Ep13 - Qual è lo stato dell’arte dei Cyber Attacchi in Italia? - Osservatorio Politecnico di Milano
[Musica]
Il digitale permea ogni aspetto della nostra vita privata e della nostra vita all'interno delle aziende per cui lavoriamo e sappiamo quanto questo abbia portato e stia continuando a portare implicitamente una serie di rischi. Abbiamo affrontato insieme in tutte queste puntate ed episodi di INNOVATIABLE il tema della Cybersecurity affrontandolo da diverse angolature, oggi proviamo a chiudere questo percorso con l'ospite che a breve vi presenterò.
Io sono Lorenzo Beliusse, Direttore Marketing di
Reti S.p.A. e vi do il benvenuto a INNOVATIABLE, il podcast di Reti che tratta tematiche di innovazione sostenibile.
Ecco quindi qui con me per affrontare la chiusura di questo percorso abbiamo il piacere di avere qui ancora una volta Giorgia Dragoni, Direttrice dell'Osservatorio Digital Identity e ricercatrice Senior dell'Osservatorio Cyber Security and Data Protection del Politecnico di Milano.
Ciao Lorenzo! Giorgia, bentornata!
Grazie! È un piacere essere di nuovo qui a fare la chiusura dopo l'apertura, ecco.
Assolutamente sì, abbiamo aperto con te questo ciclo di puntate e abbiamo toccato insieme a tanti partner il tema Cyber Security davvero da tanti punti di vista facendo un viaggio all'interno delle diverse industry e capendo in ognuna di esse anche quali sono i rischi più concreti che ci possono essere.
Allora devo dire che con te nella prima puntata, diciamo che ci hai un po' spaventati - Era il mio compito! - la sfida era quella appunto di parlare, e parlare con un tono sicuramente friendly ma comunicare molto bene quelli che sono i dati per aiutare, in quella che anche la mission che ci hai descritto nel primo episodio dell'Osservatorio, che è davvero un tema di di awareness, di presa di
consapevolezza dal punto di vista delle aziende il più possibile dei rischi a cui tutti quanti siamo sottoposti.
Ecco, allora volendo invece fare questa volta una puntata che prova a dare anche un percorso di approccio in maniera più strutturata, la possibilità di capire come mitigare i rischi dove possibile, insomma come configurarsi all'interno delle proprie aziende, ecco io partirei prendendola un pochino larga questa puntata. Quindi si parla spesso appunto di Best Practices, di approcci strutturati alle tematiche di Cyber ma partendo dal quadro normativo qual è lo scenario, la situazione attuale Giorgia?
Sì, stiamo attraversando un momento di forte evoluzione non solo dal punto di vista dello scenario come abbiamo visto la volta scorsa ma anche dal punto di vista normativo, quindi in generale del panorama. Perché parlare di normative quando mi dici Best Practice? Perché la normativa, come già fu per il GDPR, spesso è un'opportunità per investire o indirizzare al meglio i propri investimenti, non deve essere diciamo l'unico driver che scatena poi l'investimento dell'azienda ma sicuramente può aiutare a incanalarlo, diciamo così. In particolare, ti vorrei citare due elementi di novità che stanno un po' influenzando il panorama, non solo naturalmente a livello italiano ma anche a livello europeo, quindi quando parliamo di normative tipicamente il livello di riferimento è quello europeo. In particolare, abbiamo la NIS 2, quindi l'evoluzione della direttiva NIS che era già in vigore, la Network and Information Security Directive nella sua versione 2, è arrivata tra noi a gennaio e essendo una direttiva non diventa poi direttamente applicabile ma deve essere recepita dagli Stati membri e in particolare a partire da gennaio ogni Stato membro ha 21 mesi per recepirla. Cosa ci dice la NIS 2? Le cose interessanti da notare, premesso che non sono un'esperta legale quindi non entrerò nel dettaglio dei requisiti normativi, sono che innanzitutto viene ampliato il diciamo parterre di aziende a cui questa normativa si rivolge, prima la NIS 1 era rivolta agli operatori di servizi essenziali, la NIS 2 parla di operatori di servizi importanti, non più solo essenziali, quindi significa che potenzialmente tante aziende sono coinvolte nella necessità di adeguamento a questa