L'emergenza sanitaria ha rafforzato come mai prima d'ora il rapporto tra i singoli individui e il digitale, divenuto una componente essenziale per la sopravvivenza del business. La remotizzazione forzata del lavoro, l'integrazione ancora più spinta con i partner di filiera, il rapporto con i clienti? Moltissimi aspetti del business sono stati potenziati nella componente digitale e se questo da un lato ha permesso di garantire l'operatività anche nel periodo di confinamento domestico, dall'altro ha aumentato l'esposizione dell'azienda ai rischi cyber.

Il perimetro dell'azienda si espande

L'emergenza ha dimostrato come il concetto di "perimetro" aziendale sia ormai diventato sempre più liquido. In un contesto in cui anche l'accesso fisico al datacenter può essere rimesso in discussione nel giro di mezza giornata, in cui l'ufficio si sposta a casa del dipendente, i confini dell'azienda si dilatano e l'ottica della protezione deve obbligatoriamente estendersi fino al singolo endpoint. Nello studio "7 Security Areas to Focus On During Covid-19", gli esperti di Gartner hanno individuato nell'home working massiccio il "tallone d'Achille" della data protection. Ecco perché suggeriscono di superare i vecchi approcci di cybersercurity per abbracciare un nuovo concetto di sicurezza estesa, che evolve verso un risk management a 360°.

Business continuity e resilienza IT al centro dei nuovi scenari di protezione

La pandemia spinge a ripensare in toto la gestione dei rischi per garantire quella resilienza IT che è il presupposto essenziale della continuità operativa anche nella Fase 3. Le minacce già note - e quelle che sono emerse in questo nuovo panorama - hanno aggiunto ulteriori livelli di complessità a una situazione già di per sé piuttosto complicata. CIO e i CISO delle organizzazioni di tutto il mondo sono quindi alla ricerca di modalità più efficaci per gestire le nuove sfide. Nella Fase 3 di convivenza con il virus, tre aree emergono come le priorità chiave per i security leader:

  • Proteggere le persone
    Il lockdown ha accelerato enormemente i percorsi di remotizzazione del lavoro: nel nostro Paese, secondo i dati dell'Osservatorio Smart Working del Politecnico di Milano, i lavoratori agili sono passati dai 570mila di fine 2019 a ben 8 milioni a inizio aprile. Molti operatori - come quelli del settore pubblico, della sanità e del banking - non avevano mai sperimentato lo smart working prima e questo li ha resi particolarmente vulnerabili alle massicce campagne di social engineering, phishing, smishing (il phishing condotto via SMS) e ransomware che hanno caratterizzato i mesi di marzo e aprile, e che continuano ancora oggi. Ad alcuni di questi lavoratori sono stati dati privilegi d'accesso nuovi e più ampi, spesso senza istruirli al meglio rispetto alle policy di sicurezza. In uno scenario di questo tipo, in cui il concetto di utente privilegiato si espande rapidamente, i team di sicurezza faticano a mantenere la visibilità rispetto ai dati cui gli utenti accedono dalle postazioni di lavoro remote.
     
  • Proteggere i device e le applicazioni
    I team IT hanno avuto pochi giorni, in molti casi una manciata di ore, per prepararsi all'improvvisa ondata di home worker. Alcuni impiegati sono riusciti a portarsi a casa i computer dall'ufficio, mentre altri hanno dovuto contare solo sui propri device. Per le aziende che non avevano adottato in passato policy BYOD (Bring Your Own Device) specifiche, i problemi si sono resi evidenti da subito. Nella fretta di essere connessi e produttivi, molti home worker sono inciampati in errori di configurazione o si sono dimenticati di cambiare le password di default per i nuovi device di rete, che sono stati facilmente hackerati. A questi attacchi si sommano quelli che hanno per oggetto le applicazioni di messaggistica istantanea e videoconferenza "free", che sostengono i nuovi percorsi di produttività degli smart worker. Dallo zoombombing al furto delle credenziali contenute nei sistemi di password management intelligente (per cui il browser web si "ricorda" delle credenziali d'accesso, senza che sia necessario doverle digitare ogni volta), la compromissione delle applicazioni web based è diventata negli ultimi mesi un business molto redditizio per il cybercrime.
     
  • Proteggere le connessioni e gli accessi
    Centinaia, a volte migliaia di impiegati e manager hanno fatto ampio uso delle reti private virtuali (VPN) per inviare e ricevere dati. E per farlo si sono collegati usando le reti Wi-Fi domestiche, troppo spesso mal protette e congestionate per effetto della didattica a distanza e dello smart working diffuso. Gli attacker hanno dimostrato di poter infettare facilmente i router Wi-Fi con del malware e rendere quindi tutti i device connessi, dalle smart TV ai termostati intelligenti, vulnerabili ad attacchi malevoli che si estendono ai notebook degli home worker. Molti dei quali hanno accesso a informazioni finanziarie critiche e dati aziendali sensibili, che l'azienda deve assolutamente proteggere. Diversi studi legali americani hanno imposto ai dipendenti alle prese con l'home working di disabilitare smart speaker e assistenti digitali personali a causa del rischio Krack (Key Reinstallation Attacks). Questi attacchi sfruttano le vulnerabilità della rete Wi-Fi per consentire ai cybercriminali di inserirsi nella connessione tra client e server, modificando la chiave di cifratura dei dati e garantendosi l'accesso a informazioni critiche come password e cookie di sessione.

