paese”, ha dichiarato Petra Chistè, responsabile sicurezza informatica & data protection di Volksbank. “Non ci stiamo preoccupando abbastanza di sottolineare, anche nell’educazione dei nostri figli, quali siano i rischi della sicurezza informatica. Noi come banca abbiamo lanciato l’iniziativa Capture the flag, una competizione aperta a ragazzi tra i 12 e i 20 anni, mirata a diffondere la conoscenza sul tema delle identità digitali”.
Resta valido, anzi è più che attuale, il dibattito sulla sicurezza del cloud. “Il paradigma oggi è cambiato, il multi-cloud è entrato nella vita di tutte le aziende”, ha detto Nicla Diomede, Ciso dell’Università degli Studi di Milano. “I servizi devono essere molto più dinamici e la sicurezza deve riuscire necessariamente a tenere il passo. La sfida principale è oggi quindi governare la complessità e la fluidità degli ambienti: varie soluzioni aiutano a individuare problemi legati a cattive configurazioni o problemi a livello di host o di rete, e a verificare la rispondenza a best practice e norme. Bisogna però anche riuscire anche, a fronte della complessità, a semplificare la vita di chi lavora nella security”. Serve quindi uno sforzo progettuale per mettere a fattore comune la gestione degli ambienti cloud e on-premise, da un’unica cabina di regia. La semplificazione si ottiene quindi con uno sforzo progettuale ex ante, nella ridefinizione delle architetture, nello standardizzare e automatizzare.
Architetture a “fiducia zero”
Un approccio che oggi comincia a raccogliere consensi in ambito cybersecurity è quello definito “zero trust”, in cui vengono applicati maggiori controlli e la fiducia non viene più concessa di default. “Il modello parte dal principio che vadano difesi i singoli asset, non essendo più possibile elevare un muro difensivo esterno”, ha spiegato Daniele Catteddu, chief technology officer di Cloud Security Alliance. “Inoltre, fa riferimento al fatto che non ci si può più fidare di nessun utente o componente”. È poi fondamentale utilizzare un modello di contestualizzazione e di analisi continua dei rischi, che va alimentato con un monitoraggio continuo, con informazioni provenienti da diverse fonti e con la valutazione del contesto. “Lo zero trust punta a ridurre la superficie di attacco tramite un modello di segmentazione molto spinta”, ha proseguito Catteddu, “per ridurre problematiche come l’escalation di privilegi e i movimenti laterali. Fondamentale è dotarsi di un approccio di questo tipo anche per la compliance: nel modello si fa infatti riferimento a norme e limitazione dello scope”.“Passare a Zero Trust è una sfida complessa”, ha aggiunto Marcello Fausti, responsabile cybersecurity di Italiaonline. “Lo si capisce dal fatto che se ne sente parlare molto ma poi si vedono poche realizzazioni. Va sottolineato però che non si raggiunge lo zero trust con l’acquisto di una tecnologia, è uno dei casi in cui serve molto lavoro da parte del Ciso e non basta rivolgersi a un fornitore esterno. Inoltre viviamo un periodo di passaggio, tutte le aziende sono in fase di migrazione al cloud, si adottano spesso modelli ibridi e questo complica molto la situazione”.
Ma non si può adottare un approccio zero trust senza disporre internamente di un’infrastruttura adeguata e di sistemi di gestione delle identità e di gestione delle utenze privilegiate (che oggi si ritrovano particolarmente nel mirino degli attaccanti). “Incamminarsi in una strada di questo tipo equivale a fare grandi progetti di igiene digitale”, ha sottolineato Fausti, “progetti complessi che riguardano trasversalmente tutta l’azienda, a partire da HR fino alle linee del business. Senza la collaborazione di tutti non si procede nella cybersicurezza”.