nuova normativa. Tra l'altro è la prima volta credo all'interno delle normative, almeno in questa materia, che viene specificato che sono oggetto di questa normativa anche le medie imprese quindi non solo le grandi, grandissime che magari sono più abituate a essere oggetto di regolamentazioni un po' più stringenti ma anche le medie quindi sono dispensate diciamo così, sebbene poi c'è tutto il discorso della supply chain, sono le piccole e micro imprese. Un'altra cosa che ti posso dire qui è che introduce un concetto che è quello di accountability che ci siamo un po' abituati a sentir nominare per quanto riguardava il mondo della Data Protection con il GDPR lo introduce anche per quanto riguarda il mondo della Cyber Security quindi ci saranno delle cosiddette misure adeguate che le aziende dovranno implementare per gestire i propri rischi. Una seconda normativa di riferimento che sta appunto cambiando questo panorama è, in questo caso non è una direttiva ma è un regolamento, è il regolamento DORA Digital Operational Resiliant Act che si rivolge in questo caso a uno scope molto più verticale rispetto a quello della NIS 2, agli operatori di servizi finanziari e agli operatori invece del mondo ICT. I servizi finanziari - anche questa normativa, non l'ho detto ma lo specifico, è arrivata a gennaio, è stata pubblicata in Gazzetta a gennaio, quindi diventerà applicabile in due anni come anche qui come fu per il GDPR quindi a gennaio 2025 le aziende dovranno essersi adeguate, introduce tutta una serie di obblighi, di segnalazione degli incidenti, di test di resilienza, di governance, insomma ci sono tutta una serie di elementi di dettaglio che vanno a definire sempre più appunto in maniera verticale che cosa le aziende devono fare per essere compliant alla normativa.
Interessantissimo, quindi possiamo riassumere dicendo che l'hai sottolineato come tratto importante perché a tutti gli effetti il legislatore europeo ha introdotto un vero e proprio framework di normative a disciplina della Sicurezza Informatica, proprio una tracciatura di una strategia che l'Europa ha deciso di dare, quindi non si può ecco non parlarne già adesso anche se detto che su alcuni punti ci sarà del tempo ma ecco bisogna attrezzarsi per tempo quindi il tempo viene lasciato proprio per dare la possibilità di adeguare le proprie strategie di sicurezza. E proprio parlando di strategie di sicurezza, introdotto il quadro normativo, ecco, proviamo a capire insieme a te come si dovrebbe approcciare una strategia di sicurezza?
Domanda difficilissima - Però è una domanda aperta: "mi parli di quello che vuole" - Esatto, esatto! Praticamente è così. Quello che normalmente diciamo all'interno dell'Osservatorio è cercare di individuare tre leve principali, tre leve che sono in estrema sintesi tecnologia, persone e processi. Ti dico velocemente qualcosa su ciascuna di esse.
Cosa vuol dire tecnologie? Significa prevedere degli investimenti di sicurezza, quindi investire in tecnologie, quindi stanziare anche un budget che sia spendibile in materia di Cyber Security e farlo in maniera oculata, possiamo dire quindi non scegliendo delle tecnologie che magari ci ispirano particolarmente sul mercato ma capire di che cosa effettivamente la mia azienda ha bisogno. Sembra facile a dirsi ti assicuro che non lo è.
L'elemento delle persone: Cosa significa parlare di persone? Nella prima puntata avevamo un citato il tema del CISO, delle figure professionali a supporto non solo direi quindi c'è anche tutto un tema di lavorare sulla cultura delle persone intese come tutti gli utenti, sia che stanno all'interno dell'organizzazione sia che interagiscono con l'organizzazione anche esternamente, quindi terze parti, clienti, fornitori, partner.
E infine c'è il tema dei processi. Qui il processo principe quando si parla di Cyber Security è quello della gestione del rischio cyber, che naturalmente è tutto un processo complesso ma mantenere un approccio risk based, come anche cita tra l'altro per tornare al punto precedente il regolamento DORA, è fondamentale per riuscire a tracciare una strategia di Cyber Security.
