Un nuovo approccio alla Cybersecurity

Paolo dal Cin, Managing Director – ICEG Security Lead e CMT Security Global Lead presso Accenture, intervistato durante il Cybertech 2017, suggerisce nuovi approcci alla Cybersecurity, sia per le Corporate sia per le PMI, passando anche per il partenariato Pubblico Privato e la sensibilizzazione di top manager e CEO aziendali.

1 – Partenariato tra pubblico e privato per la Cybersecurity. Quale, secondo Accenture, la migliore strategia?

Guardando alla storia recente, riferendosi all’amministrazione Obama, è stato necessario utilizzare le big tech private perché le risolse nazionali non bastavano.

In Europa solo 4 o 5 anni fa, nasceva la European Cyber Security Organisation – ECSO (di cui Accenture è tra i founder n.d.r.), che rappresenta una entità maggiormente pragmatica rispetto al partenariato, peraltro rappresentata da molte aziende internazionali ma ancora troppo poche italiane, sia come PMI, sia come settori industriali come ad esempio il manifatturiero.

La cybersecurity non deve essere considerata solo come il “problema di mettere in sicurezza la difesa” ma come uno dei “principali problemi di business per la protezione proprietà intellettuale”.

Per trasmettere l’esigenza del cambio di mindset una volta si utilizzava il risk assessment, che produceva un volume di carta eventualmente accantonabile, mentre oggi non si parla più di probabilità teoriche ma di misurare il rischio reale di una azienda che non può essere accantonato.

Accenture segue un approccio di cyber attack simulation con red teaming, per far emergere quali informazioni potrebbero far gola, fornendo i riferimenti delle minacce potenzialmente utilizzabili.
Dunque al posto di un report di mille pagine sui rischi potenziali, si sintetizza il test di simulazione in una pagina e si cattura l’attenzione del board of directors aziendali.

Accenture, grazie a questo approccio, non si interfaccia più solo con le figure dei CIO ma anche con i CEO, i direttori generali e con il board dei direttori. La domanda da suggerire a queste figure è “noi e il nostro business siamo abbastanza al sicuro?”.

Poiché la risposta è complessa e attualmente molti responsabili non la possono dare, la “misura sul campo operativo” che valuti direttamente la capacità di resilienza sul business, la valutazione del grado di esposizione, del livello di skill per individuare mitigare e risolvere un attacco, costituiscono una misura del rischio reale su cui far decidere in merito ad accettazione, mitigazione con contromisure o trasferimento.
In questo approccio si lavora con un commitment altissimo, mentre il resto della catena operativa non ne è a conoscenza.

Quindi se le società di consulenza e di advisory effettuassero simulazioni di questo tipo, potrebbero arrivare ad uno “stress test” come si fa in ambito bancario sulla base di intelligence results.

Come si opera in questo stesso approccio ma verso le PMI? Esistono strategie applicabili tenendo conto della cronica mancanza di risorse fisiche e monetarie?

Si deve partire dalla sensibilizzazione e sul consenso dell’azienda a tutelare il suo business in modo rilevante, eventualmente utilizzando i network di Confindustria, Unindustria. Durante gli eventi di settore si può accendere una scintilla, ma ci vorrebbe una certa dose di curiosità intellettuale per capire che esiste una esigenza.

Successivamente anche se le risorse sono contenute, si dovrebbe partire dando la responsabilità ad una persona in azienda finalizzata a “prendersi a cuore” gli aspetti di sicurezza in senso ampio (data privacy, di info security, intellectual proprerty).

Il GDPR favorirà un approccio non più solo votato alla compliance perché poi nella realtà la conformità non basta se non si è protetti. La legge obbliga alla protezione dei clienti ma e i dati di business chi li protegge se l’azienda si dimentica di farlo? La legge non li può obbligare e resta alla sensibilità di chi guida e possiede l’azienda.

