NdR: Il 9 e 10 maggio si è tenuta a Firenze la 2a edizione del congresso “Cybersecurity-Mediterranean”, organizzata dalla Swiss Webacademy con Thales Italia e il sostegno della Fondazione GCSEC oltre che della IATA e della Polizia di Stato di Ginevra. L’evento ha visto partecipi i settori pubblici e privati sotto il patrocinio della Regione Toscana, del Comune di Firenze, di Confindustria Toscana, di Federmanager Toscana e del Cispel Toscana.
Il programma creato su misura ha permesso l’ottima riuscita dell’evento e ha visto protagonisti 165 partecipanti, dalle Piccole e Medie Imprese ai Manager aziendali il tutto organizzato all’interno della bellissima cornice della sede delle Murate IdeaPark di Firenze.
Il primo giorno è stato dedicato alla formazione dei dirigenti con una master class sulla sicurezza informatica proposta da Pascal Buchner (CIO, IATA) e una serie di demo e corsi a cura dell’AIIC, della Fondazione GCSEC, di One Step Beyond e di Active Change Management. Durante tutto il pomeriggio del primo giorno si è tenuta una tavola rotonda tra 20 specialisti del settore che avevano come chiave comune delle loro attività la complessità della sicurezza nei settori trasversali di trasporti, logistica, infrastrutture critiche, organi di Law Enforcement.
Nel secondo giorno, invece, si è entrati nel cuore dell’evento con il saluto istituzionale del Sindaco di Firenze e dell’Assessore in carica di Sistemi Informativi, Privacy e Sicurezza della Regione Toscana. Successivamente la cerimonia di inaugurazione hanno preso parte 15 speaker di 8 differenti paesi che sono riusciti a coprire a 360° i principali rischi della sicurezza. Sono stati affrontati temi legati ai possibili scenari presenti e futuri, le contromisure tecniche, umane ed del sistema educativo che si possono mettere in campo in questo delicato periodo di evoluzione tecnologica guidata dal 5G, dalla “quarta rivoluzione industriale” e dal ”4.0”.
Proponiamo a seguito, in esclusiva, la sintesi dei temi più interessanti nonché degli insegnamenti tratti dai dibattiti, redatta dal Col. Marc-André Ryter, un documento gentilmente fornito dallo Stato Maggiore dell’Esercito svizzero.
Il fattore umano
Il fattore umano è l’elemento che sta diventando sempre più importante nella sicurezza informatica; la formazione e la sensibilizzazione del personale sono indispensabili per migliorare il livello di sicurezza aziendale. L’investimento nella formazione è fondamentale almeno quanto l’investimento tecnico.
Il profiling degli utenti e il monitoraggio delle attività (scanning) con l’aiuto dell’intelligenza artificiale diventeranno sempre più importanti e il modo più efficace per individuare tempestivamente i problemi di sicurezza. Attualmente, ad esempio, “Darktrace” è in grado di stabilire un profilo affidabile entro 10 giorni.
“Darktrace Enterprise utilizza una componente di Machine Learning e algoritmi propri di intelligenza artificiale per analizzare passivamente il traffico grezzo e per costituire una comprensione di ciò che è “normale” per ogni utente, dispositivo e sottorete dell’organizzazione. Senza presupporre in anticipo quali attività siano dannose o meno, Darktrace Enterprise impara autonomamente a rilevare le discrepanze; il sistema avverte immediatamente l’organizzazione delle minacce emergenti, dagli attacchi interni scaltri, discreti e lenti ai virus automatizzati come i ransomware” (fonte: sito web Darktrace, www.darktrace.com/fr)
La facile violazione e diffusione delle password o delle informazioni relative alla sicurezza della rete rimangono ancora le principali sfide da affrontare, pertanto le persone e le loro attività sono spesso considerate il punto più vulnerabile delle infrastrutture.
L’utente deve adottare tutte le misure possibili per proteggere i suoi dati, anche privati, ed essere sicuro che siano protetti da chi li conserva.
L’aumento dei rischi legati al fattore umano dipende dal fatto che gli esseri umani interagiscono tra loro nella vista quotidiana principalmente tramite Internet. Questo lascia tracce e genera dati che creano nuove vulnerabilità (uso dannoso). Inoltre, quando la pressione sul lavoro è troppo elevata, le persone tendono a sacrificare la sicurezza a favore della produttività.
Cybersecurity nel settore della logistica e dei trasporti
Lo scambio di informazioni lungo tutta la supply chain è essenziale; per migliorare l’efficienza è necessaria una forte connettività tra gli attori coinvolti. Al tempo stesso però, l’interazione tra attori e oggetti aumenta anche la superficie di attacco (esseri umani, robot, veicoli, sistemi GPS) esponendo a nuove vulnerabilità. In questo ambito qualsiasi modifica indesiderata (sabotaggio) può causare gravi danni. I rischi legati all’uomo sono riconducibili principalmente alla condotta e al processo decisionale.