Tecnologie, persone e processi. Hai detto che non è facile capire e districarsi nel mondo delle tecnologie, sicuramente occorre anche avvalersi di chi ne sa probabilmente di più su queste tematiche che abbiamo capito essere molto articolate. Volendo fare un focus sulle tecnologie, su quali aree si sta convergendo a tuo avviso?
Ti dico innanzitutto una cosa su quanto le aziende stanno investendo, perché mi sembra di non averlo mai raccontato in occasione di questi podcast ed è diciamo Il tassello prima per arrivare poi a quello che ti voglio dire sulle tecnologie. Il mercato della Cyber Security, inteso come spesa delle aziende end user nelle tecnologie, nei servizi Cyber nel 2022 ha raggiunto il valore più alto che abbiamo mai rilevato che è 1,86 miliardi. Ma la cosa interessante è la crescita del più 18%, che è una crescita molto elevata per quanto riguarda il mercato Cyber quindi non c'era mai stato un tasso di crescita così diciamo interessante in questo mercato. Rispetto a questa spesa, circa il 50% è dedicato a servizi che sono servizi professionali e servizi gestiti, specialmente le medie imprese investono molto in servizi gestiti quindi per esempio il SOC giusto per citare un mondo di cui sentiamo spesso parlare, per avere forse anche un maggior presidio della Security con competenze anche esterne se non possono inserirle internamente. L'altro 50% invece è dedicato proprio al mondo delle soluzioni tecnologiche, degli strumenti quindi delle tecnologie. In particolare quali sono quelle che vediamo più gettonate all'interno delle aziende? Ci sono tecnologie più legate alla gestione degli endpoint, possiamo dire quindi IDR, XDR di cui sempre più spesso sentiamo parlare quindi endpoint and Extended Detection and Response giusto per parlare un linguaggio comune a tutti, seguite anche da soluzioni di tipo SIEM, quindi tutti quegli strumenti che permettono una raccolta e monitoraggio di informazioni, abbiamo poi tutta una parte più legata alla gestione delle vulnerabilità quindi al Vulnerability Management e poi tra le primissime proprio in questa volendo provare a fare una classifica di soluzioni a cui si dedicano i maggiori investimenti ci sono quelle di Identity and Access Management; questo è un tema fondamentale l'abbiamo forse già citato anche nel primo podcast che avevamo fatto insieme - Lo abbiamo anche toccato con una puntata speciale non con te - Benissimo me lo ricordavo e quindi la gestione delle identità e dei privilegi che vengono concessi associati ai dipendenti è fondamentale, naturalmente, per garantire un livello di di protezione specialmente delle risorse più critiche.
Assolutamente quindi tecnologie con tutti gli acronimi che hai sciorinato in questa tua risposta ci fanno comprendere della difficoltà anche nel poter avere tutte queste competenze e quindi già nella prima puntata ci avevi raccontato di quel mercato del lavoro che veramente fa fatica a sopperire la domanda altissima. Ecco e qui mi collego al secondo punto che hai citato tecnologie, persone e a parte i professionisti ci sono un sacco di persone che ruotano intorno all'azienda; si parla sempre di trasformazione digitale, tutto mondo digitale comunque dove c'è una componente umana che è fondamentale per essere portata a bordo nelle fasi di Change Management quando porto in produzione una nuova soluzione ma anche è un elemento chiave quando si parla assolutamente di sicurezza. Quindi su questa accezione possiamo fare una ampia parentesi, per favore, sul tema persone?
