Per approfondire l’attuale panorama della cyber sicurezza delle aziende, in particolare quelle italiane, Fortinet ha invitalo la stampa a una tavola rotonda tenuta a chiusura del Security Day 2024 a Milano, il 30 maggio.
Alla tavola rotonda hanno partecipato i rappresentanti di Fortinet Massimo Palermo, VP & Country Manager Italia e Malta, Antonio Madoglio, SE Director Italy, Aldo Di Mattia, Sr Manager Systems Engineering Public Sector Italy. A questi si è aggiunto Gabriele Faggioli, Presidente Clusit.
Da remoto si sono collegati Annita Sciacovelli, docente di Diritto internazionale all’Università di Bari Aldo Moro, AG European Union Agency for Cybersecurity (ENISA), e Roberto Setola, Direttore Master Homeland Security Università Campus Bio-Medico di Roma. Giuseppe Lauria, Group Chief Information Officer di TESYA, ha presentato una sintesi delle problematiche relative alla cyber sicurezza della sua azienda.
Il punto della situazione
A proposito della cyber sicurezza delle aziende, l’Italia è sempre la pecora nera. Nella nostra nazione gli attacchi cyber che hanno successo sono quattro volte più numerosi rispetto alla media mondiale. Come evidenziato nell’ultimo report di Fortinet, tra le criticità che affliggono le aziende italiane in questo campo sono la mancanza di visibilità e di consapevolezza della propria superficie di attacco (che è sempre più vasta e multiforme) e una frammentazione tecnologica dovuta al proliferare di piattaforme e di applicazioni.
In particolare è possibile evidenziare alcune macrotendenze dell’ultimo periodo. La prima è l’innalzamento delle barriere a difesa delle aziende contro gli attacchi informatici, un innalzamento dovuto a maggiori investimenti in sicurezza. Un altro trend è una maggiore sofisticazione degli attacchi, che puntano sempre più spesso alle infrastrutture critiche di Comuni, Regioni, Stati.
I cyber criminali operano ormai a livello internazionale, addirittura globale, con tattiche sempre più sofisticate. Quindi è importante avere una visione sovranazionale per una difesa efficace e per conoscere meglio il nemico e la sua organizzazione.
Massimo Palermo, VP & Country Manager Italia e Malta Fortinet
Un altro aspetto importante sono le vulnerabilità di tipo zero day, con i criminali che si scambiano informazioni nel dark web su questo tipo di debolezze. C’è un netto aumento della velocità degli attacchi: siamo ormai scesi a una media di 4,76 giorni. Questo significa che una volta scoperte, queste vulnerabilità sono quasi subito attaccate. Inoltre si parla sempre di più delle minacce interne all’azienda, ovvero dipendenti vulnerabili al phishing, scontenti o corruttibili che sono il punto debole delle organizzazioni.
Per combattere queste minacce è sempre più importante stare al passo, con investimenti e innovazione. In concreto con l’adozione di soluzioni integrate automatizzate come quelle proposte da Fortinet, che dal 2016 offre una piattaforma che molti competitor hanno creato solo di recente tramite l’acquisizione di aziende terze.
Fortinet non si fermata a questo, però. L’azienda è molto attiva, soprattutto in Italia, nel campo della formazione con la sua Academy, con l’obiettivo di creare a livello mondiale un milione di esperti entro il 2026 tramite università e istituti tecnici. Inoltre condivide con le organizzazioni di sicurezza nazionali e mondiali le informazioni che raccoglie dai propri sistemi già installati, informazioni che sono utili per definire le organizzazioni criminali, le loro tecniche e modalità operative.
L’approccio dell’Unione Europea nei confronti delle cyber minacce
Il problema che ENISA (European Union Agency for Cybersecurity) vuole affrontare è il cyber risk per le aziende, ovvero quanto è grande il rischio di subire un attacco cyber che ha successo. L’organizzazione europea punta a indicare modelli di obblighi che le aziende e gli enti pubblici devono rispettare, con un focus che non è più l’incidente in sé ma la previsione e la valutazione del rischio di attacco cyber. Questo si traduce in pratica nell’individuazione e nella valutazione degli asset da proteggere, asset che cambiano in funzione dell’azienda. Questa valutazione è molto complessa, anche perché è difficilmente quantificabile.
Deve esserci una valutazione sia qualitativa sia quantitativa del tipo di rischio, compiuta da un cyber risk manager, una nuova figura che ENISA propone come fondamentale. Inoltre, vista la rapida evoluzione degli attacchi, questa valutazione non deve essere fatta una sola volta all’anno ma almeno due, idealmente anche più spesso.
Aldo Di Mattia, Sr Manager Systems Engineering Public Sector Italy
L’intelligenza artificiale
Nel prossimo futuro vedremo un aumento dell’utilizzo di strumenti basati su AI, sia per la difesa sia per l’attacco. Per la difesa per analizzare comportamenti anomali dedotti dall’analisi di una quantità enorme di eventi. Per l’attacco per le possibilità di personalizzazione e per la capacità di individuare e sfruttare le vulnerabilità dei sistemi di AI di difesa.
Sempre a causa dell’intelligenza artificiale, si moltiplicheranno i casi di deep fake, falsi audio, video, di immagini creati dall’AI e capaci di ingannare l’essere umano, per fargli compiere le azioni che il cyber criminale vuole. Per contrastare i deep fake attualmente non ci sono strumenti validi, quello che si può fare subito è lavorare sulla formazione, ovvero istruire le persone a diffidare di comportamenti strani e anomali, che nei deep fake sono invece presentati come normali.
Il punto di vista di Clusit
I trend che emergono dal report più recente di Clusit sono una netta crescita a livello mondiale dei cyber attacchi e un aumento dell’attivismo collegato ai recenti conflitti in Ucraina e in Israele Palestina. Per l’Italia si assiste, per il secondo anno consecutivo, a un trend di crescita molto discontinuo. Nel 2022, rispetto all’anno precedente, c’è stata una crescita del 160% dei casi, mentre nel 2023 sul 2022 l’incremento è stato del 65%.
Questi dati, per quanto diversi, sono comunque indice di una situazione critica del nostro Paese, molto frammentato tra PMI e piccole pubbliche amministrazioni. Queste piccole entità non hanno le risorse economiche per sostenere un sistema di cyber sicurezza di livello enterprise. E questo vale anche per le skill: l’Italia è terzultima in Europa per competenze digitali.
Le normative, che tra le altre cose impongono che ogni azienda debba certificare la sicurezza di tutti i propri fornitori, anche se questi fanno parte di supply chain di altre società che li hanno già certificati, considerano le aziende come sistemi totalmente autonomi, che devono mettere sul piatto investimenti ingenti, investimenti che le PMI non possono permettersi.
Gabriele Faggioli, Presidente Clusit
Per uscire da questa situazione è necessario fare economie di scala, creare consorzi di società che certifichino a livello centralizzato e una sola volta i fornitori, che permettano un accesso economicamente sostenibile a sistemi di cyber sicurezza di livello enterprise. Le normative devono essere calate nella realtà, prescrivendo procedure più efficienti e meno dispendiose.