230mila attacchi di phishing in soli 3 mesi e una pioggia di nuovi domini che contengono la parola Coronavirus. La cyber security ai tempi del Covid-19 è cruciale, ma è necessario cambiare strategie e approcci alla sicurezza.
La pandemia di Coronavirus non si traduce solo in una emergenza sanitaria. I suoi effetti infatti superano i confini, fino ad arrivare alla cyber security. Principalmente per via di 2 fenomeni: da una parte, l’utilizzo massivo dello smart working che ha trovato impreparate, dal punto di vista della sicurezza, molte aziende, dall’altro per il cosiddetto “fearware” ovvero la capacità dei criminali informatici di utilizzare un contenuto che fa perno sulla paura e sull’ansia, ovvero Coronavirus, per attirare vittime nella loro rete. A delineare questo scenario è Fabio Colombo, EY Cyber Security Leader per il settore finance in EMEIA, a corredo del recente report EY Global Information Security Survey.
Lo scenario pre-pandemia
Il report di EY rivela che quasi il 51% delle società italiane ha subito uno o più attacchi significativi nel corso dell’ultimo anno: il 21% è avvenuto a opera di cyber-attivisti, secondi solo ai gruppi di criminalità organizzata ai quali ne sono imputati il 26%. L’emergenza Covid-19, con l’utilizzo massivo dello smart working - talvolta anche attraverso device personali non sempre aggiornati rispetto alle misure di sicurezza e utilizzati all’interno di abitazioni dove spesso sono presenti molteplici device connessi - ha aumentato i rischi per le aziende.
Gli attacchi ai tempi del Covid
Da fine gennaio a fine marzo sono state contate 230mila campagne di phishing e il numero di nuovi domini contenente la parola “coronavirus” è aumentato dai circa 250 al giorno a febbraio ai quasi 7mila al giorno a fine marzo. Ospedali e strutture sanitarie, insieme alle case farmaceutiche, sono stati i target principali, ma il problema ha riguardato tutti i settori. Siti contenenti false mappe di diffusione del virus, email fake aventi come mittente l’OMS che dichiarano di contenere informazioni importanti, richieste di donazioni in bitcoin a favore di enti di ricerca per lo sviluppo del vaccino sono solo alcune delle forme che assume oggi il cosiddetto “fearware”, un contenuto che sfrutta la mancanza di attenzione, la paura e l’ansia generate nelle persone nei momenti di crisi e di utilizzo massivo di strumenti digitali.
Il veloce ricorso allo smart working...
L’esigenza di mantenere l’operatività del business a fronte di un lockdown arrivato molto rapidamente ha creato l’urgenza di intervenire, che ha messo a dura prova diverse funzioni aziendali: dal procurement, per poter dotare di strumenti aziendali anche quelle aree del personale che non si pensava di far operare in smart working; all’IT per attivare nuovi strumenti di collaboration e adattare servizi e applicazioni agli accessi da remoto, passando per la security per mettere in sicurezza un perimetro aziendale sempre più liquido ed esteso e di conseguenza sempre più esposto. Inoltre, la necessità di attivare lo smart working su una popolazione molto ampia ha evidenziato come in molte organizzazioni la maggior parte dei dipendenti non fosse preparata a utilizzare strumenti quali tool di collaboration e accessi in VPN, né fossero state definite policy di utilizzo e di sicurezza per una diffusione così massiva.
... rompe le policy in vigore
I tempi stretti con cui è stata allestita la nuova operatività ha richiesto alle diverse organizzazioni di intervenire su molteplici attività di configurazione sicura (hardening), trovandosi spesso in un trade-off tra bloccare completamente alcuni servizi e consentire accessi e operatività con modalità presidiate da un punto di vista della sicurezza, ma talvolta non adeguatamente documentate o comunque con vincoli meno stringenti rispetto alle policy di security in vigore (es. consentire l’utilizzo di strumenti di collaboration non standard, operatività da remoto per funzioni con vincoli di accesso per requisiti “four eyes”, utilizzo di device personali a scopi lavorativi).