Sicuramente. Allora qui potrei addirittura trovarti quattro diversi livelli di azione sulle persone - Dai partiamo col primo! - Il primo è il presidio, lo abbiamo detto l'altra volta, quindi l'introduzione di un CISO vale naturalmente più per le grandi organizzazioni ma anche nelle piccole-medie imprese comunque è importante che ci sia una figura che guida, quindi un presidio della materia. Secondo elemento, anche questo lo abbiamo già citato l'altra volta, gli specialisti quindi le competenze verticali specializzate che naturalmente possono essere internalizzate o anche prese all'esterno, quindi in Outsourcing, esatto, dipende fortemente dalla struttura, dalla dimensione dell'azienda. Terzo livello che secondo me è quello chiave, tutte le persone tutti gli utenti aziendali quindi i dipendenti dell'azienda i dipendenti interni in questo momento guardiamo. Quindi hai detto bene la Cyber Security è una materia che riguarda tutti, dobbiamo abituarci a pensare che la Cyber Security non è un tema IT è un tema che ormai vista la digitalizzazione che permea le nostre attività quotidiane è un tema che anche noi in prima persona in qualità di cittadini, in qualità di consumatori e poi in qualità di dipendenti aziendali viviamo nelle nostre attività quotidiane quindi è fondamentale che ci sia un livello di sensibilità, di consapevolezza diffuso tra gli utenti aziendali perché questo è forse uno dei primi passi che può aiutare a proteggere l'azienda, quindi il dipendente e il fattore umano, la gestione del fattore umano. Quarto livello, giusto per aggiungere ulteriore complessità, è quello delle terze parti quindi abbiamo detto la volta scorsa abbiamo citato il fatto che gli attacchi legati alla supply chain siano in forte crescita, questo significa che devo preoccuparmi in qualche modo di formare, di sensibilizzare, di creare consapevolezza anche nelle mie terze parti. Terze parti che possono essere clienti, terze parti che possono essere invece fornitori e partner.
Assolutamente d'accordo su questo approccio. Quindi sempre di più la necessità dalla piccola alla grande impresa di veramente fare awareness all'interno della propria popolazione aziendale, perché i comportamenti spesso si sente parlare del attacco Phishing, del comportamento diciamo così sprovveduto tra virgolette della persona che in buona fede magari banalmente ha aperto il documento sbagliato. Ecco questo l'esempio più semplice però per far capire di come poi possa essere tutta una filiera messa a repentaglio e compromessa a tutti gli effetti. Allora tecnologie e persone e processi è il terzo approccio, alla terza parola chiave che hai utilizzato quindi ok un tema di tecnologia di servizi
vari che ruotano intorno alla difesa dei nostri sistemi informativi, delle nostre aziende e però i processi si devono anche loro in qualche modo amalgamare con il mondo della Cyber Security, i processi aziendali, i processi di sviluppo, lascio a te la parola però.
Sì mi sono già diciamo anticipata - mi sono già auto spoilerata quando ti rispondevo alle nelle tre leve. Quindi qua il processo chiave, dal mio punto di vista, è proprio il processo di gestione del rischio. Che cosa significa? Significa che affrontare la Cyber Security va fatto non in maniera casuale ma va fatto indirizzando le proprie priorità. Questo significa che ci deve essere un processo prima di identificazione di tutti i possibili scenari di rischio che possono in qualche modo riguardare la mia azienda poi un processo di misurazione di questo rischio, quindi assegnare una probabilità di accadimento e un potenziale indicatore di impatto - quantitativo e qualitativo - Esatto esatto questi rischi potrebbero portare sulla mia azienda questo poi ci permette di introdurre successivamente delle azioni di mitigazione, quindi qua torniamo poi eventualmente al mondo delle delle tecnologie. Altri processi fondamentali che potrai citarti sono vabbè il processo di gestione della compliance quindi le necessità di adeguamento normativo in cui si introduce un elemento che è complicato che è la necessità anche di trovare un equilibrio e una modalità di comunicazione tra diverse funzioni all'interno dell'azienda quindi non è solo la security che si occupa della parte di normativa ma c'è anche la funzione compliance, la funzione Data Protection quindi ci sono elementi di complessità che aumentano un po' appunto la difficoltà in questo caso e poi un altro processo fondamentale è che in qualche caso viene lasciato indietro è il processo di gestione delle crisi , di gestione degli incidenti. Purtroppo - di cui uno non vorrebbe mai sentir parlare - vi darò una cattiva notizia ma non è possibile essere al 100% protetti, questo diciamo dobbiamo un po' fare i conti ormai con questa affermazione. Quello che però si può fare è preoccuparsi di gestire in maniera adeguata un eventuale incidente, una eventuale crisi quindi magari simulare un incidente per capire come potrei rispondere, non solo dal punto di vista tecnico ma anche soprattutto nel momento in cui mi trovo per esempio a dover comunicare verso l'esterno di aver subito l'incidente è fondamentale che io abbia già introdotto delle procedure di riferimento che mi permettono di gestire la crisi senza farmi prendere dal panico come facilmente potrebbe succedere in un caso di questo tipo ma proprio gestendo in maniera come se avessi tutto sul tuo controllo, almeno facendo finta di avere tutto sotto controllo.
