Cyber Risk: come riconoscere e gestire i rischi informatici?

Che cosa si intente per cyber risk?

Che cos’è il Cyber Risk?

In un mondo sempre più iperconnesso, internet è uno strumento che permette di ampliare le proprie conoscenze e offre numerose opportunità, ma la rete nasconde anche dei pericoli come il cosiddetto cyber risk (rischio informatico).

Che cosa si intente per cyber risk? L’Institute of Risk Management definisce cyber risk qualsiasi rischio di perdita finanziaria, interruzione o danno alla reputazione di un’organizzazione, derivante da eventi accidentali (ad esempio: spegnimento del server) o dolosi (ad esempio: furto dei danni sensibili) ai danni del sistema informatico.

Gli attacchi informatici rappresentano una minaccia per qualsiasi tipo di settore e, secondo i dati dell’ultimo Rapporto Clusit sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica, nel 2020 sono stati registrati 1.871 gli attacchi gravi di dominio pubblico, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In media, si tratta di 156 attacchi gravi al mese contro i 139 rilevati nel 2019.

In termini percentuali, nell’anno della pandemia, gli eventi di cyber crime hanno registrato un +12% rispetto all’anno precedente, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017.

Dal report emerge che i settori maggiormente colpiti sono stati il “Multiple Targets”(20% del totale degli attacchi), che comprende attacchi realizzati verso molteplici obiettivi spesso indifferenziati, il settore Governativo, militare, forze dell’ordine e intelligence (14% del totale degli attacchi), la sanità, (12% del totale degli attacchi), la ricerca e istruzione (11% del totale degli attacchi) e i servizi online (10% del totale degli attacchi).  Inoltre, sono cresciuti gli attacchi verso Banking & Finance (8%), produttori di tecnologie hardware e software (5%) e infrastrutture critiche (4%).

Gli esperti Clusit hanno anche evidenziato un incremento di attacchi diffusi tramite l’abuso di supply chain, ovvero attraverso la compromissione di terze parti, che consente ai criminali informatici di colpire i clienti, fornitori e partner di un’azienda.

Cyber Risk: che cosa sono gli eventi accidentali e gli eventi dolosi?

Nel report Wild Wide Web – Consequences of Digital Fragmentation, il World Economic Forum sottolinea l’importanza delle tecnologie che caratterizzano la quarta rivoluzione industriale (4 Industrial Revolutions – 4IR) e stanno già portando enormi benefici economici e sociali a gran parte della popolazione globale. Infatti, secondo i dati del WEF oggi più del 50% della popolazione mondiale ha accesso a internet e circa due terzi dell’umanità possiede un dispositivo mobile.

Inoltre, la prossima ondata di tecnologie 4IR rimodellerà radicalmente le economie e le società: basti pensare che la medicina di precisione, i veicoli autonomi e i droni sono tutti mercati in rapida crescita, mentre l’intelligenza artificiale (AI) da sola dovrebbe portare un contributo alla crescita economia globale pari a un +14% entro il 2030.

Le tecnologie intelligenti hanno un enorme potenziale e sono in grado di migliorare sia la vita umana che la salute del pianeta ma hanno anche conseguenze indesiderate, come i cyber risk diventati ormai un pericolo sia per gli individui che per le aziende.

Il cyber risk può avere diverse forme:

  • Eventi accidentali: sono tutte quelle azioni causate accidentalmente dall’utente, come incompatibilità delle parti hardware, guasti o imprevisti, che possono compromettere la sicurezza del sistema informatico;
  • Eventi dolosi: sono tutte quelle azioni effettuate da parte di utenti non autorizzati al trattamento di dati o all’utilizzo di servizi. Gli eventi dolosi possono essere:
    • Privilege escalation: accesso a sistemi o aree da parte di utenti non autorizzati.
  • Attacchi malevoli: questo tipo di attacchi, realizzati tramite la rete Internet o altra connessione, sono opera di utenti che, utilizzando software particolari, si inseriscono all’interno di un sistema riuscendo ad ottenere la disponibilità della macchina per gestire risorse e dati nonostante siano privi dei requisiti necessari per effettuare tali operazioni. Sono considerati attacchi malevoli: Buffer overflow, DoS, Hacking, Ingegneria sociale, Keylogging, Backdoor, Spoofing, Social Network Poisoning, Spyware, Malware, Phishing.

