Sembra, leggendo le notizie di questi giorni, che non ci siano difese. A meno di disinstallare le applicazioni che al momento non hanno pronta una correzione ad un grave buco di sicurezza, scaricarsi vari anti-malware e farli girare sui computer con la speranza che il responso sia positivo: ”nessun virus”. Salvo poi, come la letteratura narra, scoprire di avere il troiano installato e funzionante da tempo…
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.In effetti, non abbiamo forse visto che aziende ed organizzazioni internazionali, che non hanno teoricamente limiti negli investimenti e nella creazione di difese sofisticate, sono state anche recentemente gravemente colpite? Qualcuno può dire che i casi più recenti (governo americano, la borsa di Wall Street, ecc.) probabilmente hanno visto impegnato un paese estero il quale, pertanto, è organizzato e strutturato proprio per queste azioni.
“Perché un governo estero dovrebbe avercela con la mia, una medio piccola azienda?”, si può domandare l’imprenditore. Certamente, se l’azienda non partecipa a importanti gare d’appalto, non esporta meccanica di precisione ad una nazione che è o potrebbe essere nella black list di qualche altra, non sta progettando brevetti, non è leader di mercato, e così via, perché dovrebbe preoccuparsi?
Un esperto, però, ribadirebbe immediatamente che i software, utilizzati anche nelle lotte tra diverse nazioni, alla fine vengono resi noti e messi a disposizione di criminali ed altri loschi figuri interessati a guadagni illeciti o a colpire determinati obiettivi che, ad esempio, rappresentano un rischio o una minaccia alle proprie idee.
Ciò detto, bisogna pensare a rispondere alla domanda iniziale, più che lecita, “Come fare?”.
La riflessione che desidero sottoporre è la seguente: è giusto e doveroso affrontare investimenti in software e strumenti atti a proteggere la rete ed i propri beni (sistemi, dati, applicazioni, eccetera), ma ciò non è sufficiente se non preceduto ed accompagnato da azioni mitigatrici che siano commisurate all’impatto dei possibili danni derivanti dall’interruzione prolungata nei servizi, o nella produzione o dalla perdita di informazioni e dati riservati.
Queste azioni, alle quali mi riferisco, si devono concentrare nella scelta di un approccio che abbracci l’intera organizzazione: con i suoi stakeholder, con la sua missione, con le politiche (reali), con i suoi obiettivi a breve, medio, lungo termine, ma soprattutto che consideri a fondo le persone. Queste sono coloro che consentono di applicare le conoscenze e i prodotti di sicurezza in maniera efficace ed efficiente.
Le persone sono il vertice aziendale, il management, i collaboratori, le famiglie dei dipendenti, i consulenti, i fornitori, i clienti, e così via. Nessuno va trascurato.
Con ciò voglio dire che i prodotti di sicurezza, se inseriti in un’azienda che non ha riflettuto su se stessa e non ha capito come applicare le conoscenze in maniera tale che siano correttamente utilizzate, e che i comportamenti interni siano commisurati ai rischi, rischiano di essere un investimento inutile e, non solo, capace infatti spesso di ingenerare un erroneo ottimismo. In questi casi difficilmente troveremo che le persone sono state adeguatamente sensibilizzate ai pericoli; troveremo invece che la sicurezza non è embedded nelle applicazioni, nei processi operativi, nelle architetture e nei comportamenti.
In molti casi troveremo anche che una puntuale analisi dei rischi ha escluso come altamente improbabile che l’azienda possa essere oggetto di un attacco cyber grave o addirittura persistente (cfr. ad esempio le motivazioni sopra riportate); pertanto, ciò ha generalmente condizionato le scelte limitative adottate.
In molti casi troveremo che le attività di sensibilizzazione del personale, chiamate awareness negli standard, sono consistite nella diffusione di una brochure, e/o di depliant, foglietti, notizie su intranet, qualche sessione in aula dove un tecnico ha parlato in “tecnichese” a gruppi di operatori distratti, mentre i loro capi erano giustamente indaffarati a lavorare.
Ci vogliamo poi stupire se l’azienda è stata attaccata, o comunque ha perso delle informazioni riservate o, ancora peggio, ha alcuni server sotto osservazione da parte di un command and control center remoto che sta copiando tutto ciò che può interessare uno o più committenti?
Il bello è che se l’azienda viene interrogata sul suo livello di resilienza risponderà che ha fatto tutto ciò che deriva da una corretta, puntuale e profonda periodica analisi dei rischi ICT. Oltretutto in linea con la ISO 27001!
A queste aziende io suggerisco di affrontare la protezione dei propri dati così come viene affrontata la continuità del proprio business, applicando la metodologia di business continuity.
Desidero ricordare, a chi non lo sa, che la continuità operativa suggerisce di partire da un’analisi di impatto delle conseguenze del verificarsi di un possibile evento malevolo. I danni conseguenti devono essere messi in raffronto con il proprio appetito al rischio (risk appetite) e da lì capire ove sono i processi, le attività e i dati di maggiore criticità sui quali ci si deve concentrare.
La continuità operativa non dice di proteggere tutto, duplicare tutto, raddoppiare qualsiasi cosa, ma dice di concentrarsi nella creazione delle misure di limitazione dei possibili danni, vuoi in maniera preventiva, vuoi con misure efficaci di intervento all’occorrenza di un eventuale incidente, e solo su queste aree, altamente critiche, concentrare i propri sforzi.
Concludo con una ulteriore riflessione sulla sensibilizzazione del personale, ricordando che tale attività va pianificata con attenzione e solo dopo che si è certi di aver ragionevolmente capito l’organizzazione “reale”, le persone che popolano gli uffici e la fabbrica con le loro motivazioni, ideali, abitudini, atteggiamenti, percezioni. Solo allora si potranno progettare, pianificare ed eseguire delle attività mirate a degli opportuni cluster di persone, in modo tale da rendere più efficienti possibile gli strumenti installati e limitare al massimo comportamenti che potrebbero aiutare sia software malevoli casuali, sia soprattutto eventuali attacchi mirati.
Solo allora l’azienda può dire di aver fatto tutto il possibile per difendere gli stakeholders e la continuità del business.