Analisi del Rischio Cibernetico

Il presente contributo ha lo scopo di proporre un’analisi di alto livello sul concetto di “analisi del rischio cibernetico” in relazione all’evoluzione degli scopi e delle metodologie di intelligence. La competizione tra le diverse entità statuali si è allargata partendo dal tradizionale ambito delle potenzialità dell’apparato militare di ciascun attore.

Oltre il potenziale militare è sempre più prevalente quello economico, cioè la capacità delle imprese di ciascun paese di generare innovazione, di esportare, di aumentare la filiera del valore aggiunto portando, se possibile, a fare dipendere altri paesi da sé.

L’aumento esponenziale del fenomeno dello spionaggio industriale, con un elevato utilizzo degli strumenti cibernetici, può essere ricondotto principalmente a:

  • La sempre maggior presenza di informazioni sensibili e proprietà intellettuale in possesso di imprese e centri di ricerca scientifica e tecnologica.
  • L’elevato tasso di profitto per gli attori statuali o para-statuali che praticano operazioni di intelligence in modalità cibernetica allo scopo di sottrarre segreti industriali, idee innovative e/o know-how tecnologico.
  • La difficoltà per le intelligence dei paesi target nel contrastare azioni cibernetiche ostili.

I settori tecnologici che costituiscono i target più appetibili sono i seguenti:

  • Tecnologie dell’informazione e della comunicazione;
  • Tecnologie militari, e in particolare sistemi marittimi e tecnologie aerospaziali e aeronautiche;
  • Tecnologie energetiche a bassa emissione di anidride carbonica;
  • Nuovi materiali e tecnologie manifatturiere avanzate, tra cui le nanotecnologie;
  • Tecnologie biomediche e farmaceutiche; Tecnologie avanzate di produzione agricola, tra cui quelle basate sull’ ingegneria genetica.

Nel nostro paese è cresciuta la sensibilità delle istituzioni sul tema e si è arrivati alla recente costituzione dell’Agenzia per la Cibersicurezza Nazionale incaricata di prendere ogni iniziativa attua a garantire una maggiore sicurezza e resilienza del mondo IT italiano. Per le citate implicazioni sulla sicurezza nazionale italiana tali azioni devono procedere di concerto con l’operare degli apparati di intelligence al fine di contrastare azioni ostili da parte attori statuali e para statuali ne confronti del nostro paese.

Il World Economic Forum ha pubblicato il “Global Risk Landscape 2021” da quale si evince che gli attacchi cibernetici comportino un rischio (probabilità x impatto) più elevato rispetto agli attacchi terroristici, alle crisi alimentari, alla disoccupazione e a tutta una serie di altri rischi che riempiono in ogni istante i notiziari radiotelevisivi e i social.

Le motivazioni sono:

  • il funzionamento delle moderne economie è sempre di più basato sulle tecnologie digitali;
  • l’interdipendenza delle Infrastrutture critiche aumenta costantemente;
  • aumento del rischio che un danno prodotto in un nodo del sistema si ripercuota sui nodi circostanti con effetti a catena potenzialmente catastrofici.

In questo contesto gli obiettivi delle attività di intelligence sono molteplici: difesa dell’interesse nazionale, contrasto alla competizione economica condotta in maniera surrettizia, tutela delle libertà individuali ed in ultima analisi del sistema democratico.

L’intelligence economica sta assumendo un ruolo sempre più rilevante al fine di evitare danni consistenti alla competitività dello stato e delle singole aziende. In particolare lo spionaggio industriale mira alla sottrazione di capitale intellettuale delle singole aziende privandole del loro asset di maggiore importanza e mettendone a rischio la stessa sopravvivenza. Un attacco spionistico, condotto da un’azienda concorrente o da un apparato d’intelligence straniero, sottrae know-how all’azienda colpita, azzerandone il possibile rendimento nel tempo di investimenti eseguiti.
La particolare configurazione del sistema industriale italiano, con una forte prevalenza di PMI, rende indispensabile l’avvio di una politica di sensibilizzazione sui temi della sicurezza cibernetica e della protezione del patrimonio informativo, rivolta alle figure apicali delle PMI stesse. La sicurezza cibernetica non può essere vista come un costoso e fastidioso accessorio dell’attività d’impresa.

