Cybersecurity: la nuova grande sfida per le aziende
Oggi, le persone e le aziende si muovono in un ambiente ultra-connesso e altamente interconnesso, segnato dalla crescita esponenziale della mobilità dei dati. Tuttavia, l’ascesa del mondo digitale sta portando con sé anche nuovi rischi, come il furto di tecnologie, gli attacchi ‘ransomware’ e il cyberspionaggio. Gli attacchi informatici pubblicamente noti si stanno moltiplicando e probabilmente sono solo la punta dell’iceberg. Il Global Risk Report del World Economic Forum 2021 è chiaro sull’argomento: i rischi informatici stanno salendo in cima alla classifica delle minacce più grandi al mondo. È il momento di esaminare la fragilità dello spazio digitale – e le sue implicazioni sia per le grandi aziende che per le piccole e medie imprese.
Pubblicato il 21 settembre 2021
Il 2020 l’anno è stato l’anno dell’esplosione degli attacchi informatici. Il numero di vittime di attacchi informatici è aumentato di quattro volte in un anno1. Mentre il fenomeno era già in crescita, la sua marcata accelerazione durante la crisi del Covid-19 non è stata una coincidenza. “Con la pandemia, le aziende hanno improvvisamente dovuto introdurre il lavoro a distanza su larga scala, spesso senza essere adeguatamente preparate”, spiega Laura Peytavin, ingegnere presso la società americana di sicurezza informatica Proofpoint e presidente dell’associazione degli ingegneri di Télécom Paris. “Il risultato è stato che la superficie dell’attacco si è ampliata in modo significativo.” Un fenomeno che va ad aggiungersi alle debolezze già sfruttate dai criminali informatici, a cominciare dalla mancanza di consapevolezza da parte delle aziende sui rischi, dalla cattiva gestione dei sistemi informatici o ancora dal mancato rispetto delle buone pratiche di pulizia informatica.
Una vasta gamma di ‘modus operandi’
“Anche se l’ascesa dell’IoT (Internet of Things o Internet delle Cose) ha inevitabilmente aumentato il pericolo, il rischio più grande è ancora il fattore umano”, sottolinea la specialista. “Dal 2010, l’attività degli hacker è cresciuta in modo incredibile.” La causa di tale aumento risiede nell’insufficiente aggiornamento dei sistemi informatici, dovuto alla mancanza di risorse, alla carenza di personale o anche alla mancanza di interesse per l’argomento. I criminali informatici aggiornano costantemente le loro modalità di attacco. I social network vengono utilizzati per accedere a dati personali che li aiutano a colpire i loro bersagli. “Gli hacker mappano le varie relazioni in un’azienda e mandando alle persone messaggi mirati sempre più verosimili. Non esitano ad utilizzare le scienze cognitive per giocare sulle paure delle persone, la stanchezza e il senso di urgenza. È stato notato, per esempio, che il numero di attacchi aumenta di venerdì pomeriggio, quando le persone sono meno in guardia.”
Allo stesso tempo, il modus operandi utilizzato dagli hacker sta diventando sempre più vario. Alcuni esempi includono il virus informatico rilasciato dal gruppo criminale informatico russo Revil2 che ha colpito migliaia di aziende in tutto il mondo, l’attacco informatico contro Airbus attraverso i suoi partner (in particolare Altran), gli attacchi DoS (denial-of-service) che creano una sovra-richiesta di un sito Internet3, e l’attacco al software di gestione della rete Solarwinds utilizzato da oltre 300.000 aziende in tutto il mondo4. I modus operandi si moltiplicano. In pratica, mentre i file allegati in una email sono stati a lungo privilegiati, lasciano ora spazio a link per scaricare applicazioni da una fonte cloud dannosa o a richieste di coordinate bancarie.
Per le aziende, i rischi sono enormi e si collocano a diversi livelli: integrità dei dati (in assenza di archiviazione di backup) rischi finanziari, di immagine e legali, ecc. In un report del febbraio 2020, il Federal Bureau of Investigation (FBI) ha stimato a 3,5 miliardi di dollari5 nel 2019 le perdite finanziarie derivanti dagli attacchi informatici negli Stati Uniti.
Cultura di vigilanza e investimenti finanziari
In questo contesto ad alto rischio, cosa dovrebbero fare le aziende? Dopo diverse indagini condotte presso i responsabili della sicurezza dei sistemi informatici (RSSI), Proofpoint ha individuato quattro priorità: rafforzare i controlli di sicurezza, gestire i rischi legati ai fornitori, supportare il lavoro da remoto e implementare soluzioni di sicurezza automatizzate. “Per un’azienda, rendere le persone consapevoli dei rischi dovrebbe essere parte della loro formazione, in modo che si crei un circolo virtuoso”, spiega Laura Peytavin. Non cliccare su una mail dubbia, mai collegare una chiave USB a qualsiasi macchina, nascondere le password – tutte queste abitudini sono importanti.” Questo lavoro di prevenzione comporterà anche la creazione di una relazione tra l’apprendimento automatico (Machine Learning) e l’essere umano” sottolinea Laura Peytavin. “Anche se un algoritmo non può contrastare ogni minaccia, può almeno fornire ad ogni dipendente un messaggio mirato – completo e pertinente – per mantenere alta l’attenzione.” In altre parole, educare i dipendenti e sviluppare una vera cultura di vigilanza richiede un livello minimo di investimenti finanziari, per attività quali la comunicazione criptata, l’implementazione di audit per la sicurezza, l’aggiornamento regolare dell’hardware e del software, l’introduzione di controlli di conformità regolari e la garanzia della sicurezza dei dati interni ed esterni. Società come IBM, sostengono che la spesa per la sicurezza informatica dovrebbe ammontare al 9% – 14% del budget annuale IT, secondo Cybershark. In media, le aziende stanno effettivamente investendo circa il 6% del loro budget IT per la sicurezza informatica6.