Quali iniziative mettere in campo
Per questo motivo, in questa fase di analisi ex-post è fondamentale sottoporre i vari interventi in ambito applicativo, network, configurazione degli endpoint a una review di enforcement: rispetto alle varie tipologie di strumenti di collaboration e alle loro diverse configurazioni, diventa importante effettuare sessioni di pen testing e red teaming avanzato per verificare eventuali falle di sicurezza, rispetto sia alla loro configurazione di default sia a specifiche modalità di utilizzo in emergenza. Rispetto ai permessi di accesso alle applicazioni per consentire l’operatività da remoto è ora fondamentale attivare iniziative di ricertificazione dei profili abilitativi all’interno del sistema di gestione delle identità per mantenere il rispetto del principio del minimo privilegio nel nuovo scenario operativo. Infine, l’attivazione di iniziative di Data Loss Prevention e di enforcement del Digital Rights Management consentono di avviare attività importanti di classificazione dei dati e dei documenti finalizzate a un presidio più puntuale per il loro utilizzo e diffusione in un contesto più esteso e liquido di comunicazione.
Un gap formativo da colmare...
Il tema della formazione era già emerso prima della crisi indotta dal Covid-19 come uno degli aspetti su cui le organizzazioni avrebbero dovuto investire. Le contromisure tecnologiche più performanti, innovative e avanzate che si possono utilizzare per contrastare le minacce cyber possono essere rese inefficaci dall’unico elemento che non si riesce a gestire con la tecnologia o con un nuovo apparato di sicurezza: il fattore umano.
... perché la consapevolezza è cruciale
Alle problematiche generate dalle necessità di gestire in estrema velocità gli interventi di innovazione tecnologica e di recepire così tante variazioni senza una adeguata preparazione, si aggiunge il fatto che le organizzazioni si trovano ora a contrastare, oltre a una più estesa superficie di attacco legata ai confini ancora più ampi della propria rete aziendale, anche l’intensificarsi di fenomeni di phishing a tema Covid-19, attacchi ransomware finalizzati al furto di dati sensibili e attacchi di defacement con potenziali impatti reputazionali. In questo contesto, la consapevolezza dei rischi cyber, la conoscenza dei reali impatti di una minaccia sull’intera organizzazione e delle ricadute della non osservanza delle best practices di sicurezza sono il necessario complemento degli investimenti tecnologici che le organizzazioni hanno finora sostenuto per il rafforzamento della propria posture di sicurezza. È importante quindi sfruttare questo momento per affrontare il tema della formazione in cybersecurity in un’ottica ancora più ampia e incisiva rispetto a quanto fatto finora, per far evolvere il training - sia tecnico sia per l’intera popolazione aziendale - verso un modello che aiuti a costruire una cultura di maggiore consapevolezza dei rischi cyber nell’operatività quotidiana, attraverso formule molto più coinvolgenti e incisive.
Prevenire non basta
In un contesto di stime crescenti degli attacchi, la prevenzione è sicuramente un elemento chiave per ridurre i rischi, ma le attività del Security Operation Center da solo, per quanto importanti, non sono sufficienti a difendere le aziende da attacchi di questa portata. Secondo la survey EY, soltanto il 19% delle organizzazioni in Italia coinvolge le divisioni di sicurezza informatica fin dalle prime fasi di disegno delle nuove iniziative di business o tecnologiche, allo scopo di comprendere i relativi rischi di sicurezza e individuare le misure di protezione più adeguate; inoltre, il sondaggio evidenzia un utilizzo limitato (soltanto l’1% per le aziende in Italia) di strumenti a supporto della sicurezza delle applicazioni, che le best practice indicano tra le principali misure da adottare in un approccio di Security By Design.
La strategia della Security by Design
L’approccio Security by Design consente di indirizzare gli interventi di sicurezza in modo proattivo, pragmatico ma nello stesso tempo strategico, affrontando la valutazione del rischio e la sicurezza sin dall’inizio di ogni nuova iniziativa: questo approccio non vede i CISO come ostacoli ai processi di business bensì come abilitatori dell’innovazione.
Dalla Business Continuity alla Operational Resilience
Infine, proprio lo scenario di pandemia che tutte le organizzazioni hanno dovuto affrontare in questi mesi ha consentito di sperimentare l’importanza dell’Operational Resilience, che superi il tradizionale approccio della Business Continuity, per andare verso un concetto più ampio di continuità di servizio, che tenga conto anche degli impatti su clienti, terze parti e istituti finanziari, in un periodo di tempo prolungato, durante il quale le modalità operative cambiano e si aggiornano continuamente. La vera sfida dei prossimi anni sarà cogliere questa crisi come un’opportunità di evoluzione dal modello attuale di Business Continuity verso un approccio integrato di Operational Resilience, che consenta di prevenire, adattarsi, rispondere e imparare dalle situazioni di crisi.