L’Agenza per la Cibersicurezza Nazionale deve porsi come attore primario di questa attività di diffusione e mantenimento della sensibilità ai temi della sicurezza cibernetica da parte delle PMI, attori imprescindibili del sistema economico nazionale.

L’Unione Europea considera la sicurezza cibernetica come obiettivo prioritario dell’attività di tutela del patrimonio informativo da parte degli stati membri e, a tale proposito, ha emanato la direttiva NIS e si prepara ad emanarne una seconda versione allo scopo di una migliore gestione del rischio cibernetico. La logica che pare intravedersi nella direttiva NIS è “secure us to secure me”; ne consegue che il presupposto fondamentale per il conseguimento di una maggiore sicurezza sistemica è, quindi, l’adozione di best practices da parte dei singoli attori.

Il rischio cibernetico non impatta solo la singola impresa ma ha anche una importante componente sistemica che è «il rischio che un attacco (o altri eventi avversi) in un singolo componente di un ecosistema infrastrutturale critico, causi ritardi significativi, diniego, guasto, interruzione o perdita, tali da influire sui servizi non solo nella componente originaria, ma anche nelle componenti dell’ecosistema logicamente e / o geograficamente correlate.

La magnitudo dell’impatto deriva da:

  • aumento costante della superficie digitale;
  • crescita della velocità della trasformazione digitale;
  • semplicità ed economicità della realizzazione degli attacchi;
  • aumento della complessità delle minacce.

Affrontare il rischio sistemico vuol dire lavorare su tre livelli: quello interno e dell’ecosistema dei principali stakeholder dell’azienda; quello degli upstream provider e quello degli eventi esterni imprevisti. Quest’ultimo livello comporta una rinnovata importanza delle attività di intelligence in quanto gli organismi preposti sono attori imprescindibili per l’individuazione di azioni ostili che impattano sul “rischio sistemico” dei singoli soggetti economici.

Lo strumento più idoneo per una mitigazione del rischio efficace (non esiste in nessuna organizzazione un contesto con rischio uguale a zero) è l’adozione di adeguate metodologie di Analisi del Rischio, di tipo quantitativo o qualitativo, al fine di considerare tutte le possibili vulnerabilità di diversa natura valutando la probabilità di accadimento di eventi negativi legati ad esse. Si passa dalla “logica dell’adempimento” alla “logica della responsabilità”, laddove il singolo operatore, attraverso l’Analisi del Rischio deve essere in grado di identificare le minacce incombenti sulla protezione del proprio patrimonio informativo con l’individuazione delle vulnerabilità presenti e, attraverso un processo di Gestione del Rischio, la definizione di adeguate contromisure.

Le metodologie di Analisi del Rischio più conosciute ed utilizzate sono:

  • ISO:IEC 27005: unico standard internazionale de iure.
  • NIST SP800-30: standard federale adottato dagli Stati Uniti.
  • Magerit: standard nazionale spagnolo adottato da ENISA (European Network and Information Security Agency).
  • Octave: sviluppata dalla Carnegie-Mellon University per soddisfare le esigenze del Department of Defence degli Stati Uniti.

Normalmente lo standard ISO:IEC 27005 è quello ritenuto più utilizzato e ritenuto più idoneo, specialmente in ambito IT.

Il crescente aumento della cyberwarfare nella competizione globale tra stati ed aziende rende necessario l’utilizzo di metodologie e strumenti allo scopo di conseguire un adeguato livello di protezione degli asset aziendali o statuali. A tal fine sarebbe auspicabile l’adozione di metodologie di Analisi del Rischio tra gli strumenti in uso da parte della Agenzia per la Cibersicurezza Nazionale.

