Cyber Risk Management: dalla cyber intelligence alla cyber insurance
Intervista a Giampiero Nanni, Government Affairs, Symantec EMEA, durante la 18° edizione del Forum ICT Security
Qual è l’esperienza di Symantec nel cyber risk management?
Symantec è la più grande società di Cyber security al mondo; io appartengo al team di Government Affairs, diviso tra Bruxelles e Londra. Non siamo tecnici né commerciali, ci occupiamo di policy e di legislazione: in questo senso il 2018 sarà un anno molto “caldo” per una serie di leggi che entreranno in vigore tra cui NIS, GDPR e altre. Qualche numero: abbiamo una rete vastissima rete di sensori su internet, oltre 98 milioni di sensori che catturano tutto ciò che circola, sia di “buono” che di “cattivo”: questi dati, un numero impronunciabile di byte di telemetria, vengono poi distillati dai nostri 500 analisti in un rapporto – l’Internet Security Threat Report (ISTR) – pubblicato annualmente sul nostro sito. Un esempio: nel 2009, ormai un ricordo sbiadito, abbiamo trovato più di 2 milioni di varianti malware durante l’anno. Nel 2016, l’ultima osservazione completa, siamo a poco più di un milione. Sembra un buon risultato – peccato però che parliamo di un milione al giorno, quindi viaggiamo al ritmo di circa 400 milioni di varianti malware l’anno. Questa è la montagna che ci troviamo a fronteggiare.
Rispetto a questo quadro di minacce in costante evoluzione, quali sono le principali vulnerabilità e gli aspetti fondamentali da considerare per la messa in sicurezza dei sistemi ICT?
Sempre di più rileviamo come gli attaccanti sfruttino i comportamenti delle persone e delle aziende. Sfruttano tutto quello che le aziende e le persone fanno – e non fanno – per mettere in sicurezza i loro dati. Apriamo degli attachment, facciamo click su dei link che arrivano da chissà chi; magari trasferiamo dati su ‘contenitori’ o in App nel cloud che non sono noti all’azienda e così via, offrendo inconsapevolmente il fianco a chi vuole farci del male.
Chiaramente la cyber intelligence è un aspetto fondamentale: “conosci il tuo nemico” è il primo passo in ogni strategia difensiva. Noi collaboriamo con i governi, in molti casi anche in modalità non commerciale, fornendo queste indicazioni; in altri casi, essendo Symantec un’azienda commerciale, vendiamo i nostri prodotti a fini di cyber intelligence.
Oggi la nostra prima tappa deve essere il controllo. L’ICT sta progressivamente perdendo il controllo delle cose: questo avviene perché una volta c’era un mondo senza il Cloud, dove tutto era al sicuro in azienda. Ma pian piano è arrivato internet e poi è arrivato il cloud, rivoluzionando ogni cosa.
Un piccolo amarcord personale: nel 2004, quando lavoravo per IBM Global Services, appena lanciata la primissima offerta di hostings services (facevamo hostings di SAP, Microsoft Exchange, Lotus Domino…) realizzammo che il problema principale non era quello tecnologico, bensí far superare ai potenziali clienti il “trauma” di separarsi dai loro dati. Ci chiedevano: “Sì, ma i dati dove sono?” perché sentivano di perderne il controllo.
Questa perdita di controllo si è acuita con altri strumenti: il cloud, le infrastrutture, le piattaforme, oggi tutto ‘as a service’: questo spaventa un po’ l’ICT. Oltretutto, ci confrontiamo con confini sempre più labili, rappresentati in particolare dal mobile e dal mondo IoT (per me una bomba a orologeria: 20 miliardi di devices saranno attivi nel 2020 e pochissimi di questi hanno veramente una parte di sicurezza attiva e solida come sarebbe necessario, le webcam ne sono un tipico esempio).
A proposito di controllo, quali effetti avrà l’entrata in vigore del GDPR sull’organizzazione aziendale in ambito di security?
Il Regolamento Generale per la Protezione Dati, riguarda la data governance dell’informazione durante tutto il ciclo di vita – ovvero dalla raccolta, al trattamento, alla messa in sicurezza dei dati e infine la loro distruzione. Un esempio specifico di rischio, e di vulnerabilità, in ambito cloud/GDPR: la Shadow IT riguarda le applicazioni e i tool che girano nel cloud, di cui però l’azienda non ha conoscenza; come dipendenti usiamo i tool per innumerevoli attività quotidiane, come trasformare documenti da un formato all’altro, con App nel cloud. In quest’ottica la Shadow IT diventa un problema in termini di compliance, appunto perché l’IT non controlla ciò che non conosce, né tantomeno i dati personali che queste App possono trattare.