Se il Cybertech è pieno vuol dire che non si è risolto ancora il problema di coprire l’estensione della superficie di attacco. Dall’Accenture Mid Year Report si è visto che spendere per la cybersecurity dovrebbe abbassare il rischio o giustificarlo ma non e’ sempre vero ( si riferisce al paradosso per cui più si investe in tecnologia e maggiormente si estende la superficie di attacco n.d.r.) e anzi solo in due casi funziona: strumenti di analytics e quelli di intelligence.

Sul tema degli strumenti di analytics nessuna azienda avrebbe difficoltà a trovare e reperire informazioni su se stessa ma le PMI non hanno persone per gestire tutte queste info (che hanno dimensione da big data).
In particolare si tratta di reperire, nel rumore di fondo di internet e deep e dark web, le caratteristiche dell’attacco che potrebbe mettermi in ginocchio. Ci vorrebbe una prevenzione predittiva come per le malattie.

Se questo non è possibile ci si dovrebbe orientare sull’investimento verso un servizio di red o hot line during the incident, tipo CSIRT team non “as service” ma “on premise” che permetta di gestire una condizione di emergenza potenzialmente in grado di terminare l’attività di business.

Sul tema dell’intelligence, ricordando l’esperienza Accenture in EXPO Milano, era stata predisposta una intelligence pronta e operativa le cui informazioni indirizzavano la protezione. Nel mondo cyber deve accadere la stessa cosa, l’intelligence deve permettere di orientare il punto dove proteggere. Portando un esempio pratico, se una PMI ha un ransomware che gli chiede 20k forse lo pagherà ma oltre ad essere illegale forse chi ha colpito lo rifarà in un circolo vizioso. Allora perché’ non spenderne 10k per proteggersi?

Fino a ieri non si capiva questa semplice equazione, oggi si deve avere ben presente il rischio reale. Qualora infine si pensi ad una assicurazione di trasferimento del rischio il problema principale è proprio capire quale rischio e quale sia la copertura offerta per evitare che uno 0-day (malware completamente nuovo n.d.r.) si tramuti in un incidente “cigno nero” (evento disastroso n.d.r.)

Qiale messaggio si riporta a casa dal Cybertech in termini di main topics?

Li elencherei per priorità:

1. la security non è una issue di tecnologia ma una business priority.

2. Non si deve rispondere solo con la tecnologia, che è pur rilevante, ma non è l’unica risposta.

3. Ci vuole innovazione (il cybercrime si avvantaggia perché investe e i ladri innovano gli attacchi). Non si deve restare in attesa o porsi in modo reattivo ma è necessario studiare le tecnologie che permettano di rispondere e prevenire.
   Personalmente, Paolo dal Cin si dichiara anche in favore di un approccio basato sul contrattacco per ripristinare il livello di business.

Ogni manifatturiera ha imparato come ripristinare un macchinario prevenendo anche danni frequenti alla catena produttiva e nella componente digitale (industria 4.0 n.d.r.) si dovrebbe arrivare a proteggere i sistemi digitali legati alla produzione.

Nessuno ha il “silver bullet” per ogni settore di mercato ma  per Accenture è importante restare flessibili per ogni tipo di business, pensando di calare le loro soluzioni per ogni realtà ma sempre partendo dal problema di business per indirizzarlo al meglio.

Su cosa lavorare per il futuro? 

Il futuro deve basarsi non solo sulla AI ma sulla intelligenza umana rispondendo alle minacce con una nuova generazione di esperti. La nostra esperienza con il cybergame, giunto alla seconda edizione, ci permette di individuare e formare i Security Expert che proteggeranno le aziende del futuro, ragazzi capaci di pensare. Nel format si parte da un red team che attacca ed un blue team che difende ma l’obiettvo centrale è di mantenere la resilienza aziendale. Il cybergame serve a trovare talenti capaci di reagire e mantenere l’azienda in operatività.

Chiunque voglia si può candidare sul sito Accenture, che ricerca profili per le sedi di Milano, Roma e Napoli, con la lungimirante intenzione di mantenere l’allocazione delle risorse nello stesso ambito territoriale della sede di competenza.

Immagine Shutterstock