Gli attacchi informatici possono causare:

  • Danni materiali ai sistemi elettronici e informatici;
  • Interruzione dell’attività con una conseguente perdita economica;
  • Richieste di risarcimento danni da parte di terzi;
  • Perdita di clienti e fornitori cui si aggiunge un danno reputazionale;
  • Costi legati ai servizi professionali necessari a contenere la crisi causata dall’attacco informatico.

Prevenire e gestire i rischi informatici: le linee guida del NIST e il GDPR

Sono tre gli elementi fondamentali che caratterizzano il cyber risk:

  1. Paura: diffondere il terrore in individui e gruppi sociali;
  2. Spettacolarità: il clamore causato dai danni provocati dall’attacco informatico;
  3. Vulnerabilità: sfruttare i punti deboli e la vulnerabilità informatica di un’organizzazione, un’impresa o un istituto governativo al fine di evidenziare la fragilità dei sistemi informativi.

Il cyber risk non è un rischio da sottovalutare e attività di prevenzione e protezione del sistema sono fondamentali per individuare le minacce, le vulnerabilità e i rischi collegati agli asset informatici al fine di proteggerli da eventi accidentali e/o dolosi.

Quando si parla di cyber security, il riferimento principale sono le linee guida del National Institute of Standards and Technology (NIST) che spiegano come prevenire un attacco informatico e come gestirlo nel caso si verifichi:

  • Identifica (Identify): identificare i rischi, le risorse digitali e fisiche esistenti, i ruoli e le responsabilità all’interno di un determinato contesto;
  • Proteggi (Protect): sviluppare e implementare le misure di sicurezza adeguate allo scopo di ridurre gli effetti di un possibile attacco informatico. Per proteggere i dati e garantire la fornitura dei servizi, l’accesso alle risorse deve essere controllato attraverso l’autenticazione dell’identità;
  • Rileva (Detect): prevedere misure appropriate per identificare tempestivamente qualunque tipo di attacco informatico;
  • Rispondi (Respond): avere un piano d’azione chiaro e ben definito per limitare i danni in caso di un attacco informatico e ripristinare i servizi compromessi;
  • Ripristina (Recover): recupero immediato del sistema oggetto dell’attacco e ritorno delle normali operazioni.

È importante ricordare che in Europa la protezione dei dati personali nell’ambito della cyber security è disciplinata dal Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation), approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio il 27 aprile 2016.  Pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016, ed entrato in vigore il 24 maggio dello stesso anno, è operativo dal 25 maggio 2018.

L’applicazione del nuovo regolamento europeo mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.

Inoltre, il regolamento affronta il tema dell’esportazione di dati personali al di fuori dell’Unione europea e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE), che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.

Quali sono le misure di sicurezza contro gli attacchi informatici?

Esistono due diversi livelli di protezione contro gli attacchi informatici:

  1. Sicurezza passiva (o sicurezza fisica): è l’insieme delle tecniche e degli strumenti di tipo difensivo il cui obiettivo è impedire ad utenti non autorizzati di accedere a risorse, sistemi, impianti, dispositivi e informazioni di natura riservata. Ad esempio: utilizzo di porte blindate per impedire l’accesso a locali protetti cui si aggiungono sistemi di identificazione personale;
  2. Sicurezza attiva (o sicurezza logistica): è l’insieme delle tecniche e degli strumenti che consento di proteggere le informazioni e i dati di natura riservata da utenti non autorizzati e dalla possibilità che gli stessi possano modificarli. Nella sicurezza logistica rientrano:
    • Strumenti hardware e software;
    • L’autenticazione dell’utente le cui operazioni sono tracciate in file di log. Tale processo di tracciamento delle attività è detto accountability;
    • L’autorizzazione all’accesso delle risorse (ad esempio: file, programmi, dispositivi informatici).