Recentemente abbiamo condotto uno studio su questo tema, chiedendo alle aziende enterprise quante applicazioni credessero di avere nel cloud. Hanno risposto, in media, tra le 30 e le 40. Quando sono arrivati i nostri specialisti con i nostri strumenti per procedere al conteggio reale, il risultato è stato un po’ diverso: abbiamo infatti scoperto che la media era di 938. In media, quindi, in un’azienda ci sono oltre 900 applicazioni nel cloud libere di agire senza controllo. Queste app ovviamente trattano dei dati, e se questi dati sono sono dati personali – magari sensibili – ricadono nell’ambito del GDPR e sollevano un’enorme questione di liability.
Infatti, se un’azienda trova applicazioni che trattano dati personali non censiti, si trova in una posizione di mancanza di conformità di cui dovrà probabilmente informare l’autorità di controllo.. Quindi una situazione pericolosissima: è inutile investire in anni di preparazione sul GDPR se si hanno 900 applicazioni sconosciute che possono trattare i dati personali che il Regolamento intende proteggere.
Di conseguenza, è chiaro come l’attività di “perlustrazione” del cloud per capire bene cosa giri in azienda e quali dati risultino coinvolti sia fondamentale. Parlando di soluzioni, impedire l’accesso alle App nel cloud non è la migliore delle idee: queste app vengono utilizzate dal personale per motivi reali, quindi bisogna lavorare per consentire loro di utilizzarle in modo legittimo. Chiaramente occorre eliminare le app più pericolose, ma soprattutto prendere le misure necessarie per quelle che non possiamo controllare, ricorrendo anche a tecniche di encryption, data loss prevention, di pseudonimizzazione, o di “tokenizzazione”: dobbiamo insomma intervenire sul dato e proteggerlo affinché non venga portato fuori dall’azienda, anche se inavvertitamente e in modo non doloso.
A detta di tutti gli esperti, nel panorama delle nuove minacce gioca sicuramente un ruolo centrale il cosiddetto insider. Come è possibile mitigare o prevenire tale rischio?
L’insider può costituire un grosso rischio: se ha motivazioni dolose è molto più pericoloso di un attaccante outsider perché sa esattamente dove andare ad agire per catturare dati, per sabotare, o per ottenere vantaggi personali. Esiste un’ampia letteratura sul tema, che tra l’altro tocca aspetti delicati del personale – aspetti psicologici, potenziali conseguenze penali, insomma una serie di problematiche complesse. La sfida va giocata innanzitutto in termini di cultura aziendale – che deve formare gli utenti, promuoverne l’awareness, sensibilizzarli su quelli che sono le cose da fare e soprattutto le cose da non fare. In questo ambito vanno tenuti a mente due concetti fondamentali: la motivazione e l’opportunità. Le motivazioni sono tante e spesso imprevedibili (possono spaziare dal sabotaggio ai motivi personali, a vantaggi economici e molto altro ancora) ma l’opportunità è un fattore su cui l’azienda ha un maggiore controllo. Cercare di non fornire l’opportunità significa mitigare il rischio. Oltre all’aspetto formativo, lo scorso anno abbiamo condotto uno studio sui rimedi procedurali e abbiamo scoperto che il 10% delle aziende hanno ammesso che tutti i loro dipendenti hanno accesso a tutti i dati personali trattati dalla società. In ambito GDPR questo è l’inferno – ci sono poi le aziende che non lo hanno ammesso e quelle che non ne hanno proprio idea.
Parliamo di cyber insurance: di cosa si tratta e quale impatto prevedete per il suo ingresso nel mercato aziendale italiano?
Si tratta di uno strumento nuovo, già fortemente attivo negli USA e presente nel Regno Unito dove c’è anche una forte spinta del governo in tal senso. Sappiamo che il costo degli attacchi informatici sono nell’ordine di milioni di dollari: quando sommiamo tutti gli attacchi a tutte le aziende,andiamo potenzialmente ad intaccare il PIL di una nazione; quindi è nell’interesse dei governi far sì che le aziende si assicurino.
Ma per questo c’è bisogno che le compagnie assicurative conoscano il problema cyber, e siano in grado di quantificarne il rischio. Oggi le compagnie assicurative – a differenza, ad esempio, dei rami auto o vita – non dispongono di una grande varietà di dati per creare modelli per calcolare il rischio. Occorrono quindi dati di cyber intelligence più esaustivi ed affidabili per incrementare l’appetito per il rischio degli assicuratori.
A cura della Redazione