C’è troppo poco interesse per la sicurezza informatica nel mondo della logistica. I rischi informatici non sono sufficientemente integrati e sono visti come un problema tecnico strettamente di competenza dei responsabili tecnici.
La protezione delle infrastrutture critiche (porti, aeroporti in particolare) deve tener conto anche degli aspetti di logistica per cui deve essere sviluppata la cooperazione. Tutti gli attori legati alla logistica e ai trasporti sono raggruppabili in un gruppo di stakeholder con i medesimi interessi. L’integrazione di tutti questi attori è una sfida importante, poiché ad oggi non esiste una “security by design” per la maggior di loro e nelle interazioni tra di loro. C’è ancora poca percezione del reale valore della sicurezza informatica in questo settore.
I porti rappresentano infrastrutture privilegiate per l’utilizzo delle nuove tecnologie come il 5G. Nelle grandi infrastrutture critiche, la sicurezza informatica deve essere introdotta fin dalla fase di progettazione per garantire, ad esempio, uno scambio di dati sicuro, scambio per cui ad oggi non è stata ancora sviluppata una specifica certificazione, che potrebbe definire anche diversi livelli di sicurezza. La governance è pertanto necessaria per garantire un quadro di riferimento e dei “best practice in sicurezza informatica”. Più le informazioni sono diffuse e condivise, più devono essere protette.
Il settore della logistica elabora una quantità di dati molto elevata ma la sicurezza informatica è considerata ancora una questione supplementare e sottovalutata.
Possono esserci interessi terroristici nel furto di dati, ad esempio per conoscere i passeggeri di un volo, di una crociera o per conoscere il contenuto di aerei, navi o trasporti su strada. L’ambiente in cui si trova un sistema è di per sé critico. La natura di questo ambiente cambierà la natura del rischio. In qualsiasi sistema, il livello di sicurezza di tutti gli attori può essere migliorato solo elevando il livello di ogni singolo attore. Un difetto in- house di un attore mette a rischio tutti gli altri soggetti coinvolti. Abbiamo quindi bisogno di un quadro di riferimento comune ma spesso gli attori e i sistemi hanno le loro specificità (vincoli).
Fortunatamente nelle infrastrutture critiche è possibile riconoscere pattern di comportamento anomali. Attraverso l’uso di piattaforme innovative multidimensionali è possibile identificare istantaneamente gli attacchi riconoscendone le caratteristiche principali (pattern). Ad esempio è possibile identificare gli scambi con macchine che non fanno parte del sistema e che tentano di introdurre o esfiltrare dati.
Le norme per la supply chain sono le nuove sfide. La frammentazione delle informazioni potrebbe essere una possibile soluzione di sicurezza, poiché rende più difficile attaccare l’intero sistema o i singoli attori, ma il problema principale è l’assoluta necessità per i diversi attori di comunicare tra loro. Conoscere i partner, come lavorano, contribuisce alla sicurezza. Sapere chi ha bisogno di accedere a determinate informazioni o chi ha accesso a determinate informazioni contribuisce ad elevare il livello di segretezza.
È sempre difficile attirare investimenti nel campo della sicurezza informatica. Il finanziamento della sicurezza deve essere integrato nei prodotti (hardware e software) o separatamente come servizio aggiuntivo? Probabilmente il consumatore per avere un livello di sicurezza più elevato dovrà accettare di pagare un prezzo più alto, ma finché ci saranno prodotti ideati secondo logiche di vendita e senza garanzia di sicurezza, il sistema sarà a rischio. Una soluzione potrebbe essere quella di applicare il principio di “security by design”.
Sicurezza informatica nel settore delle infrastrutture critiche
Gli sforzi normativi nell’ambito del programma NICE forniscono l’impulso allo sviluppo della sicurezza informatica.
“Il Cybersecurity Framework o Framework for Improving Critical Infrastructure Cybersecurity (attualmente versione 1.1) è un framework voluto, composto da standard, linee guida e best practices per gestire il rischio legato alla sicurezza informatica [il come e cosa della sicurezza informatica]. Il NICE (National Initiative for Cybersecurity Education) Cybersecurity Workforce Framework (vedi domanda sopra) descrive e categorizza ruoli e funzioni [il who of cybersecurity]”. (fonte: Sito web dell’Istituto nazionale di norme e tecnologia (NIST), U.S. Department of Commerce, www.nist.gov/itl/applied-cybersecurity/nice).
Tale approccio risulta necessario anche per le infrastrutture idriche ed elettriche particolarmente vulnerabili. Le opportunità di digitalizzazione in questo campo sono notevoli e necessarie, ma espongono a ulteriori vulnerabilità creando nuovi punti di accesso ai sistemi. La tecnologia “Smart Metering” (contatori comunicanti) ad esempio è molto sensibile. I prodotti attualmente disponibili sul mercato, rispondono più o meno alle esigenze di sicurezza ma devono ancora essere perfezionati.
