Con una crescita costante degli attacchi informatici anche nel 2022, le infrastrutture delle aziende italiane sono sempre più soggette a offensive di natura informatica. Va riconosciuto però che il nostro Paese ha fatto importanti passi avanti, con la costituzione dell’Agenzia per la cybersicurezza nazionale (ACN) nel 2021 e con la pubblicazione dell’ultima Strategia nazionale di cybersicurezza. Lo ha confermato in novembre lo stesso Segretario generale della Nato, Jens Stoltenberg, che intervenendo alla Cyber Defence Pledge Conference 2022 di Roma ha definito l’Italia un “esempio di difesa informatica” da seguire.
Quale è oggi il quadro della sicurezza informatica nostrana? I tempi sono quindi più maturi per quanto riguarda la protezione delle risorse critiche? Ne abbiamo parlato in questa intervista con Paolo Lossa, country sales director di CyberArk Italia, e Massimo Carlotti, solutions engineering team lead di CyberArk Italia.
Paolo Lossa. Dal nostro punto di vista, la situazione ha luci e ombre. Da un lato c’è una consapevolezza molto più ampia sul tema della criticità raggiunta dalla cybersecurity, che è stata istituzionalizzata, prima con l’avvio dell’Agenzia di cybersicurezza nazionale, poi con la messa in campo di un piano strategico che fissa linee guida da qui al 2026, facendo anche leva sulla disponibilità dei fondi Pnrr per finanziare l’attività dell’agenzia e dei centri di certificazione.
Con l’obiettivo dichiarato di realizzare la necessaria capacità di risposta, ma anche di accrescere l’autonomia strategica del Paese in ambito cybersecurity, sono arrivate iniziative e supporti di natura finanziaria che puntano a colmare il gap rispetto ad altre nazioni. Abbiamo visto che il Polo Strategico Nazionale (Psn) è partito molto bene, sia come dote finanziaria sia come soggetti coinvolti. C’è poi un tema che viene ribadito spesso, quello della collaborazione tra enti pubblici e privati, uno degli elementi fondanti per consentire al Paese di fare salti quantici nella cyber resilienza. Va detto che in realtà ciò sta avvenendo, anche se tra le aziende si rilevano livelli di interazione con la Acn molto differenziati: in alcune realtà sono frequenti o addirittura quasi quotidiani, in altre meno. Sicuramente se l’organizzazione è parte del perimetro critico, allora questa interazione – più o meno frequente – deve esserci.
Dall’altro lato, continuiamo a vedere che la dimensione degli investimenti, soprattutto rispetto ai Paesi d’oltralpe, è dell’ordine di uno a quattro. Il problema è che il nostro tessuto aziendale è costituito principalmente da realtà di dimensione medio-piccola, società che fanno molta fatica per rimanere in linea con necessità tecnologiche, di processo e di competenze, indispensabili per rendere l’azienda cyber resiliente. Se questo caratterizza la clientela, lato offerta l’intera catena del valore si è organizzata di conseguenza. Ad esempio, noi come fornitore di soluzioni di cybersecurity spingiamo in modo particolare i servizi in cloud, che anche un’azienda media riesce ad attivare in modo veloce. L’integratore invece, seguendo questo trend, diventa un gestore di servizi. Lo stesso programma del Psn prevede espressamente che tutti dati delle pubbliche amministrazioni italiane vadano in cloud, presso una terza parte essa stessa italiana, che garantisca maggiore controllo e autonomia.
Negli ultimi anni si è aperto il vaso di Pandora. L’esplosione della digitalizzazione durante la pandemia ha lasciato aperti molti problemi, soprattutto nelle grandi aziende, in cui è rimasto molta molta tecnologia legacy a cui si è sommato il cloud. Ora serve riuscire a gestire in modo efficace una situazione di cloud ibrido, mettere in sicurezza infrastrutture molteplici che si sono stratificate.
Paolo Lossa, country sales director di CyberArk Italia
Nella situazione attuale, a quali aspetti le aziende devono prestare maggiore attenzione?
Paolo Lossa. Soprattutto le grandi aziende, che rappresentano poi la nostra principale clientela, rientrando nel perimetro cibernetico sono sottoposte ad audit e compliance più stringenti, devono essere in grado di dare risposte entro certi tempi soprattutto per incidenti gravi. Le sfide fondamentali che queste realtà stanno affrontando in tema di cybersecurity sono tre.
La prima è data dal fatto che, con la proliferazione dei modelli operativi con cui si consumano IT e applicazioni, in cloud e non, le grandi aziende hanno la percezione di un’enorme frammentazione della propria organizzazione. A noi capita di parlare dei temi della cybersecurity con persone delle operations, con chi si occupa del cloud, con il Ciso o le sue persone, che a loro volta rispondono al board o al Cio. In questi casi, vediamo molte entità con le rispettive risorse che hanno obiettivi non convergenti o linguaggi che non collimano.
Il secondo problema è dato dalla numerosità delle identità digitali, e non parliamo solo di quelle umane, che sono oggi minima parte del numero complessivo. Dalle nostre analisi emerge come le macchine (il back-end che parla con il front-end, la robotic process automation, gli oggetti IoT) sovrastino le identità umane di un fattore che arriva anche facilmente a “45 a 1”. Questa proliferazione esponenziale delle identità è una seconda sfida molto importante nelle grandi aziende.
