Gli ultimi mesi hanno portato, alla ribalta della cronaca, un’evidente inadeguatezza della postura di sicurezza (non solo cyber) del nostro Paese. Prima che si spenga la luce appare necessario, sul piano istituzionale, porre in campo azioni pragmatiche e con tolleranza zero, in molti settori dove le informazioni sono più delicate che in altri.

La protezione delle informazioni bancarie, giudiziarie, di polizia e delle telecomunicazioni – giusto per fare alcuni esempi – è una sfida cruciale nel panorama odierno della sicurezza. Il problema, come già indicato da diversi commentatori, non è solo strettamente cyber, in quanto gli attacchi sono stati caratterizzati da una ricerca incessante e aggressiva di informazioni confidenziali, condotta attraverso un approccio ibrido, ovvero sfruttando sia attacchi dall’esterno sia, in modo più complesso da identificare, coinvolgendo utenti interni. Questa combinazione di minacce ha reso ancora più difficile proteggere i dati, dimostrando l’insufficienza dei modelli di sicurezza tradizionali e la necessità di adottare strategie più sofisticate e multilivello per fronteggiare tali pericoli.

La risposta a questi casi non può essere solo un approccio formale, ma serve una progettualità pragmatica, culturale, con investimenti anche in termini di competenze e non solo economico-finanziari. Sul piano cyber, le soluzioni esistono da molto tempo. Solo per citare alcuni esempi, sarebbe necessario applicare un modello “zero trust”, un anomaly detection, l’autenticazione multifattore per accedere ai dati (non la semplice password di otto caratteri, come spesso avviene) e un monitoraggio attivo. L’ultimo punto, in particolare, se opportunamente progettato, può ridurre sensibilmente il rischio rappresentato dai cosiddetti “insider”, ossia individui interni all’organizzazione che, in modo intenzionale o per errore, possono compromettere la sicurezza dei dati.

Schematizzando, per comodità, porrei l’attenzione su almeno cinque punti progettuali di particolare efficacia.

Primo: l’autenticazione basata su password è un approccio ormai obsoleto

Uno dei problemi principali che affliggono ancora oggi molte organizzazioni, incluse quelle che gestiscono banche dati critiche, è l’uso esclusivo delle password come metodo di autenticazione. Nonostante i progressi tecnologici e la crescente sofisticazione delle minacce informatiche, molte istituzioni continuano a fare affidamento su questo approccio, che si dimostra sempre più vulnerabile. Le password sono facili da indovinare o rubare, e possono essere sottratte attraverso attacchi di phishing, brute force, o malware. Inoltre, il riutilizzo delle stesse credenziali su più piattaforme aumenta notevolmente i rischi di compromissione.

Per mitigare questi rischi, è ormai indispensabile che le organizzazioni adottino soluzioni più avanzate come l’autenticazione multifattore. Essa richiede l’utilizzo di più fattori per verificare l’identità dell’utente, come una password, un’app di autenticazione o verifiche biometriche. Questo approccio rende molto più difficile per gli attaccanti ottenere accessi non autorizzati, anche nel caso in cui siano in possesso delle credenziali di un utente.

Siamo all’evidente stortura secondo cui il cittadino, per accedere ai propri dati, deve utilizzare lo Spid, mentre allo stesso tempo alcuni titolari fanno utilizzare le password mnemoniche per accedere alle stesse tipologie di dati, in modo massivo.

L’utilizzo di sistemi più complessi di accesso, vista la diffidenza nel rendere più scomodo il lavoro di alcuni addetti ai lavori, potrebbe essere oggetto di obbligo normativo, anche con un “semplice” provvedimento ad hoc in modalità congiunta tra Agenzia per la cybersicurezza nazionale e Garante Privacy.

Secondo: applicare il modello “zero trust”

Per contrastare efficacemente le minacce esterne e interne, le organizzazioni più sensibili, identificate con riferimento alla delicatezza delle loro banche dati e non solo come infrastrutture critiche, dovrebbero adottare il modello “zero trust”. Questo paradigma di sicurezza si basa su un principio fondamentale: “non fidarsi mai di nessun’entità”, interna o esterna alla rete, senza verificarne l’identità e le intenzioni. Ogni richiesta di accesso deve essere autenticata e autorizzata in modo rigoroso, e gli utenti, anche se interni, devono essere continuamente monitorati.

