Eruzione vulcano Ruang: massima allerta in Indonesia anche per tsunami
Eclissi solare totale: il Nord America, il palcoscenico privilegiato
Ue: 5 indagini sulle Big Tech per verificare la loro conformità al DMA
La cybersecurity non è uno scenario statico ma un orizzonte in continuo mutamento e per affrontarla servono esperti altamente qualificati, ma anche la consapevolezza condivisa di ciò che serve oggi per difendere dagli attacchi una infrastruttura digitale. Lo scrivono a chiare lettere Lucia Lucchini e Vittoria Durazzano su Fortune Italia, in un articolo in cui spiegano come si sta passando dalla difesa preventiva alla difesa dinamica e proattiva.
Lucia Lucchini, già premiata da Forbes, è tra le 30 donne più influenti al mondo in cybersecurity secondo la classifica di The Female Quotient, e insieme a Vittoria Durazzano di Deloitte Italia ha delineato un quadro dei rischi più variegato rispetto a quello che era la cybersecurity alcuni anni fa.
Secondo le due esperte, la iper-digitalizzazione ha messo in crisi il concetto di infrastruttura critica: mentre prima si distingueva tra le infrastrutture critiche e le altre per la difesa dagli attacchi cyber, oggi la moltiplicazione delle correlazioni tra tecnologie, applicazioni e processi, ha portato a forti interdipendenze tra le infrastrutture digitali e alla proliferazione di rischi condivisi. “Nelle analisi delle supply chain, non si parla più di mettere in sicurezza solo le terze parti, ma addirittura di quarte, quinte e seste parti che, spesso e volentieri, sono molto lontane da quello che, fino a oggi, abbiamo definito infrastruttura critica”. L’esistenza di questa super maglia digitale che collega tutto e tutti è, secondo Lucchini e Durazzano, ciò che mette in discussione la possibilità di individuare infrastrutture o componenti critiche, dal momento che si passa da un concetto di struttura individuata a un concetto di rete.
Parlare di cybersecurity significa parlare del funzionamento e della stabilità di un Paese, ma anche della sicurezza e del benessere delle persone e delle imprese. “Prendiamo ad esempio i servizi di messaggistica istantanea, utilizzati dalla maggior parte della popolazione globale per comunicare. Immaginiamo che un servizio di questo genere sia utilizzato per comunicare con gli operatori di manutenzione di una centrale elettrica e che lo stesso servizio sia necessario per l’autenticazione a due fattori, best practice e ampiamente adottata per aggiungere un ulteriore livello di sicurezza nell’accedere a determinati sistemi. Sempre in una centrale elettrica, l’autenticazione a due fattori potrebbe essere usata per entrare in un pannello di controllo. Se l’applicazione di messaggistica fosse soggetta a indisponibilità, come per esempio è successo a Whatsapp per sei ore nel 2021, lo sarebbero anche i servizi che ne dipendono. In caso di un’emergenza, la centrale elettrica non sarebbe in grado di accedere ai sistemi che ne permettono il funzionamento o di comunicare con un manutentore. Il tempo fermo della centrale potrebbe a sua volta avere grandi ripercussioni in una serie di altri ambiti - come i servizi sanitari e di emergenza - essenziali per il funzionamento di un Paese.”
Le due esperte di cyber risk proseguono con altri esempi significativi, come la facilità con cui la rappresentazione della realtà di Google Maps può essere compromessa: “Un artista tedesco, Simon Weckert, con un carretto a mano e 99 telefoni accesi, è riuscito a creare un ingorgo su uno dei ponti principali di New York, ingorgo che però esisteva solo su Google Maps. L’artista è stato in grado di rendere “rossa” una strada “verde”, che ha guidato le auto su un altro percorso per evitare di rimanere bloccate nel traffico.” Perché una tale manipolazione è pericolosa? “Basti pensare all’impatto che potrebbe avere dirottare e, dunque, rallentare la distribuzione di beni di prima necessità sull’economia di un Paese. Inoltre, l’alterazione dell’assetto territoriale di una zona potrebbe creare le condizioni per un impatto fisico.” Ciò significa che i servizi critici non sono più soltanto quelli percepiti come tali, ma anche quelli che hanno il potenziale di alterare l’essenziale funzionamento della società.