Il terzo punto critico è dato dal fatto che, mettendo insieme tutto – identità che esplodono, frammentazione organizzativa, tool diversificati e a silos, comprati nei decenni, gestiti da team diversi – vediamo una difficoltà molto grande di queste aziende nel riuscire ad automatizzare questo cloud ibrido con piattaforme che consentano di unificare le policy, in definitiva, per avvicinare l’azienda a logiche zero trust.
Massimo Carlotti. Metterei in evidenza due aspetti ulteriori. Oggi nelle aziende italiane, prima ancora che le norme, è la stessa realtà dei fatti, gli incidenti, i problemi che sorgono, a imporre una nuova attenzione ai temi della cybersecurity. Molte analisi confermano come l’Italia sia tra i principali bersagli degli attaccanti. Le aziende devono quindi fare i conti con questa situazione. Sul fronte dell’evoluzione tecnologica, sicuramente altri Paesi sono partiti prima: da noi quello che vediamo è una drammatica mancanza di risorse e competenze. A questo si aggiunga che la fretta è una pessima consigliera. Scelte poco oculate, disorganiche, portano a una frammentazione di approcci e quindi a una minore efficacia finale.
La sicurezza che si può ottenere sommando “enne” soluzioni non è detto sia corrispondente alla loro somma. Vediamo uno scenario in cui le aziende si affannano a introdurre la trasformazione digitale, il cloud, le nuove tecnologie, l’automazione, senza rendersi conto che così proliferano le identità non umane non gestite. La casa costruita troppo in fretta ha punti di fragilità e il timore è che, a lungo andare, possa esserci un cedimento.
Un esempio su tutti: il cloud. Molte aziende sono partite con grande entusiasmo, ma senza un corrispondente livello di competenza per gestire queste risorse. Se, colpevole l’inesperienza, mi faccio prendere la mano, uno dei problemi è quello dell’over-permissioning: oggi vediamo piattaforme cloud con migliaia di permission, date a tutti perché in questo modo non si fermano le operations. Però, per evitare rallentamenti, si introducono problemi di sicurezza anche gravi. Poi queste aziende, quando pagano pegno, provano a tornare indietro, ma correggere quanto già realizzato è più faticoso, meno efficiente e comunque rimane il rischio che nelle correzioni qualcosa sfugga. Insomma, il contrario del mantra della security by design.
Quali sono oggi le priorità di cybersecurity, i punti minimali da considerare? E in ottica evolutiva, guardando agli sviluppi dei prossimi anni?
Massimo Carlotti. Per quello che vediamo, c’è stata una forte presa di conoscenza sul tema dell’identity security, a tutto tondo, anche in termini di norme e servizi al cittadino. Secondo noi l’identità è il punto nodale su cui convergono tutta una serie di tematiche legate alla protezione delle risorse, l’erogazione di un servizio, l’accesso a piattaforme cloud. L’identità è il punto di transito di tutto questo, un punto centrale di tante attività; quindi, deve essere anche un punto di controllo cruciale. Non è detto che sia il tema di sicurezza più importante o unico, sicuramente però è un elemento molto critico.
Questa criticità si estende ulteriormente in due direzioni. Da un lato, non si può più parlare di identità pensando solo agli esseri umani, perché abbiamo le identità delle macchine, di bot, applicativi, automi. Dall’altro lato, parlando di interlocutori umani, ci si è resi conto – scottandosi seriamente su questo tema – del fatto che molti dipendenti, non necessariamente persone tecniche, hanno un valore importante per la sicurezza dell’azienda. Tradotto: se considero quello che può fare sui sistemi aziendali un Cfo, un responsabile della logistica o dell’ufficio acquisti, vedo che questi utenti hanno un livello di importanza e di privilegi che li rende interlocutori critici. È fondamentale quindi mettere in sicurezza la loro attività. Gli schemi di security vanno estesi all’attività degli utenti, ma senza impattarli nell’operatività: bisogna evitare rallentamenti ed inefficienze, trovando il giusto equilibrio tra user experience e sicurezza. Infine, ma non da ultimo, tutti gli utenti devono essere consapevoli di essere un punto di fragilità per la loro azienda: servono quindi campagne di awareness continuative, l’addestramento delle persone non può esaurirsi in un corso.
Massimo Carlotti, solutions engineering team lead di CyberArk Italia
Paolo Lossa. Le aziende hanno bisogno oggi più che mai di bilanciare le necessità del business, ossia permettere di accedere alle risorse in modo smart e rapido, introducendo strumenti di controllo il più possibile automatici, per garantire un livello di sicurezza adeguato.
Il tema dell’identità è in questo momento una priorità, per ottenere un livello importante di cyber resilienza, ma vanno considerate identità umane e non umane, e non si può contare su un numero esponenziale di risorse nell’organizzazione. Una strada che raccomandiamo è quella di individuare le competenze già in azienda, per ridurre in modo significativo l’inserimento di ulteriori risorse in ambito IT, risorse che non si trovano e hanno costi elevati.
Un’altra priorità è oggi individuare tutte le identità, in particolare segreti e credenziali, e dove serve rimuoverli dai dispositivi. Poi servono meccanismi e modalità just-in-time per implementare soluzioni in cloud. Terzo, l’automazione dell’intero ciclo di gestione delle identità. Evitare l’over-permissioning, rimuovere i permessi non inutilizzati, sia on-prem sia soprattutto in cloud, avere un de-provisioning efficace degli account. I tool automatizzati danno benefici enormi, bisogna evitare di fare tutto in modalità manuale spendendo moltissimo in risorse. Quindi, mantenere una buona sicurezza e ridurre i rischi, a costi accettabili.