Il numero di cyber attacchi, secondo la situazione tratteggiata dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, non è mai stato così elevato sia per una maggiore attività di cybercrime che per un incremento della superficie di attacco legato alla diffusione di paradigmi tecnologici quali cloud, mobile e IoT. In questo momento è quindi ancor più necessario, anche per aziende di medie e piccole dimensioni, valutare bene il rischio e porre in essere tutte le azioni utili a mitigarlo.
Quali gli aspetti da curare nella valutazione del livello di cyber security?
Gli approcci adottati più di frequente dalle imprese tengono in considerazione l’aspetto tecnico, andando a sottovalutare alcuni ambiti fondamentali quali il fattore umano e organizzativo oltre che la valutazione dei possibili danni che si possono riportare a seguito di attacco ai “beni immateriali” aziendali. I beni immateriali che sono ad esempio l’affidabilità, il marchio, la proprietà intellettuale e il know-how, spesso “conservato” proprio in digitale. Gli asset di un’organizzazione sono infatti di due tipi: tangibili (ad esempio database, macchine o supporti USB) e intangibili (ad esempio la reputazione del marchio o della azienda, la fidelizzazione dei clienti, il set di competenze degli impiegati, la proprietà intellettuale etc.).
Negli ultimi anni, si assiste al progressivo incremento di attacchi altamente targetizzati, costruiti cioè appositamente per l’azienda obiettivo dell’attacco stesso, con un grado di “viralità” e “replicabilità” quasi nullo, ma di contro con un livello di efficacia notevolmente elevato. Questo trend evolutivo fa sì che i segnali normalmente utilizzati per rilevare e possibilmente prevenire l’attacco stesso siano sempre più deboli (si sta facendo largo, nel contesto della sicurezza informatica, un filone molto promettente relativo all’elaborazione dei weak signals).
Si osservano quindi, con frequenza crescente, attacchi caratterizzati da livelli di replicabilità, un alto livello di specificità della sequenza operazioni coinvolte e grande attenzione ai dettagli di contesto, come ad esempio la proprietà di linguaggio e la cultura aziendale di riferimento. Segnali evidenti, questi ultimi, ad esempio nel fenomeno del context aware phishing, una forma di phishing altamente contestualizzato che intende, tramite meccanismi di social engineering avanzati, massimizzare l’efficacia delle campagne.
E’ proprio in questo contesto che si vanno a posizionare i recenti attacchi informatici che colpiscono in modo massiccio gli asset intangibili o beni immateriali.
Analizzando i passati attacchi informatici e alcuni white-paper recentemente pubblicati da vari istituti di ricerca, è possibile osservare, più in generale, che un cyber attacco di successo può portare a conseguenze dirette per l’azienda quale la perdita (parziale o totale) e il danneggiamento di uno o più beni materiali e immateriali, e conseguenze indirette legate a un possibile effetto a cascata. Ad esempio, il furto di dati personali da una società di carte di credito può generare una perdita di reputazione e un’ulteriore conseguente perdita di clienti. Numerosi studi riportano come i beni immateriali rappresentino tra il 60% e l’80% del valore aziendale globale.
La storia recente è ricca di esempi di attacchi informatici di questo tipo, che hanno avuto come conseguenza il danneggiamento della reputazione aziendale, non ultimo quanto successo agli hotel della catena Marriott. Le conseguenze economiche di questi attacchi sono tuttavia decisamente tangibili.
Un esempio abbastanza paradigmatico in tal senso sono gli attacchi cosiddetti di crowdturfing, attacchi che rappresentano la forma moderna della calunnia: una rete coordinata di profili falsi (o autentici ma compromessi, e quindi controllati dagli attaccanti) viene automaticamente gestita per discreditare un particolare marchio o prodotto sui social network con lo scopo di danneggiare la ditta che ne è proprietaria.
