Come si trasformerà la cybersicurezza nei prossimi anni? Una domanda a cui è difficile rispondere, di fronte a un crimine informatico sempre mutevole e sempre più sofisticato, e considerando i processi di digitalizzazione che continueranno a modificare il modo in cui le aziende lavorano, e dunque il loro assetto tecnologico di infrastrutture e applicazioni. Ci ha provato McKinsey, a prevedere che cosa succederà in un orizzonte temporale di tre o cinque anni, e dalle analisi della società di consulenza sono emerse tre tendenze trasformative: l’intelligenza artificiale (sfruttata a piene mani anche dai “cattivi”), nuovi modi di accedere e di utilizzare i dati, e la proliferazione delle regole. Ciascuna di queste tendenze pone delle sfide che dovranno essere affrontate. O per dirla un po’ più drasticamente, come fa McKinsey, anche le tecnologie di cybersicurezza attualmente efficaci presto saranno obsolete, quindi è meglio agire d’anticipo invece di dover correre ai ripari all’ultimo minuto.
Accesso on-demand e dati distribuiti
Da diversi anni i dispositivi mobili e ’uso del cloud hanno incrementato l’abitudine, ma anche la necessità, di accedere ai dati in qualsiasi momento, da qualsiasi dispositivo, senza vincoli di tempo o di luogo e, soprattutto, rapidamente. Con lo smart working di massa, accelerato dalla pandemia, tutto questo è diventato più evidente. La produzione di dati “pro capite” continuerà a crescere e le aziende continueranno a raccogliere sempre più dati sui propri clienti o utenti, attingendo a fonti che spaziano dai social network alle transazioni dei pagamenti online. E saranno anche responsabili della protezione di questi dati. Tutto ciò alimenterà il mercato dei servizi di Web hosting che (come riportato da Fortune Business Insight) si prevede possa raggiungere nel 2026 un valore di 183,18 miliardi di dollari.
A detta di McKinsey, per affrontare il crescente rischio della perdita di dati, in ambienti IT sempre più dispersi e frammentati come quelli del lavoro ibrido, la migliore risposta è un’architettura zero-trust. Tale modello, su cui molti vendor stanno ricalibrando le proprie offerte, prevede una verifica continua dei diritti di accesso degli utenti che ne fanno richiesta. Le policy di gestione delle identità diventano più dettagliate, differenziando per esempio a quali dati aziendali un preciso utente possa avere accesso.
McKinsey sottolinea anche la necessità di usare l’analisi comportamentale e ci ricorda, se mai ce ne fosse stato bisogno, che all’interno delle aziende i dipendenti sono la vulnerabilità numero uno. Saranno preziose, in futuro ancor più di oggi, le soluzioni che impiegano gli analytics per monitorare le richieste di accesso a risorse IT, lo stato di salute dei dispositivi e i flussi di traffico. Solo definendo preventivamente i comportamenti “normali” di utenti o dispositivi è possibile identificare quelli anormali, intenzionali e non intenzionali. Gli strumenti di analisi comportamentale non solo aiutano a realizzare una gestione dell'autenticazione e degli accessi basata sul rischio, ma sono anche preziosi per il rilevamento e la risposta agli incidenti.
Ulteriori risorse tecnologiche saranno il monitoraggio “elastico” dei dati e la crittografia omomorfica. Sul primo punto, va detto che oggi i Big Data e i dati prodotti dall’Internet of Things, generando eterogeneità e frammentazione, complicano le attività di monitoraggio. Usando diverse piattaforme open-source in combinazione tra loro, però, diventa possibile estrarre i dati di log da qualsiasi collocazione, per poi centralizzarli e ottenere una visione d’insieme e in tempo reale. La crittografia omomorfica è, invece, una tecnologia che permette di lavorare con i dati crittografati, per esempio per eseguire dei calcoli: questo è utile se i dati devono essere usati da personale esterno o se l’azienda ha informazioni riservate che vuole mantenere tali.
