Trovaci su: Twitter

Presentato il nuovo cyber security report

Di Cyber Affairs
In In Evidenza
03/03/2017
0 Commenti

È stato presentato ieri presso l’aula magna del Rettorato dell’Università La Sapienza di Roma l’Italian Cyber Security Report 2016 realizzato dal Cis-Sapienza e dal Laboratorio Nazionale di Cyber Security-Cini. La giornata è stata aperta dal rettore Eugenio Gaudio, dal presidente del Cini, Paolo Prinetto e dal professor Roberto Baldoni, direttore del Laboratorio nazionale di Cyber security, recentemente nominato coordinatore del Comitato nazionale per la ricerca in cyber security. Sono seguite l’illustrazione del report e delle tavole rotonde. Le conclusioni sono state affidate invece al direttore generale del Dipartimento delle Informazioni per la Sicurezza della Repubblica, il prefetto Alessandro Pansa.

Nel documento, giunto alla sua quarta edizione e realizzato col supporto di esperti, di addetti ai lavori e di alcune compagnie private (Hewlett Packard Enterprise, Microsoft, Kaspersky Lab e Huawei), sono stati inclusi per la prima volta 15 controlli di sicurezza essenziali corredati da un guida all’implementazione degli stessi. I controlli sono derivati dal Framework nazionale per la cyber security, presentato lo scorso anno, ma sono rivolti alle organizzazioni, in particolare piccole-medie-micro imprese, che non hanno capacità tecniche sufficienti per adottare il Framework (nello specifico, come imprese target sono definite quelle che non hanno struttura interna che si occupa di cybersecurity e per le quali valga almeno una delle caratteristiche specificate dal report, tra le quali il possesso di proprietà intellettuale/know how, l’offerta di servizi via web e l’esistenza di accordi di riservatezza con i propri fornitori).

I controlli essenziali
I 15 controlli, elencati nel documento e al suo interno approfonditi in molteplici aspetti, sono nell’ordine (ma senza alcuna priorità): esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale; i servizi web (social network, cloud computing, posta elettronica, spazio web, eccetera) offerti da terze parti a cui si è registrati sono quelli strettamente necessari; sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché  siano adeguatamente protetti; è stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici; sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda; tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, eccetera) regolarmente aggiornato; le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori); il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri, l’accesso è opportunamente protetto, i vecchi account non più utilizzati sono disattivati; ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza; il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (ad esempio riconoscere allegati e-mail, utilizzare solo software autorizzato) e i vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza; la configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi, mentre le credenziali di accesso di default sono sempre sostituite; sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3), i backup sono conservati in modo sicuro e verificati periodicamente; le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (ad esempio firewall e altri dispositivi/software anti-intrusione); in caso di incidente (ad esempio venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto; infine, tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore, e i dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

Lo studio evidenzia però che questi punti rappresentano un punto di partenza e non di arrivo. In primo luogo perché “hanno una validità limitata nel tempo, dovuta alla dinamicità della minaccia cyber; c’è quindi la necessità di mantenere aggiornati tali controlli per rispondere in modo adeguato all’evoluzione tecnologica e della minaccia cyber”. E poi perché “sebbene i controlli siano stati definiti per le imprese target, essi sono parte di un processo più ampio che li lega indissolubilmente al Framework Nazionale per la Cybersecurity; ed è in carico all’organizzazione che li applica valutare accuratamente il proprio rischio residuo, dopo la loro applicazione, e considerare quindi l’eventuale adozione del Framework”.

I  costi dell’applicazione
Il report non si limita a identificare i controlli essenziali, ma stima anche quanto costerebbe la loro implementazione. Per una micro-impresa di 9 dipendenti (identificata nello studio come Azienda tipo 1), è calcolata una spesa di circa 10mila euro (suddivisa in 2.700 euro di costi iniziali e 7.800 di costi annui). Per una media-impresa di 50 dipendenti (Azienda tipo 2), la spesa è invece calcolata in circa 24.450 euro (ripartiti tra 4.650 euro di costi iniziali e 19.800 euro di costi annui). Questi investimenti, spiega un’analisi, si ipotizza riducano il rischio cyber di circa l’80% (un aumento del rischio implica che l’operativita’, la riservatezza dei dati dell’organizzazione e la loro integrità potrebbero essere lese da attaccanti con una probabilità troppo alta per essere considerata accettabile). E, fatti i conti, sono tutt’altro che alti da sostenere, se si considera che “prendendo come riferimento il danno medio finanziario per le piccole e medie imprese derivante da incidenti informatici, calcolato da Kaspersky Lab in un recente report intorno ai 35mila euro l’anno per azienda, gli investimenti per la protezione della propria azienda” sono “già anche nel breve termine funzionali a una protezione dal danno economico-finanziario” (e “in un arco temporale di 3-5 anni, si ha un potenziale risparmio economico ancora più significativo”).

