Le nuove sfide della sicurezza, tra cyberwar e cloud

Il conflitto russo-ucraino sta avendo importanti ripercussioni sui temi della sicurezza informatica, come emerso dai numerosi episodi che hanno riempito le cronache nell’ultimo mese, tra hackeraggi, ransomware, attacchi DDoS e campagne di phishing collegate al tema della guerra. Se ne è parlato anche lo scorso 9 e 10 marzo, durante la decima edizione del Cybersecurity Summit organizzato da The Innovation Group a Milano. Il livello di allerta è elevato, a causa del protrarsi di una situazione in cui gli attacchi informatici continuano a crescere e del rischio di spillover, cioè di contaminazione generale, a partire dalle azioni delle armate cyber di Russia e Ucraina. In questo scenario più parti sottolineano la necessità di ripensare alle fondamenta il paradigma della cybersecurity, per renderla rispondente alle sfide di oggi e a quelle di domani.

Secondo Ivano Gabrielli, direttore del servizio di Polizia Postale e delle Comunicazioni, il momento è molto critico e si ha evidenza di attacchi intensi, iniziati in realtà anche prima del conflitto. “Al di là di quello che si legge su schieramenti di sigle già note, c’è una situazione non dichiarata che produce danni consistenti e che sta richiedendo una risposta molto attenta da parte di chi si occupa di sicurezza”, ha detto Gabrielli. “Non è un caso che vi siano quotidianamente bollettini di awareness pubblicati dalle principali agenzie di intelligence. Servirà poi fare un’analisi approfondita per comprendere meglio uno scenario che in passato era stato solo teorizzato e che ora vediamo alla prova dei fatti. Uno scenario connotato dal fatto di avere poca ribalta pubblica e di puntare più alla sostanza che non ai proclami”. 

Ivano Gabrielli, direttore del servizio di Polizia Postale e delle Comunicazioni

“Viviamo in tempi di guerra, e il dominio cibernetico è di estrema attualità”, ha dichiarato Giorgio Mulè, sottosegretario con delega alla sicurezza del Ministero della Difesa. “C’è una guerra parallela, che si sta combattendo non ai confini ma all’interno dei Paesi, con attacchi che viaggiano in tutte le direzioni, con gruppi che stanno dalla parte dei russi, degli ucraini o che si definiscono neutrali. Sono attacchi gravi quanto quelli fisici, che si nutrono di fake news e che hanno effetti dannosi confrontabili con quelli degli strumenti normali”.

Lo scenario della Pubblica Amministrazione

L’esigenza di una maggiore sicurezza dei dati e servizi della Pubblica Amministrazione italiana precede, però, gli eventi della cyberguerra in corso. Il Piano Nazionale di Ripresa e Resilienza prevede la creazione di un’infrastruttura innovativa per abilitare e accelerare il processo di migrazione verso il cloud dei servizi e dei dati delle Pubblica Amministrazione centrale e locale, il cosiddetto Polo Strategico Nazionale (Psn). Il Psn ha quindi l’obiettivo di supportare le amministrazioni in un processo trasformativo, qualificandosi come un operatore in grado di offrire i più elevati standard di sicurezza per il trattamento di dati e servizi critici e strategici per il Paese. 

“La trasformazione digitale nella pubblica amministrazione è tra i principali obiettivi del Pnrr”, ha spiegato Mulè . “La prima missione del piano punta ad accompagnare le amministrazioni in questo passaggio verso soluzioni cloud, come definito nella strategia Cloud Italia. Oggi abbiamo davanti a noi tre grandi sfide. La prima è quella di assicurare l’autonomia tecnologica, un sovranismo resiliente e tecnologico che deve fare da perimetro a ciò che costituisce lo Stato, cioè territorio, popolo e sovranità. Il secondo aspetto è la garanzia sul controllo dei dati, il terzo è l’aumento della resilienza dei servizi digitali. In coerenza con questi obiettivi, il Pnrr mette a disposizione 623 milioni di euro per la cybersecurity nelle Pubblica Amministrazione, e si rivolge a quel 75% delle PA che deve migrare appunto ad ambienti cloud, entro cui i dati di ciascuno possano essere custoditi in sicurezza”.

