Alberto Capuano è responsabile dell’attività di Cyber Security di The European House Ambrosetti. Definiamo la Cyber Physical Security...
Se vogliamo dare una definizione credo che sia utile richiamare un concetto che è quello di "superficie di attacco", nel senso che, tradizionalmente quando pensiamo a un incidente di tipo cyber, pensiamo a degli attacchi portati a infrastrutture sistemiche che appartengono ai siti, quindi alla rete hardware, più per applicazioni. In realtà, negli ultimi anni, con il fenomeno della digitalizzazione e l’evoluzione tecnologica, quello che è successo è che le aziende per mantenersi altamente competitive, hanno affrontato un percorso di trasformazione digitale, che ha portato una pervasività di queste tecnologie, anche ad ambiti che fino a ieri erano relegati solo al mondo dei siti.
Pensiamo a tutti i device, al fatto che i processi industriali, cioè produttivi, ora sono supportati da tecnologie digitali che hanno portato a una connessione in rete, una messa in rete, di aree che prima erano classificate come il perimetro fisico, quindi una convergenza di questi mondi fisico- digitale che ormai convivono, sia nella vita quotidiana di noi cittadini, sia ancor più all’interno delle imprese. Questo cosa ha portato? Ha portato a un allargamento del perimetro, cioè della potenziale superficie di attacco, che le organizzazioni ostili possono sfruttare per perpetrare i loro obiettivi criminosi, e quindi a creare una situazione in cui anche ambiti strettamente connessi al mondo fisico, oggi possono essere oggetto di attacchi o di incidenti di tipo cyber.
Chi sono i protagonisti di questi attacchi e quali obiettivi possono raggiungere attraverso questi canali?
Se parliamo di potenziali obiettivi, volendo fare una categorizzazione - gli obiettivi perseguiti sono spesso molteplici -, però al primo posto sicuramente metterei degli obiettivi di tipo finanziario, cioè gli attacchi hanno una finalità molto spesso connessa a una potenziale remunerazione per l’organizzazione criminale che li perpetua. Ci sono comunque obiettivi di tipo geopolitico, di stabilizzazione, di spionaggio di tipo industriale, di tipo propagandistico, di diffusione di notizie false e di propaganda. Qui ne fa contraltare la tipologia di attori che possono essere coinvolti, perché quelli con cui ci dobbiamo confrontare non sono soggetti isolati ed estemporanei, ma sono vere e proprie organizzazioni (quando dico organizzazioni intendo soggetti dotati di mezzi, strumenti, risorse sia tecnologiche che finanziarie), spesso queste organizzazioni possono essere sponsorizzate da delle organizzazioni nazionali, quindi da Stati che avvallanno e supportano queste attività; possono essere delle organizzazioni puramente criminali quindi comunque dotate di strumenti e risorse avanzate, possono essere soggetti singoli, che appaltano, forniscono i loro servizi criminali al miglior offerente. Uno dei fenomeni che sta evolvendo in questi questi ultimi anni è proprio la fornitura su commissione di attacchi o di supporto per la costruzione di attacchi su commissione. Non trascurerei tra i potenziali attori, sostanzialmente gli attivisti, che spesso sono motivati da una una forte convinzione personale e magari sono supportati a loro volta o utilizzati a piacere da organizzazioni criminali, magari sponsorizzate da Stati. Tra questi attori mi piace sottolineare anche un’altra categoria, spesso trascurata, che è quella degli insider, degli individui appartenenti magari ad un'organizzazione, che in modo più o meno consapevole, più o meno doloso, magari non portano direttamente all’attacco o all’incidente, ma creano le condizioni perché questo possa avvenire con successo.
Evidentemente per le aziende è un grosso problema, un pericolo reale, ma nello stesso tempo l’azienda è una degli attori della difesa, no?
E' chiaro che quando parliamo di attacchi, incidenti cyber fisici, vista la pervasività della digitalizzazione, in realtà chiunque, qualsiasi tipo di soggetto sia cittadino, sia le organizzazioni, quindi le aziende, sono potenziali target. Le aziende in quanto tali, in quanto disponibili di risorse, portatrici di servizi più o meno essenziali, più o meno critici, a seconda dell’ambito di appartenenza, sono sono target privilegiati, perché in definitiva, al di là degli attacchi connessi a gruppi di attivisti, o di carattere geopolitico, gli incidenti informatici si traducono sostanzialmente in una penalizzazione, in una perdita di redditività per le organizzazioni, e in quanto tale questo è un tema, un rischio, per cui qualsiasi organizzazione si deve predisporre per minimizzare i possibili impatti e le possibili conseguenze.
Non è il ruolo dell’Osservatorio quello di proporre soluzioni tecniche, però a grandi linee, quali sono i suggerimenti per potersi difendere e proteggere da questi attacchi?
Allora, non esiste la formula magica o la soluzione che da sola ovviamente possa garantire una copertura da questo tipo di rischi, esistono al di là degli standard e delle soluzioni tecniche, una serie di interventi che, più che dire fortemente raccomandati, sono obbligatori per agire su due aspetti: il primo aspetto è quello di ridurre la possibilità di occorrenza di un incidente informatico, il secondo aspetto è quello di intervenire sulle possibili conseguenze: cioè nel momento in cui avviene un incidente, quindi un attacco ha sostanzialmente successo, che le conseguenze che poi produce siano le minori possibili. In termini di soluzioni pratiche, ovviamente ci sono tutta una serie di soluzioni tecniche/ tecnologiche che possono ridurre le possibilità, quindi creare le barriere e delle difficoltà alla costruzione all’attacco vero e proprio, così come allertare il più rapidamente possibile che un attacco sta venendo preparato all’interno di un’organizzazione. Ma al di là delle soluzioni tecniche, ci sono ovviamente soluzioni di tipo organizzativo, e io metterei un accento particolare sugli aspetti che riguardano le persone o le risorse coinvolte.
Faccio un esempio banale: è chiaro che la sensibilizzazione a queste tematiche, norme, comportamenti e attenzioni, sia in termini di noi comuni utenti, sia di persone all’interno di un'organizzazione, quindi una sensibilizzazzione alla problematica connessa a questo tipo di incidenti, è il primo tassello fondamentale per non vanificare poi tutta un'altra serie di interventi che possono essere messi in piedi. Dal punto di vista organizzativo, tralasciando la bontà delle soluzioni tecniche e tecnologiche che possono essere predisposte, un altro elemento è anche il come un’organizzazione, nel momento in cui si verifica un incidente, risponde alla gestione dello stesso e alla risoluzione della crisi. Sono aspetti non solo tecnologici, ma molto attinenti al tema organizzativo, che senza i quali, il rischio e i danni, a parità di gravità dell’accaduto o dell'incidente, possono tradursi in maniera più severa o meno in funzione del modo in cui l’organizzazione si è preparata a rispondere e a gestire l’incidente vero e proprio.