L’approccio del progetto HERMENEUT
HERMENEUT, progetto europeo promosso da un consorzio di aziende di cui Cefriel è coordinatore tecnico, propone un approccio innovativo alla sicurezza informatica, che integra l’analisi costi-benefici alla valutazione delle vulnerabilità e probabilità degli attacchi informatici e soprattutto agli impatti economici sui beni immateriali aziendali, per aziende di media o piccola dimensione.
Diverse sono le attività che contraddistinguono HERMENEUT:
1. valutazione integrata della vulnerabilità dell’impresa che tiene conto del fattore umano e organizzativo;
2. sviluppo di un modello di costo che quantifichi economicamente (sebbene in senso approssimato) le conseguenze degli attacchi per attaccanti e vittime;
3. elaborazione di un modello di rischio completo che tenga in considerazione sia i rischi tangibili che quelli immateriali;
4. individuazione di soluzioni utili a mitigare la perdita di valore dell’impresa in relazione all’eventuale concretizzarsi di tali rischi;
5. sviluppo di uno strumento di supporto decisionale e di policy-making, che aiuti i responsabili della sicurezza informatica a individuare appropriate contromisure per la protezione dei beni materiali e immateriali, legate ai rischi di cui sopra.
HERMENEUT utilizza un approccio KISS (“Keep It Simple and Stupid”) nella raccolta di informazioni lato utente, che richiede la raccolta del minor numero di informazioni possibili, rendendo l’intero processo di configurazione dello scenario semplice da compilare portando a risultati comunque ragionevolmente precisi in tempi molto brevi, massimizzando quindi l’aderenza del risultato stesso allo scenario di riferimento.
L’innovatività del progetto è riassumibile in alcune direttrici cardine:
- includere in un modello olistico di valutazione dell’impatto economico sia sui beni materiali che immateriali.
- Colmare il gap fra i tool leader di mercato e le capacità di una impresa medio/piccola di capire la propria esposizione al rischio. Lo scopo è quello di fornire un tool semplice che, nonostante alcune approssimazioni, possa fornire stime ragionevoli a fronte di un impegno degli utenti minimo, richiedendo anche una conoscenza limitata delle logiche di attacco cyber e la sola conoscenza della situazione della propria azienda. In questo, un effetto secondario ma di rilevante importanza è anche quello di aumentare la consapevolezza del rischio derivante da alcune scelte aziendali, mediante l’applicazione di analisi “what if”.
- Aiutare a comprendere il proprio livello di rischio cyber e quali siano le migliori strategia di mitigazione.
Il sistema HERMENEUT è davvero utile?
“Il progetto – afferma Enrico Frumento, responsabile HERMENEUT – è ancora in fase di sviluppo e sono iniziate le prime fasi della validazione sul campo. Sono previste tre fasi: la prima, già iniziata, prevede la raccolta di commenti e opinioni da parte di esperti del mondo delle assicurazioni cyber. Si è già svolto a Milano il primo workshop dedicato alla cyber insurance nel quale abbiamo presentato i concetti generali del progetto ad una platea di circa 60 esperti del settore assicurativo. Nella prima metà di marzo verrà organizzato presso Cefriel un secondo workshop, durante il quale presenteremo la piattaforma. Nel frattempo le sperimentazioni proseguono con due partner importanti: Dedalus, leader del settore ospedaliero, che ha coinvolto due organizzazioni ospedaliere per valutare il loro livello di rischio cyber, e ELTA, il dipartimento che si occupa di sicurezza informatica, parte del gruppo che di industrie aerospaziali israeliane. I primi ritorni sono assolutamente significativi: quanto sviluppato dal progetto va effettivamente a colmare in modo coerente il vuoto esistente fra l’informazione sull’attuale stato dei sistemi di difesa e la valutazione economica delle conseguenze degli attacchi. Le stime prodotte possono essere quindi usate per pianificare le metodologie e le conseguenti azioni di mitigazione del rischio, ivi inclusa l’adozione, consapevole e mirata, di cyber insurance”.
Facebook Comments