Giorgio Mulè, sottosegretario con delega alla sicurezza del Ministero della Difesa

Il bene della cybersecurity è di tutti, è universale, deve quindi essere lo Stato a garantirne l’integrità, mentre i privati possono contribuire a costruire il valore di questo asset strategico, che sarà poi anche a disposizione per un loro utilizzo quotidiano. Quello che stiamo imparando in questi giorni di conflitto è anche che bisogna oggi porre maggiore attenzione ai fornitori, soprattutto niclaquelli esteri, cosa che non è stata fatta a sufficienza in passato. “Servono partner valoriali”, ha proseguito il sottosegretario, “che abbiano gli stessi valori in cui ci riconosciamo. Il trust che si deve creare con questi fornitori privati non può prescindere da una sovrapposizione di valori che rappresentano la constituency delle stesse imprese”.

Gli attacchi cyber purtroppo non sono azzerabili, bisogna quindi avere il coraggio di riconoscere dove c’è un ritardo e correre ai ripari. Non esistono reti impenetrabili: il nostro compito è quindi rendere difficile la vita a chi ci attacca. “Una parola è paradigmatica rispetto a tutto è competenza”, ha detto Mulè, “un aspetto su cui abbiamo un colpevole ritardo. Quindi, i fondi vanno utilizzati per costruire questa expertise che ancora manca”.

“I fondi del Pnrr rischiano di essere una goccia nel mare di quello che serve nella Pubblica Amministrazione”, ha sottolineato Giovanni Ciminari, head of cyber defence di Sogei, “ma in realtà potrebbero aiutare ad avviare programmi di grande valore: sono usciti i primi bandi per utilizzare questi fondi e come Sogei vediamo un forte interesse nelle PA”.

Giovanni Ciminari, head of cyber defence di Sogei

Il rischio potrebbe essere però che ci si muova in ordine sparso, senza creare le sinergie che invece servirebbero per ottenere maggiore efficacia. Nonostante le minacce e la complessità della cybersecurity siano simili nel pubblico o nel privato, la PA presenta il delle peculiarità dal punto di vista dei rischi, perché gli enti pubblici gestiscono grandi molti di dati personali dei cittadini, anagrafici, fiscali, sanitari. Informazioni molto critiche, che andrebbero protette con standard di sicurezza particolarmente elevati. Inoltre, le PA hanno il compito di utilizzare nel modo migliore le risorse pubbliche, e hanno quindi dei vincoli nelle procedure di acquisto che il mondo privato non conosce, restrizioni che comportano tempi molto lunghi negli investimenti in cybersecurity, un aspetto che comporta problematiche qualora le misure di difesa cyber richiedano reazioni veloci.

L’agenda 2022 del responsabile della cybersecurity

Quali saranno le priorità dei chief security officer quest’anno? Dalle discussioni del Cybersecurity Summit 2022 è emersa l’importanza di “fare sistema” per elevare una resilienza che oggi non può più essere circoscritta alla singola organizzazione, bensì dev’essere necessariamente comune. “La cybersecurity non può essere un esercizio fine a sé stesso, della singola organizzazione”, ha detto Simone Pezzoli, group Ciso di Autostrade per l’Italia. “Non esiste un soggetto unico che possa risolvere tutti i problemi. C’è invece un ecosistema di interazioni e di partnership, con vendor e con le società terze, con gli altri Ciso italiani, con organismi pubblici, che aiuta a impostare meccanismi virtuosi di scambio di informazioni sempre più tempestive, fondamentale per una corretta postura di sicurezza soprattutto in momenti come questo caratterizzati da una situazione molto critica a livello geopolitico”. 

Simone Pezzoli, group Ciso di Autostrade per l’Italia

Vero fattore differenziante sta quindi diventando per le aziende il fatto di poter disporre delle informazioni corrette in modo molto veloce. Lo ha ribadito Corradino Corradi, head of Ict security & fraud management di Vodafone: “Oggi servono iniziative di sistema per elevare la resilienza comune: con la Polizia Postale noi collaboriamo attivamente per contrastare e prevenire i crimini informatici che colpiscono reti e sistemi informativi”.

Corradino Corradi, head of Ict security & fraud management di Vodafone

Il secondo imperativo è oggi (per i responsabili della cybersecurity ma anche per tutti noi) elevare la cultura della sicurezza in Italia. “Oggi è fondamentale colmare un divario digitale molto forte nel nostro Paese”, ha dichiarato Petra Chistè, responsabile sicurezza informatica & data protection di Volksbank. “Non ci stiamo preoccupando abbastanza di sottolineare, anche nell’educazione dei nostri figli, quali siano i rischi della sicurezza informatica. Noi come banca abbiamo lanciato l’iniziativa Capture the flag, una competizione aperta a ragazzi tra i 12 e i 20 anni, mirata a diffondere la conoscenza sul tema delle identità digitali”.
 

