Cos’è la cyber resiliency e come influisce sulla sicurezza dei sistemi

Il termine resilienza è un concetto basilare comune a molte discipline. In generale per resilienza si intende la proprietà  di un materiale di assorbire un urto senza rompersi. Applicando questo concetto all’ambito tecnologico possiamo affermare che per resilienza intendiamo la capacità di un sistema informativo di subire attacchi informatici e reagire tempestivamente continuando ad erogare i servizi, riducendo qualsiasi rischio e minimizzando gli impatti sull’operatività.
Al giorno d’oggi, in una situazione complessa come quella attuale, di fronte al moltiplicarsi delle minacce, le aziende devono essere in grado di mantenere l’operatività anche a fronte di attacchi ripetuti e di impatto rilevante.
Gli attacchi informatici provengono ormai sia da grandi gruppi organizzati, sia da gruppi più piccoli o bot automatizzati, colpendo sia le architetture on-prem che quelle hybrid o cloud.
In qualsiasi di queste architetture l’introduzione di applicazioni web based, a microservizi o basate su sistemi opensource, magari con l’introduzione di algoritmi di intelligenza artificiale, aumenta esponenzialmente il rischio di attacchi.
Per quanto riguarda i device, PC, smartphone, tablet e wearable, e in generale con l’accelerazione digitale dettata dalla pandemia, i rischi sono aumentati in modo non prevedibile fino a qualche anno fa, come ad esempio quelli determinati dal collegarsi con terminali non aziendali o da reti domestiche, magari obsolete e poco sicure, esponendo i sistemi a numerose criticità e pericoli in termini di sicurezza. Ci troviamo di fronte a un mondo iperconnesso: dalle applicazioni IOT ai wearable, dalle smart home agli impianti nucleari, dai droni alle auto, tutto è connesso e quindi, tutto è hackerabile.
Situazioni contingenti come la pandemia hanno sì accelerato la trasformazione digitale delle aziende, ma spesso a scapito del mantenimento di standard di sicurezza elevati. Le aziende si sono trovate a dover comprimere in pochi mesi un’evoluzione digitale pianificata per i prossimi 5 anni.
È proprio questa priorità di trasformazione digitale rispetto agli standard di sicurezza, che ha esposto le falle sulle quali gli attacchi organizzati fanno leva, puntando a corrompere, cancellare, modificare, sostituire i dati, appropriandosene in maniera illecita e impossessandosi di un controllo anche parziale dei device meno sicuri. Spesso infatti basta anche solo un parziale controllo di device connessi alle applicazioni per danneggiare hardware fisici rendendoli inutilizzabili, o mettendo in atto procedure per spiare le attività degli utenti senza che questi se ne accorgano per studiarne i comportamenti, o ancora utilizzarne gli indirizzi IP per sferrare attacchi geo localizzati.
Questo tipo di attacchi porta inevitabilmente a danni diretti e, di conseguenza, a impatti diretti sia in termini di operatività che di fatturato nonché la richiesta di eventuali riscatti. Esistono inoltre danni indiretti dovuti agli attacchi informatici: il danno di immagine e la perdita di credibilità e affidabilità agli occhi di clienti e azionisti, ad esempio, minano la reputazione delle aziende agli occhi del mercato. La mancanza di attenzione nella protezione dei propri dati suggerisce in un certo qual modo una mancanza di attenzione generale, con ovvie conseguenze sul giudizio dei potenziali nuovi clienti/investitori.
Per affrontare questo panorama di possibili criticità è quindi fondamentale un approccio alla sicurezza che sia quanto più possibile integrato.
Fino ad oggi la business continuity tradizionale ha sempre mirato a proteggere i sistemi dal disastro fisico, oggi invece il focus va posto sulla protezione del dato logico.
Per fare ciò ci viene inoltre in aiuto l’introduzione di standard di compliancy GDPR sempre più avanzati, che puntano ad alzare il livello di attenzione su questi temi.
In generale l’approccio si deve basare su 5 pillar fondamentali: detection , reaction, remediation, protection e governance.
Individuare l’attacco in tempi brevi, reagire velocemente con azioni di remediation estremamente mirate, proteggere il dato sia da un punto di vista logico che fisico sotto un forte controllo sono le componenti primarie per una buona protezione del patrimonio aziendale.