Ma essere attrezzati non significa necessariamente essere protetti. Nel 2020, la crisi sanitaria e la diffusione del lavoro da remoto ha costretto le aziende a rivedere con urgenza le loro pratiche informatiche. Secondo un sondaggio di Censuswide, l’83% delle grandi aziende ha trasformato il proprio approccio alla cybersecurity lo scorso anno per proteggere i propri dati e i workload su Cloud7. Inoltre, sempre più consigli di amministrazione hanno istituito comitati dedicati alla sicurezza informatica. Un contesto tuttavia che contrasta fortemente con la risposta delle piccole imprese. In mancanza di risorse sufficienti, sia finanziarie che umane, le piccole imprese spesso sottovalutano i rischi della criminalità informatica. Eppure, secondo uno studio dettagliato di Kaspersky Lab il costo medio di una fuga di dati per una PMI ammonta a 117.000 dollari8.
È indispensabile un approccio globale
La sfida è chiaramente globale. I progressi in termini di sensibilizzazione devono essere promossi dai governi e dalle istituzioni pubbliche, come l’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) in Francia, che svolge un ruolo importante attraverso la pubblicazione di guide o la diffusione dei cosiddetti MOOC (Massive Open Online Courses).
Già nel novembre 2001, una convenzione europea istituiva un sistema di cooperazione internazionale per combattere la criminalità informatica, consentendo agli Stati di attrezzarsi più efficacemente mediante l’adozione di testi legislativi. Ma è tempo di andare oltre. Il World Economic Forum ritiene pertanto indispensabile che la sicurezza informatica sia integrata a livello degli Stati attraverso principi e sistemi adottati in tutti i settori pubblici e privati9. Parallelamente, l’Unione europea potrebbe trarre vantaggio dall’ispirarsi agli Stati Uniti che ultimamente si mostrano estremamente attivi in materia. Adattando i metodi utilizzati per la lotta contro il terrorismo, le autorità americane hanno istituito nel giugno scorso una task force speciale, in seno al ministero della Giustizia, incaricata di centralizzare le informazioni legate alle indagini.
In Francia, Bernard Barbier (ex direttore tecnico della DGSE, l’equivalente della CIA), Jean-Louis Gergorin (ex responsabile del Centro di analisi e di previsione del Quai d’Orsay) e Edouard Guillaud (ex Capo di Stato Maggiore della Difesa) hanno recentemente chiesto al governo, attraverso la stampa10, di adottare una strategia nazionale per la sicurezza informatica. Hanno anche suggerito la creazione di un “programma di innovazione tecnologica e scientifica della stessa ampiezza dei programmi che hanno permesso di raggiungere l’autonomia strategica nucleare.” Così facendo, sostengono, il governo potrebbe essere finalmente in grado di fornire una risposta collettiva all’altezza della posta in gioco.
Sources :
1. “L’ANSSI et le BSI alertent sur le niveau de la menace cyber en France et en Allemagne dans le contexte de la crise sanitaire,” https://www.ssi.gouv.fr/actualite/lanssi-et-le-bsi-alertent-sur-le-niveau-de-la-menace-cyber-en-france-et-en-allemagne-dans-le-contexte-de-la-crise-sanitaire/
2. “Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde,” Le Monde, 05/07/21. https://www.lemonde.fr/pixels/article/2021/07/05/comment-des-pirates-ont-paralyse-des-centaines-d-entreprises-dans-le-monde-en-quelques-heures_6087085_4408996.html
3. Fanny Pégard, “Quels sont les nouveaux enjeux de la cybersécurité?” Skillz by Futura,15/09/20. https://www.futura-sciences.com/sciences/questions-reponses/epita-sont-nouveaux-enjeux-cybersecurite-14004/
4. Jean-Marc Guignier, “La cybersécurité, un enjeu crucial pour la survie des PME”, Les Echos, 20/04/21. https://www.lesechos.fr/idees-debats/cercle/opinion-la-cybersecurite-un-enjeu-crucial-pour-la-survie-des-pme-1308325
5. 2019 Internet Crime Report, Federal Bureau of Investigation, 11/02/20.
6. Jacky Chou, “How much does cybersecurity really cost?”, Entrepreneur, 23/04/21. https://www.entrepreneur.com/article/367141
7. Louis Columbus, “83% Of Enterprises Transformed Their Cybersecurity In 2020”, Forbes, 18/10/20. https://www.forbes.com/sites/louiscolumbus/2020/10/18/83-of-enterprises-transformed-their-cybersecurity-in-2020/?sh=1f8457437c8b
8. “IT Security: Cost center or strategic investment?”, Kaspersky Lab. https://go.kaspersky.com/rs/802-IJN-240/images/IT%20Security%20Econmics%20Report%209.18.17.pdf
9. “Cybersécurité en entreprise : enjeux et métiers d’avenir, l’avènement d’une ère nouvelle”, Siècle Digital, 29/04/21. https://siecledigital.fr/2021/04/29/cybersecurite-entreprise-enjeux-metiers-davenir/
10. “L’affaire Pegasus montre parfaitement les faiblesses de l’Europe en matière de cyberagressions”, Le Monde, 26/07/21. https://www.lemonde.fr/idees/article/2021/07/26/l-affaire-pegasus-montre-parfaitement-les-faiblesses-de-l-europe-en-matiere-de-cyberagressions_6089519_3232.html