Petra Chistè, responsabile sicurezza informatica & data protection di Volksbank

Resta valido, anzi è più che attuale, il dibattito sulla sicurezza del cloud. “Il paradigma oggi è cambiato, il multi-cloud è entrato nella vita di tutte le aziende”, ha detto Nicla Diomede, Ciso dell’Università degli Studi di Milano. “I servizi devono essere molto più dinamici e la sicurezza deve riuscire necessariamente a tenere il passo. La sfida principale è oggi quindi governare la complessità e la fluidità degli ambienti: varie soluzioni aiutano a individuare problemi legati a cattive configurazioni o problemi a livello di host o di rete, e a verificare la rispondenza a best practice e norme. Bisogna però anche riuscire anche, a fronte della complessità, a semplificare la vita di chi lavora nella security”.

Nicla Diomede, Ciso dell’Università degli Studi di Milano

Serve quindi uno sforzo progettuale per mettere a fattore comune la gestione degli ambienti cloud e on-premise, da un’unica cabina di regia. La semplificazione si ottiene quindi con uno sforzo progettuale ex ante, nella ridefinizione delle architetture, nello standardizzare e automatizzare. 

Architetture a “fiducia zero” 

Un modello che oggi comincia a raccogliere consensi in ambito cybersecurity è quello definito “zero trust”, in cui vengono applicati maggiori controlli e la fiducia non viene più concessa di default. Ma da dove si inizia? “Il modello parte dal principio che vadano difesi i singoli asset, non essendo più possibile elevare un muro difensivo esterno”, ha spiegato Daniele Catteddu, chief technology officer di Cloud Security Alliance. “Inoltre, fa riferimento al fatto che non ci si può più fidare di nessun utente o componente”.

È poi fondamentale, in questo approccio, utilizzare un modello di contestualizzazione e di analisi continua dei rischi, che va alimentato con un monitoraggio continuo, con informazioni provenienti da diverse fonti e con la valutazione del contesto (luogo, dispositivo, momento in cui l’utente chiede di accedere). Nella logica del “fidati ma verifica”, tipica dello zero trust, bisogna essere in grado di definire chi può fare qualcosa, e che cosa esattamente può fare in un determinato momento e contesto.

Daniele Catteddu, chief technology officer di Cloud Security Alliance

Un elemento fondante dello zero trust è la gestione del rischio, che culturalmente non ci appartiene molto, ma che dovremmo imparare. “Lo zero trust punta a ridurre la superficie di attacco tramite un modello di segmentazione molto spinta”, ha proseguito Catteddu, “per ridurre problematiche come l’escalation di privilegi e i movimenti laterali. Fondamentale è dotarsi di un approccio di questo tipo anche per la compliance: nel modello si fa infatti riferimento a norme e limitazione dello scope”.

“Passare a Zero Trust è una sfida complessa”, ha aggiunto Marcello Fausti, responsabile cybersecurity di Italiaonline. “Lo si capisce dal fatto che se ne sente parlare molto ma poi si vedono poche realizzazioni. Va sottolineato però che non si raggiunge lo zero trust con l’acquisto di una tecnologia, è uno dei casi in cui serve molto lavoro da parte del Ciso e non basta rivolgersi a un fornitore esterno. Inoltre viviamo un periodo di passaggio, tutte le aziende sono in fase di migrazione al cloud, si adottano spesso modelli ibridi e questo complica molto la situazione”.

Marcello Fausti, responsabile cybersecurity di Italiaonline

Il fatto che l’identità digitale sia diventata il nuovo “perimetro” IT delle aziende ha delle conseguenze. Innanzitutto, non si può adottare un approccio zero trust senza disporre internamente di un’infrastruttura che possa gestire in modo adeguato la transizione a questo modello. Elementi fondamentali sono anche il Directory Service e il sistema Identity Access and Management, che governa il ciclo di vita delle identità e soprattutto i ruoli delle utenze e i permessi di accesso.  Inoltre, serve dotarsi di una soluzione di Privileged Access Management, perché oggi le utenze privilegiate sono diventate in modo particolare l’oggetto del desiderio degli attaccanti.

“Incamminarsi in una strada di questo tipo equivale a fare grandi progetti di igiene digitale”, ha sottolineato Fausti, “progetti complessi che riguardano trasversalmente tutta l’azienda, a partire da HR fino alle linee del business. La security può guidare ma senza la collaborazione di tutti non si procede. Inoltre sono progetti che richiedono tempo, perché per ogni singolo passaggio è necessario testare gli effetti sulla base degli utenti, altrimenti i rischi di disservizi sono dietro l’angolo”.