Beh la regolamentazione che hai citato prima il NIS 2, Il DORA comunque ci porteranno inevitabilmente a dover essere tutti pronti per quell'eventuale scenario. Sì corretto perché ci sono poi anche degli obblighi di segnalazione degli incidenti, come già avveniva per il GDPR che aveva introdotto l'obbligo di notificare eventuali data breach, la stessa cosa succede per gli incidenti Cyber quindi anche nel caso non siano implicati, come nel caso del GDPR dati personali, però se gli incidenti hanno un impatto potenzialmente su terze parti o un impatto in termini di interruzione del servizio che sto offrendo sarò obbligato a notificare. Esatto, con tempi anche brevissimi assolutamente mi sembra siano 72 ore ma 72 ore in un momento di crisi sono veramente poche temo dal punto di vista dell'azienda.
Ok, avevamo detto che avremmo portato delle proposte di percorso all'interno di questa puntata prima, hai toccato il tema dei processi e di come questi devono andare a permeare tutti i processi aziendali, le procedure a tuo avviso qual è il modo più - il modo ideale ecco, la best practice se non si può in qualche modo definire in altro modo, per riuscire a entrare e a permeare tutti questi processi? Perché lo si diceva anche nella prima puntata, di primo acchito è ok un qualcosa in più che devo gestire oltre al mio dover essere competitivo sul mio mercato di riferimento.
Parto proprio da qui. La Cyber Security ormai è un elemento indispensabile per essere competitivi, quindi il problema è proprio il contrario, anzi, non gestire la Cyber Security può provocare delle conseguenze gravi che compromettono la mia competitività sul mercato. Quindi è proprio una trasformazione culturale, se vogliamo, che poi alla fine si arriva sempre lì no? Ma è effettivamente questo che deve cambiare ovvero l'approccio nei confronti della Cyber Security, nei confronti della gestione della Cyber Security e questo secondo me può avvenire in alcuni diversi modi. Quindi abbiamo citato del tre leve la tecnologia, le competenze, i processi, la cosa fondamentale è appunto la strategia. Cosa deve succedere perché ci sia una strategia di Cyber Security, perché ci sia un approccio effettivamente culturale diverso? Sicuramente abbiamo citato il tema della Formazione che è un elemento chiave quindi una consapevolezza diffusa, una cultura diffusa tra i dipendenti in modo che tutti si sentano responsabilizzati nel momento delle loro attività quotidiane nel momento in cui incontrano una potenziale minaccia Cyber e un secondo elemento secondo me qui che si può citare è trasferire l'importanza della Security al top Management. Nel primo episodio mi sembra ne avessimo parlato, quello fa la differenza quindi avere il commitment dei vertici aziendali che effettivamente poi si traduce anche in possibilità di investimento, in una possibilità di strutturare una strategia in maniera più concreta quindi deve essere percepito dai vertici l'importanza della Cyber Security.
Quindi deve far parte della strategia, deve essere un elemento di competitività. Cioè chi non l'approccia nel modo corretto potrebbe davvero essere penalizzato a livello proprio di competitività e di mercato. Quando parlavi mi viene in mente la classica figura dell'iceberg per cui ci focalizziamo magari su la punta e non guardiamo tutto quello che c'è sotto in termini di implicazioni. Però anche l'altra volta raccontavi di dati sempre più in
miglioramento rispetto agli investimenti, rispetto all'adozione di soluzioni quindi possiamo davvero dire che siamo nella giusta direzione e il regolamento come tu ci hai citato ci dà ancora una luce da seguire ancora più chiara.