In generale ogni soggetto si caratterizza per la presenza di rischi collegati al proprio business aziendale ed è costretto a definire una soglia minima di esposizione al rischio (cd. “Rischio accettabile”). La definizione di questa soglia è un processo molto complesso e critico che può essere governato unicamente attraverso modalità di “Gestione del Rischio” metodiche e formali.

In particolare la Gestione del Rischio si caratterizza nell’applicazione sistematica di:

  • Politiche di gestione
  • Procedure
  • Azioni

Volte all’esecuzione delle seguenti fasi inerenti al rischio:

  • Identificazione
  • Analisi
  • Valutazione
  • Mitigazione controllo eventuale

La Gestione del Rischio è, quindi, un processo volto ad assicurare che gli impatti dovuti a minacce incombenti su vulnerabilità di sistemi e processi IT siano contenuti a livelli accettabili a fronte di costi sostenibili da parte dell’organizzazione del soggetto. Per raggiungere tale obiettivo è necessario un adeguato bilanciamento tra l’esposizione al rischio ed i costi di mitigazione attraverso l’implementazione di adeguate contromisure e controlli.

L’adozione di una metodologia formale per la gestione del rischio è preferibile in quanto ha le seguenti caratteristiche:

  • Oggettività
  • Ripetibilità
  • Verificabilità anche da attori esterni
  • Automatizzabili
  • Applicabilità ad organizzazioni anche complesse
  • Fornitura di risultati confrontabili anche nel tempo
  • Misurabilità dell’efficacia con possibilità di azioni correttive

Un adeguato programma di Gestione del Rischio deve quindi prevedere i seguenti passi:

  • Analisi del contesto e dichiarazione dell’ambito
  • Identificazione e valorizzazione degli asset
  • Classificazione degli asset
  • Individuazione delle minacce e delle vulnerabilità
  • Determinazione dei rischi
  • Valutazione degli impatti
  • Trattamento dei rischi
  • Sensibilizzazione alle tematiche di sicurezza degli utenti
  • Effettuazione di attività di monitoraggio e revisione costanti
  • Comunicazione dei risultati

È opportuna una classificazione delle terminologie adottate nel processo di esecuzione della Gestione del Rischio:

Asset: qualsiasi bene materiale o immateriale, persone comprese, che costituiscono un valore per l’organizzazione dell’operatore.

Vulnerabilità: caratteristica intrinseca di qualsiasi processo o sistema IT che può provocare, anche per azione indotta, eventi indesiderati che possono comportare danni all’organizzazione.

Minaccia: evento potenziale che se attuato porta a conseguenze indesiderate o perdite all’organizzazione dell’operatore.

Agente di Minaccia: entità in grado di attuare, deliberatamente o meno, una minaccia.

Rischio: probabilità del verificarsi di una minaccia attraverso lo sfruttamento di una vulnerabilità.

Impatto: conseguenza indesiderata che si abbatte sull’organizzazione dell’operatore in seguito al verificarsi di un rischio.

La valutazione del rischio è un processo che comporta analisi di tipo quantitativo così come qualitativo. La determinazione dell’impatto, ad esempio, comporta una quantificazione delle grandezze di entrambe le tipologie:

1) Quantitative in quanto direttamente ed oggettivamente misurabili:

  • perdite di fatturato e/o di utili di bilancio;
  • incremento dei costi di produzione;
  • costi sostenuti per la risoluzione di anomalie.

2) Qualitative non oggettivamente misurabili:

  • perdita di credibilità con ricadute sull’immagine dell’organizzazione;
  • danni indiretti ad interessi dell’organizzazione
  • violazioni della riservatezza delle informazioni.