Il modello “zero trust” prevede una segmentazione rigorosa della rete, che limita i movimenti laterali all’interno del sistema. Questo significa che anche se un attaccante (o un insider) riesce a compromettere un nodo della rete, non potrà facilmente accedere ad altre risorse critiche. Ogni utente ha accesso solo alle risorse strettamente necessarie per il proprio ruolo, secondo il principio del minimo privilegio.

Terzo: monitoraggio attivo e insider threat

Oltre a quanto già indicato, è essenziale adottare sistemi di “monitoraggio attivo”, che permettano di rilevare tempestivamente comportamenti anomali all’interno della rete e dei dati. L’anomaly detection, basata su intelligenza artificiale e machine learning, consente di identificare attività sospette o anomale. Questo approccio consente sia l’identificazione di casi in cui ci siano degli esterni che, più complesso, quando gli accessi sono compiuti da interni per motivazioni più disparate. 

Gli insider, infatti, per loro natura godono di accesso autorizzato ai sistemi. Questo rende difficile per i sistemi di sicurezza tradizionali rilevare attività sospette. Le organizzazioni dovranno quindi adottare strumenti avanzati di monitoraggio e controllo per prevenire l’abuso di accessi legittimi e rilevare eventuali comportamenti anomali.

Anche qui, la normativa o meglio ancora un provvedimento ad hoc potrebbe indicare meglio queste attività le quali, a oggi, non sono obbligatorie con assiduità ma sono previsti controlli saltuari e – come dimostrato dai fatti – poco efficaci, per le minacce presenti nella cronaca recente.

Quarto: tecniche di data loss prevention

Il data loss prevention è un insieme di pratiche, tecnologie e strumenti progettati per prevenire la perdita, il furto o l’uso improprio dei dati sensibili all’interno di un’organizzazione. L’obiettivo principale è proteggere le informazioni critiche (come dati personali, finanziari o proprietà intellettuale) da accessi non autorizzati o fuoriuscite non intenzionali, sia che tali dati siano in uso, in movimento o a riposo.

Il caso d’uso più utile è, come facile intuire, il monitoraggio dei dati in movimento. Tale approccio consente quindi di controllare e ispezionare i dati che lasciano la rete aziendale, specialmente via e-mail, cloud storage e dispositivi Usb.

A oggi, purtroppo, sono ancora relativamente poche le organizzazioni che hanno implementato queste tecniche, nonostante gli evidenti vantaggi rispetto alle minacce più recenti di data breach.

Quinto: checkup nazionale sulla cybersecurity e sulla sicurezza dei dati

Alla luce delle recenti violazioni (e non solo per questo), diventa sempre più evidente la necessità di un “checkup nazionale sulla cybersecurity e sulla sicurezza dei dati”, in particolare dei trattamenti e delle banche dati critiche. Le autorità nazionali dovrebbero promuovere, a parere dello scrivente, un censimento attivo e una verifica sistematica e periodica della sicurezza delle banche dati, per garantire che tutte le organizzazioni siano conformi alle migliori pratiche e agli standard più recenti.

Questo checkup nazionale dovrebbe comprendere audit completi sulla sicurezza, condotti con il supporto di terze parti, per valutare l’efficacia delle misure di protezione adottate e identificare eventuali vulnerabilità. Le autorità competenti, come il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale, dovrebbero supervisionare queste verifiche e assicurarsi che le organizzazioni adottino tecnologie avanzate come l’autenticazione multifattore, “zero trust” e l’anomaly detection et similia.

Oltre a promuovere l’adozione di tecnologie avanzate, le autorità nazionali, come già indicato in precedenza, dovrebbero stabilire linee guida chiare e obbligatorie per la protezione di questi dati e, se del caso, imporre sanzioni severe alle organizzazioni che non rispettano gli standard di sicurezza, incentivandole così a investire nella protezione delle loro risorse.