Chiuderei con un messaggio positivo, quindi per non lasciare un po' l'amaro in bocca a chi ci ha seguito, sicuramente si sta sviluppando consapevolezza ma su vari livelli si sta sviluppando consapevolezza da parte delle aziende, piccole o grandi che siano quindi le grandi imprese forse già avevano appunto consapevolezza qualche anno fa, le piccole medie imprese stanno arrivando quindi si sta muovendo qualcosa
anche da questo punto di vista sappiamo che per la nostra configurazione a livello proprio italiano è fondamentale che anche le piccole medie imprese si muovano, si sta sviluppando però consapevolezza anche lato istituzionale. Non so se è mai stata citata nei podcast l'Agenzia per la Cyber Sicurezza Nazionale che secondo me è un elemento che ci aiuta proprio a - è un punto, quindi abbiamo un'agenzia che prima non avevamo e abbiamo una strategia di Cyber Sicurezza Nazionale che prima non avevamo, quindi questi sono tutti segnali positivi che ci aiutano avere una visione comune che è una cosa fondamentale dal punto di vista della Cyber Security quindi non ragionare ognuno per sé ma ragionare nell'ottica di sistema, di sistema paese quindi stiamo sicuramente andando nella direzione giusta.
Benissimo. Giorgia, ti chiederei di chiudere con quello che è appunto uno slancio, lasciami dire positivo, indicando un percorso, una strada che a tuo avviso le aziende che intendono rivedere, delineare e comunque approcciare magari un nuovo paradigma di strategia di Cyber Security, ecco devono seguire.
Qui in parte mi ripeterò rispetto cose che ho già detto ma repetita iuvant diciamo, naturalmente sono un po' quelle le cose no? Mettiamo in fila le cose che abbiamo raccontato oggi.
Dal punto di vista delle tecnologie, innanzitutto da dove partire? Partire
dalle basi spesso si tralasciano cioè si sottovalutano elementi di tecnologia che sono invece fondamentali e un po' costituiscono appunto la base su cui poggiare poi elementi un po' più sofisticati. Tantissimi attacchi sfruttano vulnerabilità che derivano semplicemente dal non aver fatto un aggiornamento, cosa estremamente semplice e basilare che però ad oggi mi sento di dire è un elemento importante su cui lavorare, non deve essere appunto trascurata e sottovalutata. Basi che poi possono anche riguardare abbiamo detto la gestione degli endpoint, cito anche di nuovo il mondo della gestione delle identity quindi la corretta gestione delle password, la multifactor autentication qui come non citarla quindi, la gestione delle autenticazioni tramite più fattori di sicurezza che riescono a proteggere meglio le risorse aziendali. C'è poi il percorso in termini di competenze e qui te l'ho raccontato non mi ripeterei quindi tutto parte dal board e poi a cascata si va sui vari livelli. E poi c'è il percorso in termini di processi abbiamo detto e qui quello che fa la differenza effettivamente appunto avere un approccio Risk Based, quindi partire dai problemi, avere chiaro quelli che sono i potenziali problemi e poi introdurre delle soluzioni adeguate, quindi stabilire le priorità.
Assolutamente. Quindi in tutto questo è possibile cercare di partire da quello che provo ad assumere una sorta di assesstment di quella che è la mia situazione a livello basilare di sistemi informativi cercando probabilmente l'expertise anche visto che abbiamo capito che non è così facile trovarla internamente può essere veramente anche troppo costoso ma cercarla anche esternamente e poi da lì instaurare un percorso che poi arrivi fino ai processi sicuramente e vado a toccare poi anche la parte core dell'azienda quindi si vada a intrecciare veramente con i processi poi di business, di ciò che le aziende fanno.
Giorgia, ti ringraziamo ancora per essere tornata qui da noi in Campus, mi auguro di poterti rivedere ancora, ti inviteremo nuovamente per nuovi episodi c'è stato molto utile tutto il percorso che hai tracciato, i dati che ci hai fornito per delineare una picture a livello paese di come il tessuto imprenditoriale italiano sta anche implementando l'approccio alle tematiche di Cyber Security e di come il cammino risulti comunque essere positivo e in crescita.
Grazie mille a te!
Bene siamo arrivati alla conclusione di questo percorso che abbiamo fatto insieme dove abbiamo toccato insieme a numerose voci autorevoli sull'ambito della Cyber Security i vari temi e i vari approcci che hanno delineato delle Best Practice che è possibile seguire per meglio approcciare proprio la strategia di Cyber Security delle nostre aziende. Per qualsiasi approfondimento vi rimandiamo al sito reti.it/podcast e ci vediamo al prossimo episodio!
[Musica]