Analisi cyber attack panorama italiano e mondiale, un po’ di dati

Vediamo ora un po’ di dati e numeri a supporto di quanto spiegato finora.
Gli analisti di Clusit (Associazione italiana per la sicurezza informatica) sono in grado di dare periodicamente una fotografia aggiornata sul mondo della tecnologia e delle aziende, portando dati concreti sia in merito agli attacchi sia alla reattività delle aziende per quanto riguarda ad esempio i tempi per la detection, per la remediation, l’impatto degli attacchi sulle aziende e le tipologie aziende attaccate.
I dati dimostrano come ormai vengano attaccate aziende di qualsiasi dimensione e settore merceologico, dalle più grandi, con attacchi più complessi per aggirare sistemi e politiche di sicurezza più stringenti, alle più modeste con attacchi che più spesso vanno a buon fine pur basandosi su paradigmi di sicurezza più elementari.
In generale si registra una violazione di sicurezza ogni 38 secondi a livello digitale. Mediamente nel mondo abbiamo 2.244 attacchi hacker ogni 24 ore. Attacchi diretti a istituzioni, enti, ma soprattutto, nell’ultimo periodo a piccole e medie in prese, un fenomeno questo in rapida crescita.
Nel 2020, a causa dalla pandemia, gli attacchi informatici in Italia sono aumentati del 246% rispetto all’anno precedente (fonte Polizia Postale) e nel 2021 il trend ha continuato a crescere con un ulteriore +68%.
Si consideri inoltre la scarsa reattività delle aziende in caso di attacco. Più di metà delle aziende impiega dai pochi giorni a qualche mese per rilevare l’attacco, in funzione della maturità e dall’integrazione dei sistemi di sicurezza implementati.
Ancora spesso il fattore umano rappresenta l’anello più debole e imprevedibile della catena ed è quindi fondamentale agire sul livello di conoscenza e consapevolezza rispetto alle minacce cyber.
Inoltre la maggior parte delle aziende non ha un’idea chiara di come siano esattamente distribuiti i suoi dati sensibili e critici, vitali e non, e di conseguenza fatica a proteggerli in modo adeguato.
Dal punto di vista applicativo i punti deboli sono rappresentati dall’esposizione in rete, dall’iperconnessione dei device e soprattutto delle piattaforme social e di instant messaging di cui usufruiscono le nuove applicazioni, che le espongono quindi a punti di accesso esterni sensibili.
Occorre quindi un approccio a soluzioni ed architetture differenti, per una riorganizzazione della protezione dei dati diversa da quanto fatto in passato. Essendo centrale l’errore umano come una delle prime cause dei data breach, serve organizzare e garantire processi di controllo e di governance stringenti, sistemi di detection più reattivi e azioni più o meno automatizzate per la remediation. Questo approccio prevede la messa in campo di soluzioni integrate per contrastare i data breach provenienti da molteplici fonti. L’approccio innovativo non può comunque prescindere dal mantenere e far evolvere le soluzioni di backup tradizionale, di business continuity e di disaster recovery.

Conclusioni 

Come abbiamo visto gli attacchi informatici sfidano i sistemi, le architetture e gli applicativi quotidianamente. Per questo motivo occorre affidarsi ad un approccio quanto più integrato possibile e a player competenti sia in termini di expertise che di partnership con i migliori vendor di soluzioni. Grazie alle competenze consolidate in ambito digital e di sicurezza e alle strategia di cyber resiliency è possibile disegnare soluzioni ritagliate sulle specifiche esigenze, dimensioni e criticità del business delle aziende, dalle PMI alle più grandi corporation e supportare i clienti nella protezione del loro più prezioso patrimonio aziendale: l’informazione.