Le aziende e i governi fanno abbastanza per proteggersi dalle cyber minacce? Non sempre, secondo Rashmi Knowles, Chief Security Architect Emea di Rsa, la divisione sicurezza di Emc, che in una conversazione con Formiche.net dichiara che non tutte le organizzazioni hanno ancora capito quanto le cyber minacce siano reali né quali siano gli strumenti più adatti per difendersi.
Secondo lei quali sono i principali rischi da tenere d’occhio?
Uno dei maggiori rischi, a volte sottovalutato, è la minaccia che arriva dall’interno: da un dipendente poco accorto o da credenziali di dipendenti che sono state rubate e che gli hacker usano per introdursi in reti e sistemi aziendali. I punti su cui la cyber strategia delle imprese può migliorare è il monitoraggio costante del malware, che è in continua evoluzione: più dell’80% degli attacchi ancora oggi è basato su vecchie vulnerabilità mai affrontate. Importante anche la definizione delle priorità: è vero che tutti gli asset sono importanti, ma ce ne sono alcuni che lo sono di più e la cyber difesa deve iniziare con la protezione robusta per dati e sistemi che sono strategici, cruciali. È bene anche evitare implementazioni di strategie a silos perché nelle linee di separazione tra un silos e l’altro si creano vulnerabilità.
Rsa sottolinea spesso che le aziende devono evolvere la loro strategia rispetto all’approccio puramente reattivo e che la prevenzione non basta. Insomma, è impossibile evitare l’attacco?
Al cento per cento è impossibile. Anziché cercare esclusivamente la prevenzione, siccome oggi gli attacchi sono molteplici e sofisticati, le aziende possono più efficacemente evolvere verso una strategia sfaccettata che non esclude la prevenzione ma la rafforza dando più spazio alle attività di monitoraggio e intelligence nonché di risposta. In un mondo fortemente digitalizzato, nell’era della mobilità pervasiva, del cloud, dei social network e della Internet of Things, che mette in rete qualunque oggetto, è impossibile pensare di diventare totalmente immuni agli attacchi.
L’attività di intelligence per lei è la chiave?
Sì, è la base. La cyber difesa è efficace se l’organizzazione ha visibilità su tutti i suoi asset: reti, sistemi, dati, operazioni. L’intelligence permette ad esempio di studiare i comportamenti degli utenti di un’organizzazione e di mettere in evidenza le anomalie: la behavioral analysis è uno degli strumenti più utili per difendersi dalle cyber minacce. Le faccio un esempio: la mia banca in Inghilterra ha scoperto e bloccato immediatamente l’uso fraudolento del mio bancomat analizzando le operazioni che venivano effettuate con la mia carta da qualcuno che l’aveva clonata. Conoscendo il tipo di acquisti che io faccio di solito, la banca ha capito che gli acquisti che venivano effettuati (francobolli, una carta telefonica per chiamare all’estero, apertura di un conto online) non corrispondevano al mio profilo e mi ha chiamato per verificare. Infatti, non ero io che avevo fatto quelle transazioni. Questo tipo di analisi è cruciale per le imprese per scoprire se le credenziali di un dipendente sono state rubate e vengono usate da un utente non legittimo per entrare nei sistemi interni. Di solito gli hacker compiono operazioni o transazioni che non sono quelle che l’utente che “impersonano” effettua di solito.
Se le aziende non hanno messo in atto queste strategie è perché non sono consapevoli dei rischi o perché non investono?
Sicuramente si può migliorare nel comprendere la realtà delle cyber minacce e nell’indirizzare i budget in modo più mirato non solo verso la prevenzione ma anche verso monitoraggio e risposta. Spesso le aziende spendono in sicurezza perché devono, per motivi di compliance, e oggi con le nuove regole europee sulla protezione dei dati saranno chiamate a farlo ancor di più, ma non si tratta solo di un problema di rispetto della legge, ma di protezione del proprio business: se la sicurezza è a rischio anche il business è a rischio. Oggi le aziende hanno compreso i rischi per l’It ma non sempre comprendono il legame tra It e business.
Quali gli obiettivi di una cyber difesa che funziona?
Il primo è abbattere il tempo necessario a scoprire se un estraneo si sta intrufolando nei nostri sistemi. Oggi i tempi di rilevamento di un’intrusione sono altissimi, anche mesi: devono scendere a ore. Una volta rilevata la minaccia, occorre saper gestire la risposta con un vero incident response plan. Pensi alle esercitazioni anti-incendio che si fanno in azienda: tutti sappiamo, quando suona l’allarme, come dobbiamo comportarci, a chi dobbiamo riportare e dove dobbiamo andare. Anche nel caso del cyber attacco deve essere così: come dobbiamo reagire, chi è responsabile della gestione della risposta? Per questo in RSA diciamo che la cyber difesa è questione sia di tecnologie sia di processi e persone.
Anche a livello di governi e amministrazioni pubbliche ci sono miglioramenti da fare per proteggere i dati dei cittadini o le infrastrutture nazionali?
Penso che le agenzie governative debbano imparare a considerarsi come delle aziende private e adottare strategie di cyber difesa analoghe: proteggere gli asset strategici e mettere in sicurezza i dati dei cittadini che sono i loro “clienti”. Con l’implementazione dei servizi di e-government di fatto le amministrazioni pubbliche diventano come delle imprese: non a caso molti dei cyber attacchi già oggi prendono di mira le agenzie governative. Questo mese sono stati pubblicati dall’Unione europea i testi del Regolamento e della Direttiva che aggiornano le norme europee sulla protezione dei dati. La Regulation è in vigore dal 24 maggio ma ci sono due anni per l’implementazione; lo stesso vale per la Direttiva: è in vigore dal 5 maggio, dovrà essere trasposta nella legge di ciascun paese membro entro il 6 maggio 2018. Si tratta di un importante banco di prova: tra le altre disposizioni, le aziende sono chiamate a monitorare gli incidenti cyber e a segnalarli entro 48 ore; anche la PA sarà chiamata a fare altrettanto.