La sicurezza informatica nell’Healt Care, compresa l’assistenza domiciliare, diventerà una questione sempre più rilevante sia per l’invecchiamento della popolazione sia per l’aumento dei servizi somministrati via Internet. Dato che questo settore si sta sviluppando già da ora, è fondamentale agire immediatamente per garantire che la sicurezza sia integrata fin dalla fase di progettazione degli strumenti in particolate per la sicurezza dei dati e la privacy che assumono un importante ruolo in questo ambito.
Una criticità è rappresentata dalla mancanza di consapevolezza del top management delle infrastrutture critiche sui problemi di sicurezza informatica. In questo settore, è essenziale essere in grado di lavorare in modo connesso e scambiare informazioni per poter svolgere al meglio i propri compiti.
In parallelo, i service provider raccolgono molti dati sui cittadini e hanno gli stessi vincoli delle pubbliche amministrazioni. Sono in aumento anche le interazioni su Internet tra i cittadini e i loro fornitori, nonché con le autorità. In contrasto, molte aziende con sempre meno risorse devono svolgere una moltitudine di operazioni in più. Spesso si corre così il rischio di sacrificare la sicurezza al vantaggio della cosiddetta efficienza, mentre ci si dimentica che le possibilità offerte da Internet possono generare nuove necessità proprio di sicurezza.
I requisiti di sicurezza possono essere in conflitto con i requisiti di trasparenza. Sono spesso due facce della stessa medaglia. Ciò che è esposto, visibile e trasmesso non deve contenere dati protetti.
È necessario trovare risposte alle seguenti domande:
- Qual è il livello di miglioramento necessario agli stakeholder delle infrastrutture critiche per consentire loro di cooperare in conformità alle linee guida NICE.
- Qual è il grado necessario di condivisione dei dati e delle soluzioni tra gli attori al fine di creare un ambiente informatico sicuro?
Sicurezza informatica nel settore delle forze dell’ordine
Per uno Stato, l’obiettivo principale è quello di evitare il cyberspeaking (furto di informazioni strategiche), il cyber crime (motivato dal guadagno economico) e il cyber terrorismo (propaganda, notizie false, ricatti, furti di dati per la preparazione di attacchi). Il modo migliore per prevenirli è di iniziare un processo di sensibilizzazione oltre che di formazione a livello universitario.
Per sviluppare efficaci capacità di difesa è importante promuovere centri di difesa informatica, campus e altre iniziative di formazione. La cooperazione tra i vari centri consente di comprendere la reale necessità di condividere le informazioni. Le forze di polizia regionali e nazionali stanno, infatti, sviluppando strumenti di cooperazione. La via da seguire è la condivisione internazionale delle informazioni.
Le organizzazioni civili e le agenzie governative dovranno affrontare gli stessi rischi e porsi le stesse fondamentali domande sulla loro sicurezza informatica: in che misura siamo minacciati nel ciberspazio, quali sono i nostri interessi e come possiamo difenderli, quali opzioni abbiamo e come possiamo garantire la resilienza dei sistemi? Inevitabilmente l’uso del cyberspazio andrà via via aumentando perché garantisce sia una migliore qualità e rapidità del processo decisionale sia del controllo che della gestione delle informazioni e di enormi quantità di dati. Per l’esercito in particolare, si tratterà di adottare tutte le misure possibili per limitare i rischi e quindi di gestirli costantemente. Si dovrà affrontare uno scenario complesso caratterizzato da opportunità, rischi e vulnerabilità.
La sicurezza informatica e la minaccia in evoluzione
La minaccia diventa sempre più complessa. Più oggetti sono collegati tra loro, sempre più ci sono obiettivi da proteggere. Bisogna abituarsi agli ambienti VUCA (Volatility, Uncertainty, Complexity and Ambiguity), volatili, incerti, complessi e ambigui come mai prima d’ora.
Il 5G porterà ad un’evoluzione globale e non solo perché la Cina attualmente è al primo posto nel suo sviluppo. È molto più potente e può
essere destinato a molti usi, per queste due ragioni sarà un problema per le forze dell’ordine. Inoltre, è preoccupante che i problemi del 2G, 3G e 4G non sono stati ancora risolti e saranno trasferiti al 5G.
Bisogna poi potersi fidare del sistema altrimenti partire da una fiducia zero significherebbe aspettarsi di poter essere attaccati in qualsiasi momento.
Alcuni pensieri aggiuntivi
È importante garantire la sicurezza delle reti rafforzando le attività continua di monitoraggio e analisi. La resilienza si ottiene attraverso il monitoraggio delle attività. Possiamo applicare metaforicamente il modello di organizzazione di un formicaio con 4 livelli :
- attività specifiche (compiti e ruoli codificati)
- allerta – identificazione di attività anomale misurazioni
Il corretto funzionamento delle future smart city si baserà su una grande quantità di dati che dovranno essere raccolti ed elaborati, ma anche protetti. Il modo migliore per garantirne la sicurezza e organizzare i dati in moduli separati è quello di utilizzare un sistema multidimensionale ma dovrà essere istituito un sistema automatico o semiautomatico di audit, valutazione, revisione e misurazione.