 

MSSP per la cyber resilience

L'epidemia ha evidenziato in modo ancora più marcato che la sicurezza IT è legata a doppio filo al concetto di resilienza cyber, quindi alla capacità di resistere a tutte le condizioni avverse assicurando la continuità operativa. Nello studio "Cybersecurity Tactics for the Coronavirus Pandemic" James Kaplan, Co-leader IT Infrastructure and Cybersecurity in McKinsey, evidenzia come i temi della business continuity e del disaster recovery debbano, oggi più che mail, essere parte integrante di una strategia più ampia di risk management che coinvolge non solo l'azienda ma anche i fornitori e i partner. L'esperto suggerisce anche i comportamenti che CIO e CISO dovrebbero adottare nella Fase 3 per preparare l'azienda agli scenari di sicurezza post emergenza Covid-19. Eccoli.

  • Promuovere una cultura della resilienza cyber
    Uno dei compiti principali dei CISO nella Fase 3 sarà garantire che i rischi cyber siano compresi da tutta l'organizzazione, che i piani di risposta agli incidenti siano correttamente progettati e coordinati in modo efficace. Questo significa in buona sostanza abbattere le barriere tra i reparti promuovendo una cultura della resilienza cyber condivisa tra IT, operation e funzioni rivolte al business. Al CISO spetta dunque il compito di diffondere messaggi chiari in merito ai comportamenti che gli home worker devono tenere per rimanere vigili e attenti rispetto ai pericoli che possono minare la continuità operativa.  
     
  • Focalizzarsi sulla protezione delle funzionalità e dei servizi critici
    La pandemia ha messo in luce la scarsa conoscenza delle aziende in merito ai servizi e agli asset critici, e agli approcci più efficaci per proteggerli. Le aziende oggi devono muovere, dunque, verso nuovi modelli di gestione degli accessi e controllo delle attività che offrano una protezione adeguata degli asset critici.

  • Aggiornare e verificare la tenuta di piani di risposta e business continuity
    In uno scenario in cui il team di incident response potrebbe tornare a operare remotamente, magari a causa di nuovi focolai circoscritti e localizzati, i piani e i protocolli di risposta agli incidenti dovranno essere verificati e aggiornati. Il mancato adattamento alle condizioni operative alterate dalla pandemia potrebbe limitare o compromettere in modo significativo la capacità dell'organizzazione di rispondere efficacemente anche agli incidenti più comuni. McKinsey raccomanda ai CISO di rivedere tutta la documentazione e i codici di condotta; reingegnerizzare il workflow, per rispondere agli eventi in modo efficace e tempestivo anche qualora i normali canali di comunicazione non possano essere disponibili; potenziare la capacità di risposta agli incidenti cyber stipulando contratti ad hoc con i fornitori di servizi di sicurezza gestita.

  • Proteggere adeguatamente gli endpoint Ogni endpoint – come notebook e smartphone – dovrà essere configurato in modo da garantire una protezione minima per le attività extra-LAN. Molti reparti IT offrono servizi di assistenza online per valutare le attuali configurazioni e aiutare i remote worker nelle operazioni di aggiornamento. L'adozione di sistemi SSO (Single Sign On) per tutte le applicazioni e i servizi, cloud e on premise, permette di contenere ulteriormente le vulnerabilità.
     
  • Tenere alta l'attenzione sugli attacchi di social engineering Gli attacchi cyber che fanno leva sull'ansia e la preoccupazione per la salute legata alla pandemia da Coronavirus si sono moltiplicati. E nello scenario della Fase 3, in cui con buona probabilità il remote working sarà la modalità di lavoro prevalente per molti dipendenti pubblici e privati, non ci si può permettere di abbassare la guardia. A dipendenti e manager dovrà essere fornita una guida chiara su come impostare reti domestiche sicure, chi contattare e quali informazioni raccogliere in caso di sospetta compromissione.
     
  • Rafforzare la collaborazione con i Managed Security Services Provider
    La pandemia ha dimostrato che se si guarda alla gestione dei rischi cyber, la collaborazione è fondamentale. Le aziende devono quindi favorire la maggior integrazione con i fornitori di servizi di sicurezza gestita (Managed Security Services), per creare un vero e proprio ecosistema di protezione collaborativo, abbracciando nuovi modelli di protezione zero trust per reti e infrastrutture.

 

15 luglio 2020