Cybersecurity: facciamo il punto con Red Hot Cyber

La sicurezza informatica è un tema sempre più attuale, non solo per la quantità di attacchi quotidiani compiuti a vari livelli ma per la varietà di contesti toccati, che spaziano dal singolo cittadino ai grandi Gruppi, dagli enti pubblici alle filiere industriali. A mancare - e non solo nel nostro Paese - sono un’adeguata formazione diffusa e la consapevolezza del peso che il cybercrime può avere sui conti correnti dei cittadini, sui fatturati delle imprese e sul PIL nazionale.

M.C.

ItaliaImballaggio affronta la questione con Pietro Melillo, CISO - Chief Information Security Officer, in forze a un player dell’industria manifatturiera come Würth Italia, nonché dottorando di ricerca e responsabile delle attività di Threat Intelligence di Red Hot Cyber, rivista online specializzata in tecnologia e sicurezza informatica.

La testata è riconosciuta come una tra le più accreditate fonti di informazione e divulgazione sul tema della cybersecurity e fa della condivisione delle informazioni e della crescita di consapevolezza sul rischio, due fondamentali obiettivi del proprio lavoro giornalistico basato sul contributo di specialisti di discipline legate alla pirateria informatica.

«Le linee di confezionamento sono spesso un contesto molto delicato - esordisce Melillo - e i problemi si trovano quasi sempre tra la scrivania e la sedia, dove l’errore umano è in agguato. Questo non significa colpevolizzare il singolo, ma definire la necessità di monitoraggi costanti dei sistemi e privilegi utente pensati per individuare il problema alla sua prima manifestazione.

Può capitare il verificarsi di un blocco macchina della filiera a causa di un utilizzo non conforme degli strumenti aziendali, installazione di software non autorizzati che possono essere in conflitto con gli applicativi utilizzati per il confezionamento, saturazione del disco causato dallo scambio media da uno smartphone. Una delle soluzioni a queste problematiche consiste nell’utilizzare una corretta profilazione utente (Il Principio del Privilegio Minimo - PoLP) e circoscrivere gli accessi ai sistemi, come ad esempio la disabilitazione delle porte USB come mass storage, il blocco di CMD e Powershell...

La segmentazione delle reti costituisce un ulteriore strumento di protezione, permettendo di rafforzare i controlli di sicurezza concentrandoli sulle singole sottoreti e limitare il movimento laterale di eventuali malintenzionati. Per evitare fermi macchina, l’azienda dovrebbe dotarsi di soluzioni di monitoraggio continuo che permetterebbero di identificare la minaccia, neutralizzarla e di ripristinare i sistemi compromessi in pochi istanti, permettendo di utilizzare l’ultima configurazione funzionante».

Mercati e paesi sotto attacco: la fragilità anche culturale dell’Italia

La definizione di una strategia di lungo periodo richiede la presenza di professionalità specializzate, interne o esterne all’azienda. Un passaggio indispensabile anche per le piccole imprese dove la cybersecurity awarness è ancora più necessaria, perché non sempre così scontata. Una mancanza che dà origine a fragilità evidenti, se si guardano i numeri e i settori più colpiti dalle azioni criminali nel corso del 2022.

«Nella lista dei destinatari di attacchi, la manifattura è uno dei settori più bersagliati, seguito dalla sanità, con la vendita di dati nel dark web e dal mondo della formazione. La sanità è tra le vittime d’eccellenza perché è la più incline a pagare, visto che i rischi sono significativi anche per la vita delle persone. Si sono infatti registrati anche due casi di morte: a Düsseldorf una persona è deceduta per una mancata dialisi dovuta a un attacco che ha ritardato l’accesso della paziente all’ospedale; in Alabama, una bambina nata con una grave malformazione non ha potuto ricevere cure adeguate per la mancanza di informazioni necessarie. In Italia, un caso celebre tra i tanti, è quello della Regione Lazio con una richiesta di riscatto da 50 milioni…».

Si tratta di dati impressionanti su cui Melillo pone l’accento per evidenziare quanto sia critico il settore della cybersicurezza e quanto sia organizzato il segmento criminale che dà vita a un business governato da vere e proprie imprese, che pagano stipendi, hanno una catena gerarchica e vedono spesso al vertice figure manageriali di spicco che, dalle loro posizioni chiave, possono fornire informazioni essenziali su cui sferrare attacchi con rese milionarie. L’iconografia del ragazzino nerd di War Games è quindi molto lontana, facendo spazio a un vero e proprio settore criminale organizzato, attivo ovunque nel mondo.

