La guida riassuntiva al Global Threat Intelligence Report 2019 di NTT Security realizzata da Dimension Data non fornisce dati rassicuranti.
A livello globale, l’indice medio relativo alla sicurezza informatica tocca appena l’1,45 su un massimo di 5. Restringendo il campo all’Europa, il settore Finance raggiunge a
malapena l’1,21. Sembra, dunque, che ci sia ancora molto lavoro da fare, soprattutto in Europa, soprattutto in Italia.
Business Insider Italia ha interpellato Gianandrea Daverio, responsabile della Business Unit Security di Dimension Data in Italia. Il system integrator
sudafricano è parte di NTT Group ed è da sempre particolarmente focalizzato sull’offerta di sicurezza per le aziende.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
“Per quanto riguarda l’Italia, i dati del nostro report sono confermati dal rapporto Clusit presentato all’inizio di quest’anno – afferma Daverio. – Rispetto al
2017, gli attacchi aumentano così come le vulnerabilità di sicurezza individuate (+12,5% nel mondo). In particolare, raddoppiano gli attacchi via web,
principale minaccia, e cresce la raccolta malevola delle informazioni, seconda in classifica”.
Nel mondo, un attacco su tre avviene verso un servizio o un sito web e un attacco su tre arriva da Stati Uniti e Cina. E in Europa e in Italia questi valori sono
confermati. Dunque, dove bisogna agire?
“Tra i settori, l’ultimo gradino del podio se lo aggiudica la Pubblica Amministrazione, che manca di tutti quei requisiti minimi – avanzamento tecnologico,
cultura e livelli di sicurezza adeguati – fondamentali per preservare e proteggere i cittadini e l’intero sistema Paese” – prosegue Daverio.
Un attacco su tre avviene via web
In Italia, come in Europa e nel resto del mondo, il settore bancario, quello assicurativo, insieme alla produzione e alla logistica, tentano una certa reazione, ma
solo perché sono i più presi di mira. Ed è una reazione ancora insufficiente.
E non basta il fatto che i leader di mercato italiani, nel settore bancario come in altri, siano multinazionali con una politica di sicurezza evoluta e uguale in tutto il
mondo, i problemi, evidentemente, rimangono.
“La risposta è sempre la stessa: è una questione di cultura – afferma il manager – e la questione dovrebbe essere affrontata, ora. La superficie esposta agli
attacchi, infatti, aumenta, la maggior parte dei servizi sono esterni ed è sempre più diffuso l’accesso all’azienda da qualsiasi rete e da qualsiasi device, anche
IoT”.
Ma cosa vuol dire esattamente “è una questione di cultura”? Dove si dovrebbe agire di più?
“Continua a esserci una generica mancanza di sensibilità rispetto alla sicurezza – spiega Daverio. – Si affronta la trasformazione digitale ma all’interno di
questi progetti il tema sicurezza è ancora troppo poco considerato”.
Si tende a sottovalutare il problema pensando che alla nostra azienda non succederà mai, oppure scaricando le responsabilità su altri. Ancora, non si condivide
l’esperienza di un attacco per vergogna, quando invece sarebbe molto utile al mercato avere subito i particolari. Infine, le policy aziendali della casa madre spesso
non sono applicate con tempestività.
È colpa del cloud? No.
Il ricorso a servizi cloud ha alimentato nell’immaginario delle aziende l’idea che i fornitori di servizi di questo tipo siano responsabili.
“In verità il Cloud Provider non è responsabile anzi, generalmente, presenta un’infrastruttura ben protetta – spiega il manager. – Il fatto è che il fornitore
può garantire sulla propria infrastruttura ma non su come l’azienda vi accede. Prima di pensare al fornitore, il cliente si deve chiedere quanto è sicura la sua
applicazione, quanto lo è il suo servizio web, il suo sito di e-commerce”.
Bisogna chiedersi da quanto tempo non si aggiornano applicazioni e sistemi operativi, o se non sia il caso di cambiare gli applicativi o i Pc e i device che usano i
dipendenti.
“Cultura vuol dire anche sensibilizzazione sui temi legati alla sicurezza – prosegue Daverio -, ma la sensibilizzazione deve essere individuale. Ogni dipendente
dovrebbe imparare a trattare i dati aziendali come se fossero i suoi personali, ammesso che gli importi anche di quelli”.
Il Gdpr, a questo proposito, può contribuire a sensibilizzare tutti sull’importanza di proteggere i dati, anche perché prevede sanzioni, per l’azienda e, a cascata,
per i dipendenti.
“Ma è ancora troppo presto per valutare gli effetti del Gdpr – chiarisce il manager di Dimension Data –, la mia impressione è che il termine per l’adeguamento
alle normative sia stato visto come un inizio a occuparsi del problema e non una conclusione dell’adeguamento”.
Prima regola: mai fidarsi dei fornitori
I mercati come il Finance o il Manufacturing e la Logistica sono il Paese dei Balocchi per il cybercrime, anche a causa della molteplicità di attori che entrano in
gioco nell’interscambio dei dati. Il sistema informativo di un’azienda si interfaccia con i suoi fornitori e i suoi clienti ed è attraverso questi canali che possono
verificarsi le intrusioni. Perché un’azienda può essere protetta adeguatamente, ma un suo fornitore no.
“Le nostre PMI spesso credono di non essere un obiettivo abbastanza appetibile, mentre in realtà fungono da tramite per il cybercrime per accedere alle reti
delle multinazionali loro clienti. Non c’è scelta, il modello da seguire in questo caso è Zero-trust, ovvero non ci si fida di nessuno – prosegue Daverio – e si
applicano controlli continui in tutti i flussi di accesso in entrata e in un’uscita dall’azienda”.