A cura di Ettore Guarnaccia
Il conflitto Russia-NATO in Ucraina si è presto trasformato in una vera e propria guerra cibernetica, con gruppi di cyber criminali, cyber terroristi e hacktivisti, spesso state-sponsored, a darsi battaglia sul piano informatico.
Questa cyberwar ha fatto irruzione in uno scenario già ampiamente preoccupante, in cui da tempo diversi gruppi di cyber criminali prendono di mira obiettivi critici e aziende di vari settori.
Conflitti, terrorismo, criminalità, hactivismo, competizione di mercato e insider minacciano ogni giorno la reputazione del marchio e la continuità e la sopravvivenza del business di numerose aziende, nonché l’erogazione dei servizi primari (elettricità, gas, acqua, telecomunicazioni, trasporti, ecc.) di intere nazioni.
La cronaca riporta una serie impressionante di attacchi di ingegneria sociale e sfruttamento di vulnerabilità per interrompere servizi primari, compromettere dispositivi OT, IoT e sistemi di controllo industriale, ottenere credenziali di accesso, codice software e informazioni sensibili, installare e diffondere malware (infostealer, ransomware o wiper), o supportare l’opera di disinformazione e propaganda mediatica delle parti in conflitto.
Questo scenario globale impone alle aziende di abbandonare la navigazione a vista e iniziare a compiere scelte basate sul rischio, adottando un approccio preventivo e sempre più predittivo, mettendo in atto le migliori contromisure per salvaguardare il proprio business. Uno dei principali problemi è doversi destreggiare tra numerose fonti di dati e informazioni per individuare le minacce più rilevanti e determinarne i rischi, evitando disinformazione e propaganda, escludendo informazioni false o non pertinenti, e verificando l’affidabilità di quelle applicabili al contesto operativo della propria azienda.
Un concetto che trova riscontro anche nei dati stessi che interessano in particolare il nostro Paese. Secondo il prossimo rapporto sul fenomeno ransomware, realizzato da Swascan, infatti in particolar modo sono a rischio le PMI. Come spiega Pierguido Iezzi, CEO e Co-founder dell’azienda milanese: “L’attenzione delle gang ransomware nei confronti della PMI italiana può essere sicuramente attribuibile alla maggiore facilità nel colpire questo settore. Spesso budget a disposizione non adeguati, minori competenze disponibili e una minore sensibilizzazione del personale sono e rappresentano una opportunità per i criminal hacker. A questo dobbiamo aggiungere che spesso sono proprio queste aziende che cedono al ricatto poiché i sistemi di backup (ultima possibilità per il recupero dei dati) non sono configurati in sicurezza e di conseguenza vengono anch’essi crittografati. Diventano così completamente inermi e spesso il pagamento del ricatto diventa l’unica via per poter riprendere l’operatività del business. Ecco che se da un lato sono un target più facilmente aggredibile sono anche un target che garantisce una maggiore probabilità di guadagno”.
“La PMI non ha un ruolo solo economico nel breve termine per queste gang – continua Iezzi - La PMI italiana rappresenta una grossa fetta del prodotto interno lordo, è il nostro vantaggio competitivo italiano. Il loro know-how, i loro brevetti, i loro progetti, in ogni attacco informatico da ransomware, sono anche informazioni che vengono esfiltrate. Dati e informazioni nell’attuale conflitto potrebbero essere anche interessanti per una Russia che ha l’import completamente bloccato. Ecco un ulteriore elemento di attenzione e preoccupazione nazionale. La perdita di questi dati rappresenta a tutti gli effetti un danno competitivo a livello geopolitico nel medio e lungo termine”.
Sicuramente, ribadisce l’esperto, è necessario intervenire con aiuti concreti alla PMI, il PNRR potrebbe essere la soluzione ma allo stesso tempo è necessario intervenire legalmente sulla questione del pagamento dei riscatti. Di fatto diventerebbe uno scudo di tutela per le nostre aziende poiché andrebbe a disincentivare gli attacchi legati al cyber crime riducendo drasticamente la possibilità di ottenere un guadagno dagli attacchi informatici.
Cyber security intelligence di fronte al cambiamento
Questa situazione di grande incertezza, conseguenza di pandemia, pressioni economiche e tensioni geopolitiche, induce in molti CEO un grande preoccupazione per la sopravvivenza della loro azienda, che trasmettono ai rispettivi CISO.
Ed è proprio nell’incertezza che la disciplina della cybersecurity intelligence trova la propria realizzazione, supportando efficacemente l’individuazione delle minacce emergenti e dei rischi cyber per il business, promuovendo la comprensione della natura dei rischi a tutti i livelli decisionali e, quindi, la definizione delle migliori strategie di difesa.
Essa è un processo di raccolta, analisi e correlazione di dati e informazioni relativi sia al business aziendale (marchio, prodotti, servizi, clientela, terze parti, ecc.) sia al comportamento e all’eventuale impatto di potenziali avversari, che possono essere rappresentati da cyber criminali, cyber terroristi e hacktivisti, ma anche da aziende concorrenti senza scrupoli o da soggetti infedeli interni all’azienda.
Il presupposto fondamentale di qualsiasi strategia di difesa, che debba tradursi in azioni tempestive ed efficaci, è la conoscenza approfondita sia dei propri beni e servizi da proteggere, sia dei propri avversari, del loro modo di agire, le loro motivazioni e i loro obiettivi. In un aforisma: “non puoi proteggere qualcosa che non conosci da ciò che non conosci”.
Oggi più che mai è importante porsi le giuste domande. Quali sono i beni e i servizi vitali che reggono il business della mia azienda e che devo salvaguardare a tutti i costi? Quali sono gli avversari che potrebbero avere un interesse ad attaccare la mia azienda e minarne immagine, reputazione e continuità del business? Come agiscono questi avversari e con quale possibile impatto? Quali misure preventive potrei attuare per impedire che eventuali tentativi di attacco non producano impatti per la mia azienda?
Come ho spiegato nel mio ultimo libro “Cybersecurity Intelligence”, una risposta affidabile, efficace e tempestiva a tutte queste domande viene dalla cybersecurity intelligence e dal valore aggiunto che essa può apportare ai processi aziendali di sicurezza e di salvaguardia del business: security operations, incident response, vulnerability management, risk management, controllo della sicurezza delle terze parti, protezione del marchio, geopolitica e consapevolezza del top management e del personale aziendale.
Solo chi investirà sulla conoscenza approfondita della propria azienda e dei suoi avversari può sperare di sopravvivere in questo moderno scenario di minaccia cyber.