«Tra i paesi più attaccati dal fenomeno ransomware nel 2022 - prosegue Melillo - spiccano gli Stati Uniti a 994 attacchi, seguiti da Regno Unito a 145, Germania 117 e Italia al quarto posto con 107 attacchi. Seguono Canada a 103, Francia a 96, Spagna a 79, Brasile 50, Australia 45, india 3 Svizzera a 41».

Il quarto posto, occupato dal nostro paese, rappresenta un numero enorme in termini di impatto sul PIL e numero di abitanti. Guardando ai settori, la manifattura è al primo posto con 179 attacchi, seguito dalla sanità a 151, costruzioni a 140, education a 118 e government a 113. Interessante il dato sui 90 attacchi al settore software, da cui ci si aspetta una sensibilità intrinseca al tema, contrapposti ai 50 di finanza e insurance, che occupano le posizioni più basse nella classifica.

I rischi e le possibili soluzioni

La strategia di gestione della sicurezza informatica nel nostro Paese è arrivata tardi, ne è esempio l’istituzione dell’ACN - Agenzia per la cybersicurezza, avvenuta solo nel settembre 2021. Ecco perché, secondo Melillo, ancora oggi si tratta di un tema percepito come accessorio che non motiva se non con difficoltà, maggiori investimenti in strumenti, persone e strategie.

Una mancanza di cultura su cui è necessario fare formazione e organizzare corsi per ridurre ad esempio le percentuali di rischio connesse al phishing, che rappresenta oggi il 93% dei casi di attacco informatico a sistemi e istituzioni. Su questo punto, calandosi nel comparto manifatturiero, Melillo prosegue:

«Serve fare corsi di formazione base, ma anche parlare dell’evoluzione delle strategie di attacco perché tra le problematiche principali c’è una generale sottovalutazione dell’entità del rischio, con condotte superficiali come l’uso ibrido dei tool aziendali e la scarsa cultura dell’aggiornamento dei sistemi. Un’azienda di manufacturing che genera una grande mole di dati, ad esempio, richiede una strategia, che includa in quanto tempo, in caso di attacco, può tornare disponibile. A queste domande serve rispondere lato tecnico, definendo dei play book, normative e istruzioni disponibili per affrontare le tipologie di attacco, malware e ransomware, la costituzione di una squadra di emergenza e, in generale, una strategia costantemente aggiornata ogni due o tre mesi per capire se quanto deciso sia sempre valido alla luce delle nuove modalità di attacco e delle loro continue evoluzioni».

La soluzione sta nell’aggiornamento, di persone e di sistemi

La cybersecurity awareness è una chiave importante, proprio perché sono le persone a fare la differenza.

«Un recente corso di formazione - prosegue - ci ha permesso di abbattere con decisione il rischio, dove con 1.5 ore di aula ed esempi pratici abbiamo poi ottenuto un risultato positivo di 57 su 60 nel phishing test, fatto per verificare la reale comprensione dei temi del corso. Un aspetto molto importante, per questo tipo di iniziative, è la loro realizzazione in presenza, dove è possibile coinvolgere, mostrare esempi e spingere le persone a riflettere su quello che fanno. A livello aziendale, sarebbe opportuno comunicare tutte le campagne di phishing, in modo che il personale abbia un riferimento quotidiano su questo fronte e sappia come procedere».

Dalle strategie di formazione dei collaboratori, si passa alle modalità di difesa attiva: primo fra tutti, quello apparentemente più banale, è l’aggiornamento dei sistemi. Come ricorda Melillo

«Mi è capitato di incontrare aziende con Microsoft Windows Server 2012 ancora ampiamente utilizzato per tutte le attività aziendali. Il che implica la quasi certezza di un attacco. Servono però anche attività più evolute come le operazioni di VAPT Continui (Vulnerability Assessment Penetration Test) che permettono di definire procedure di mitigazione del rischio su software e hardware, ed integrare servizi di Threat Intelligence.

Purtroppo, in Italia, la tendenza è ricorrere a questi strumenti al verificarsi di un attacco o in caso di audit, mentre dovrebbero far parte della quotidianità aziendale. Questo dimostra come il nostro Paese presenti un diffuso analfabetismo digitale dove phishing via mail, smishing via sms e il QRLjacking (la truffa via QRcode) non possono che essere molto diffusi».