La stessa frequenza o probabilità di accadimento può aversi nelle tipologie suddette, quantitativa, ad esempio nel caso di stima del verificarsi di un black-out elettrico, oppure qualitativa come la stima della probabilità di essere oggetto di attacco informatico.

Più in generale un approccio quantitativo presenta:

Punti di forza:

  • Rischi ai quali si riesce a dare priorità secondo l’impatto economico ed asset in funzione del loro valore economico.
  • Aiuto alla gestione del rischio con una puntuale definizione del ritorno dell’investimento sostenuto per la mitigazione del rischio stesso.
  • Facilità di comprensione da parte dei vertici aziendali dei risultati ottenuti dalle attività poste in essere per la mitigazione del rischio.

Punti di debolezza:

  • I valori degli impatti assegnati ai rischi sono frutto di valutazioni soggettive da parte delle strutture organizzative interessate.
  • Necessità di dover impiegare molto tempo e costi elevati al fine di raggiungere un obiettivo misurabile.
  • Non misurabilità di tutti i valori necessari

Altresì l’approccio qualitativo presenta:

Punti di forza:

  • Migliore comprensione dell’importanza relativa dei rischi al fine di un’adeguata assegnazione delle priorità.
  • Maggiore facilità di condivisione degli obiettivi tra le diverse strutture aziendali.
  • Non occorre una quantificazione delle minacce.
  • Non è necessaria una determinazione economica del valore economico degli asset.

Punti di debolezza:

  • Insufficiente granularità dei rischi più significativi.
  • Difficoltà nel giustificare investimenti economici volti alla mitigazione del rischio in assenza di un’analisi costi/benefici quantitativa.
  • Risultati che vengono influenzati dalle qualità professionali del gruppo di lavoro preposto all’analisi del rischio.

Una soluzione per una più efficace azione di analisi del rischio consiste nell’adozione di un approccio intermedio o semi qualitativo con l’individuazione di classi di valori definite da intervalli di una certa ampiezza con l’associazione alla classe più congrua di ciascun valore di occorrenza e impatto.

Tali attività di gestione del rischio sono già in essere nelle realtà di maggiori dimensioni del nostro paese; tuttavia e innegabile la necessità di un maggiore implementazione delle stesse. Un alto fattore di rischio è dato dalla situazione delle PMI italiane in questo campo; scarsità di investimenti e di consapevolezza in questo campo rendono le PMI estremamente esposte ad attività ostili di intelligence straniere volte all’acquisizione di delicate informazioni industriali ed economiche.

La notevole importanza delle PMI nel settore economico italiano rende urgente un’azione di difesa delle stesse attraverso un ruolo di stimolo alla sensibilità sulle tematiche della cyberguerra da parte dell’Agenzia per la Cibersicurezza Nazionale. Dal canto loro gli apparati di intelligence devono essere coinvolti per l’esecuzione di attività di contrasto alle ingerenze estere anche attraverso l’uso di tecniche Humint ed Osint, che costituiscono un imprescindibile mèzzo di difesa dell’interesse economico nazionale.

Articolo a cura di Andrea Giordani

Profilo Autore

Andrea Giordani è un esperto senior di sicurezza dei sistemi informativi. Ha conseguito rilevanti certificazioni internazionali nella materia ed ha una notevole esperienza di sviluppo sicuro dei sistemi IT nonché in molteplici attività di governance della sicurezza IT. Già lead auditor presso aziende per la verifica della certificazione ISO_27001 e 27002, ha svolto attività di audit e di verifica dell’analisi del rischio presso rinomati clienti internazionali per determinare lo stato di sicurezza dei loro sistemi informativi deputati alle operazioni finanziare svolte con carta di credito. Ha conseguito un Master di II livello in Intelligence e Sicurezza. Attualmente è membro della commissione Cyber Threat Intelligence e Warfare presso la Società Italiana di Intelligence.

Condividi sui Social Network:

Ultimi Articoli