Attacchi più rapidi grazie all’automazione e all’AI
L’impiego dell’intelligenza artificiale e di altri strumenti di automazione degli attacchi consente già oggi ai cybercriminali di diventare più rapidi, sfuggenti ed efficaci nel colpire. Nei prossimi anni, spiega McKinsey, il ciclo di vita end-to-end di un attacco, dalla fase di ricognizione a quella di exploit, diventerà ancora più breve. Inoltre le tecniche di AI e di apprendimento automatico consentiranno ai malware di modificare sé stessi e il loro funzionamento, così come già ha fatto, per esempio, il famigerato Emotet. Nel 2020, con il machine learning, ha utilizzato un processo automatizzato per inviare email di phishing contestualizzate che hanno intercettato altre email di minaccia . Un altro fenomeno facilmente prevedibile, citato nel report, sarà la crescita del ransomware, pronosticata peraltro un po’ da tutti i vendor di cybersicurezza e società di analisti. Similmente, continuerà ad aumentare il phishing, grazie al quale vengono rubati dati sensibili credenziali di accesso, oppure innescate varie forme di truffa.
A questi problemi McKinsey risponde con tre possibili soluzioni. Primo: usare l’automazione con un approccio basato sul rischio, cioè riservarla alle attività meno problematiche e di routine (come l’installazione di patch o la configurazione di risorse a basso ricschio) e conservare, invece, una supervisione “umana” sulle risorse e attività più rischiose. Secondo: utilizzare il machine learning e l’intelligenza artificiale per combattere gli attacchi con le loro stesse armi. Terzo: difendersi dai ransomware non solo con la tecnologia ma anche con i comportamenti e le procedure corrette, la cosiddetta “igiene cyber”.
Problemi di regole e di competenze
La terza tendenza segnalata da McKinsey è in realtà doppia. Innanzitutto, nei prossimi anni le regole che normano la condotta delle aziende in merito alla cybersicurezza continueranno a trasformarsi e anche a moltiplicarsi, e questo rappresenta una prima sfida. Le aziende dovranno rispettare requisiti di conformità sempre più rigidi e in proliferazione. Basti pensare che oggi esiste un centinaio di diversi regolamenti sul flusso di dati tra una nazione e l’altra.
In secondo luogo, le aziende patiranno la carenza di competenze interne e la difficoltà a reperire personale specializzato. “In generale, la gestione dei rischi informatici non ha tenuto il passo con la proliferazione delle trasformazioni digitali e di analytics, e molte aziende non sono sicure di come identificare e gestire i rischi digitali”, spiega McKinsey. “Ad aggravare la sfida, i regolatori stanno aumentando la loro attenzione sulle capacità di cybersecurity aziendale, spesso con lo stesso livello di supervisione e attenzione applicato ai rischi di credito e liquidità nei servizi finanziari e ai rischi operativi e di sicurezza fisica nelle infrastrutture critiche”.
In questo caso gli analisti di McKinsey consigliano di incorporare la cybersicurezza nelle competenze tecnologiche dei dipendenti aziendali, nonché nelle pratiche di sviluppo software (come prevede l’approccio DevSecOps). Per dotarsi delle ultime tecnologie, se anche non si possiedono competenze su come implementarle o gestirle, una buona risorsa è il modello “as-a-Software”, cioè il cloud, che tra l’altro come ben sappiamo offre vantaggi di scalabilità e automazione. McKinsey consiglia anche di diversificare i fornitori, in modo da ridurre l’esposizione a eventuali problemi di prestazioni o disponibilità. Inoltre, standardizzare e codificare l'infrastruttura e i processi di control-engineering può semplificare la gestione degli ambienti ibridi e multicloud e aumentare la resilienza del sistema (l’approccio cosiddetto infrastructure and security as code). Infine, per star dietro ai crescenti requisiti di conformità, McKinsey consiglia alle aziende di dettagliare formalmente tutti i componenti e le relazioni della catena di fornitura utilizzati nel software, realizzando una distinta dei materiali del software.