Come sempre accade, l’evoluzione delle nuove tecnologie e delle loro applicazioni precede lo sviluppo normativo che mira a regolamentarle. Su questo versante, Lucchini e Durazzano citano il Regolamento Ue 2022/2554, ovvero il Digital Operational Resilience Act (DORA), che è il nuovo regolamento per la resilienza delle entità finanziarie dell’Unione Europea. Le due esperte scrivono: “Il DORA introduce il concetto di rischio di concentrazione legato alle terze parti e infatti si applica non solo alle entità del settore finanziario, ma anche a quelle terze parti, considerate critiche, che forniscono servizi a queste entità, come per esempio fornitori cloud o di data analytics. Le terze parti critiche saranno designate come tali basandosi su logiche legate al potenziale impatto sistemico che un’interruzione del funzionamento di tali entità potrebbe avere sulla fornitura di servizi finanziari. In questo passaggio, quindi, emerge per la prima volta, a livello normativo, la necessità di avere una visione meno rigida e più fluida di ciò che effettivamente risulta critico per il funzionamento e il benessere di uno stato.”
Data la complessità della iper digitalizzazione e l’esempio fatto sulla debolezza dei servizi di messaggistica istantanea come Whatsapp, dovremmo allora considerarli critici a priori? Per Lucia Lucchini e Vittoria Durazzano non è così: “Sarebbero solo alcune componenti abilitanti ad essere considerate come tali (cioè critiche, ndr), in base all’uso che ne può essere fatto e nei casi in cui potrebbero fornire servizi critici. Ad oggi, un’infrastruttura designata come critica è soggetta ad una serie di obblighi normativi che definiscono dei controlli aggiuntivi richiedi proprio per salvaguardare la natura critica della stessa. Tali obblighi si basano su una prospettiva di sicurezza basata sulla prevenzione degli attacchi. Ad esempio, per quanto possa sembrare una banalità, a chi opera in una centrale elettrica potrebbe essere richiesto di cambiare la password degli operatori ogni mese, cosa che, per legge, non verrebbe invece richiesta ai dipendenti di un centro commerciale. Tuttavia, le minacce sono in continua evoluzione, gli attacchi cibernetici possono partire da attori diversi, grandi gruppi hacker parastatali o singoli individui, in grado di causare piccoli o grandi danni, con un grado di sofisticatezza tale da renderli inevitabili.”
Ecco perché quindi le strategie di prevenzione vecchia maniera non sono più sostenibili per una vera difesa dagli attacchi cyber, difesa che deve essere necessariamente dinamica e proattiva. “Appare evidente che l’esercizio di compliance, come ad esempio, cambiare la password mensilmente, da solo non sia più in grado di affrontare molte delle sfide che un’infrastruttura digitale più interoperabile e interconnessa comporta.” I nuovi approcci al rischio - secondo Lucchini e Durazzano - richiedono la capacità di identificare nuovi scenari di minaccia basati su una profonda comprensione delle diverse tipologie di rischio a cui può essere soggetta un’entità o un intero settore. Anche la valutazione cambia: “Invece di essere valutato in silo, è di vitale importanza espandere la valutazione di rischio cibernetico per comprendere anche le intersezioni tra i diversi domini di rischio, come ad esempio quelli geopolitici, normativi, ambientali e sociali.”
Nell’evoluzione dalla difesa preventiva alla difesa dinamica e proattiva, basata sulla resilienza, Lucia Lucchini e Vittoria Durazzano spiegano che non si tratta di buttare via la cultura della prevenzione del rischio cyber, ma che oggi a questa attività si associa spesso quella di intelligence, ovvero di raccolta delle informazioni utili per comprendere il panorama delle minacce a cui una determinata infrastruttura è soggetta. “E’ necessario anche promuovere una cultura che vada oltre la singola entità, e di condividere invece informazioni tattiche e strategiche all’interno di un settore. Questo permetterebbe di abilitare quella che viene definita shared situational awareness, ovvero la capacità di un ecosistema di avere una visione olistica delle minacce e delle vulnerabilità quasi in tempo reale, migliorando così la preparazione prima, la capacità decisionale durante e l’attuazione di misure correttive dopo eventuali attacchi cibernetici e incidenti imprevisti.”
Grazie a questo livello di consapevolezza si possono “condurre simulazioni e stress test cibernetici, basati sulle minacce reali”, che permettono alle aziende di capire in modo effettivo qual è il loro livello di resilienza e di individuare in modo proattivo tutti i possibili rischi. “Condurre questo tipo di esercizi a livello settoriale coinvolgendo le diverse parti legate all’infrastruttura, permetterebbe inoltre di identificare e ridurre in modo tempestivo vulnerabilità condivise - altrimenti ignote - che minacciano la stabilità di interi Stati. In questo, assicurare la resilienza cibernetica è il passo più importante per garantire l’opportunità di progresso tecnologico ed evoluzione tecnico-organizzativa.”