Raccomandazioni e imprese, enti e regolatori
Parte fondamentale di ogni Cybersecurity Report del CIS-Sapienza è anche un elenco di raccomandazioni per le imprese target e per gli enti governativi, stilati con l’obiettivo di offrire una preparazione nei confronti dei trend evolutivi della minaccia cyber. Per ciò che riguarda le aziende, lo studio consiglia: di far divenire la messa in sicurezza “un processo interno all’azienda: tale processo dovrà coprire gli aspetti tecnologici, metodologici e economico-giuridici, minimizzando la superficie di attacco aziendale rispetto agli asset interni e, di conseguenza, esso dovrà coinvolgere tutti i livelli del personale, entrando di fatto nel Dna aziendale”; di “investire in formazione del personale” e awareness; “è fondamentale che le imprese inizino a pensare a se stesse non come delle realtà solitarie ma come parte di una rete fortemente interconnessa, e come tali, pensare ai propri rischi per l’operatività come rischi che tutti i propri clienti avrebbero in caso di ritardi o difetti nei prodotti (dal momento in cui tutti inizieranno a ragionare in questi termini si vedranno i contratti di fornitura modificarsi per inglobare requisiti di continuità del servizio e requisiti sulla ‘preparazione’ cyber dei fornitori, perché con l’avvento di programmi di trasformazione digitale come industria 4.0 le interazioni digitali tra aziende della filiera aumenteranno esponenzialmente, aumentando di conseguenza la superficie d’attacco, quindi vulnerabilità presenti in una singola azienda si trasformeranno in vulnerabilità di filiera, e quindi in vulnerabilità di tutti); è molto importante “una estensiva fase di controllo, monitoraggio e valutazione delle vulnerabilità dei propri asset aziendali”, che dovrà “entrare a far parte delle normali routine di controllo dei sistemi delle imprese”; “l’approccio alla cybersecurity deve necessariamente permeare le strategie aziendali dall’alto verso il basso, dai vertici aziendali verso gli amministratori di sistema e i manutentori”. Agli enti governativi e ai regolatori di settore, il report consiglia: di attuare una politica, ad esempio, di sgravi fiscali per quelle imprese che hanno deciso di proteggersi e di investire nella propria protezione; di attivare un processo di certificazione leggero e dinamico a livello nazionale, sull’esempio del Regno Unito, dove dal primo ottobre del 2014 tutti i fornitori delle pubbliche amministrazioni devono obbligatoriamente essere certificati “Cyber Essentials” (avere un tale meccanismo di certificazione avrebbe ottimi risvolti non solo per la PA, ma anche in campo puramente industriale, perché i contratti di fornitura potrebbero essere corredati dalla richiesta di certificazione sui controlli essenziali, sicuramente meno onerosa di altre certificazioni molto più complesse e quindi sicuramente più adottabile dalle imprese fornitrici, tipicamente piu’ piccole).

Le dichiarazioni
“Prima economia e cyber space interagivano poco”, ha detto il professor Roberto Baldoni, direttore del Laboratorio nazionale di Cyber security e del Cis-Sapienza, che ha ricordato molti dei programmi sui quali sono impegnati Sapienza e Cini, come Cyberchallenge.it, una competizione per scovare giovani talenti informatici, o FilieraSicura, un progetto che coinvolge otto tra centri di ricerca e università e ha per partner due multinazionali, Cisco Systems e Leonardo. “Ora invece – ha proseguito – c’è una compenetrazione sempre maggiore tra i due piani e presto non si riuscirà più a separarli. I Paesi avanzati saranno quelli che potranno assicurare un cyber space sicuro che consenta di fare business. Questo aspetto diventerà un vantaggio competitivo per uno Stato. Per questo dobbiamo implementare capacità cyber mettendo in campo strutture operative nazionali adeguate, investimenti pluriennali con obiettivi precisi, e procedere così alla creazione di un ecosistema nazionale. Solo così potremo restare protagonisti del mondo globale”. “Per entrare nella modernità dobbiamo mettere in sicurezza il Paese anche nel cyber space“, ha commentato invece nel suo saluto conclusivo il direttore generale del Dis, il prefetto Alessandro Pansa.

Lascia un commento

avatar