È quindi fondamentale adottare misure di carattere tecnico e organizzativo per proteggere gli asset informatici e assicurare:

  • Riservatezza: l’accesso protetto e controllato ai dati e la possibilità che solo gli utenti autorizzati possono leggere le informazioni;
  • Integrità: la completezza e leggibilità delle informazioni;
  • Disponibilità: accesso ai dati nei tempi e nei luoghi previsti.

Oltre al già citato sistema di autenticazione, tra le contromisure utili a difendere un sistema informatico dal cyber risk troviamo:

  • Mandatory Access Control (MAC);
  • Firewall;
  • Intrusion detection system (IDS);
  • Network Intrusion Detection System (NIDS);
  • Honeypot;
  • Backup;
  • Antispyware;
  • Steganografia;
  • Firma digitale.

Cyber Defence: le soluzioni Namirial contro gli attacchi informatici

Cyber Assessment di Namirial è la piattaforma innovativa in grado di eseguire una valutazione delle minacce informatiche da un punto di vista esterno e senza installare alcun software.

I risultati dell’analisi aiutano a misurare l’efficacia dei controlli di sicurezza, identificare le minacce cibernetiche e individuare le lacune di presenti nelle aree tecnologiche. In questo modo le organizzazioni sono in grado di individuare i settori in cui è necessario dare priorità agli investimenti al fine di proteggere il sistema informatico e prevenire la perdita di risorse a causa di attacchi informatici.

Inoltre, Cyber Assessment permette alle organizzazioni di rispettare l’articolo 32 d) a cui devono conformarsi ai sensi del regolamento generale sulla protezione dei dati (GDPR).

La piattaforma fornisce due tipi di analisi:

  • Vulnerability Assessment (VA): il servizio di Vulnerability Assessment (VA) consiste nell’analisi dei sistemi informatici con l’obiettivo rilevare le vulnerabilità note delle infrastrutture informatiche sul perimetro esposto della rete. Il servizio consente di ridurre il rischio derivante da attacchi informatici in maniera rapida e tempestiva prima che le vulnerabilità possano essere sfruttate dagli hacker. Alla fine del test viene generato un report contenente l’elenco di tutte le vulnerabilità individuate a cui è associata la relativa classe di rischio e la remediation per correggerle;
  • Cyber Threat Assessment (CTA): il servizio di valutazione delle minacce informatiche (che il include il Vulnerability Assessment) è in grado di rilevare le minacce informatiche, gli incidenti occorsi all’interno dell’organizzazione e le vulnerabilità dei sistemi e dei servizi esposti sulla rete pubblica. Questo tipo di analisi si basa su tecniche di cyber intelligence esterna, non prevede l’installazione di alcun software presso il cliente e analizza:
    • L’esposizione della superficie di attacco;
    • Le vulnerabilità tecniche dei sistemi;
    • La violazione dei dati;
    • Le infezioni da malware;
    • La condivisione di file su protocolli peer-to-peer e molto altro.

I report prodotti dall’analisi permettono all’azienda d’individuare e/o prevenire le violazioni dei dati e mettere in atto azioni mirate a mitigare il rischio informatico, salvaguardando così il proprio business. Nello specifico il servizio di valutazione delle minacce informatiche consente di:

  • Scoprire e porre rimedio alle minacce informatiche relative alle infezioni da malware;
  • Accertare credenziali trapelate (data breach);
  • Riconoscere violazioni di dati attraverso l’analisi del deep web;
  • Individuare trasferimenti di dati pericolosi e/o che violano diritti d’autore su reti peer-to-peer;
  • Identificare e dare priorità alla riparazione delle vulnerabilità.