L’apertura dell’edizione veronese del Security Summit 2017 è stata la tavola rotonda sullo stato della sicurezza in Italia e nel Nord-Est. Sono stato invitato dal CLUSIT a rappresentare la situazione del Nord-Est a livello di cyber attacchi e fenomeni criminali più diffusi, nonché il comportamento e la sensibilità delle aziende su questi temi. Ho posto l’accento sul ruolo del moderno CISO e sull’estrema importanza di investire nell’educazione e nella consapevolezza del personale, ultimo baluardo della sicurezza quando le tecnologie falliscono.

Splendida platea ieri alla tavola rotonda di apertura dell’edizione veronese del Security Summit 2017 organizzato dal CLUSIT presso il Crowne Plaza Verona Fiera. Il Security Summit è la manifestazione nazionale dedicata alla sicurezza delle informazioni, delle reti e dei sistemi informatici che, da anni, appassiona i partecipanti con contenuti e approfondimenti sull’evoluzione tecnologica del mercato. Giunto alla IX edizione, il Security Summit si è imposto, ed è riconosciuto dal mercato, come l’evento di eccellenza nel panorama italiano grazie all’alta qualità dei relatori e alla numerosa partecipazione di pubblico sempre più qualificato. In occasione dell’evento veronese, il CLUSIT ha presentato il famoso “Rapporto sulla Sicurezza ICT in Italia“ aggiornato alla nuova edizione di settembre 2017 e contenente nuove informazioni e i dati statistici relativi al primo semestre 2017.

Vorrei innanzitutto ringraziare il Segretario Generale del CLUSIT Paolo Giudice per il graditissimo invito e il CEO di Astrea Cinzia Ercolano per la splendida organizzazione dell’evento. La tavola rotonda è stata presieduta dal presidente onorario del CLUSIT Gigi Tagliapietra ed animata, oltre che dal sottoscritto, da Alessio Pennasilico, Alberto Mercurio di UNIS&F, Gianluca Busco Arre’ di Panda Security Italia e Salvatore Marcis di Trend Micro. Andrea Zapparoli Manzoni ha partecipato a distanza inviando un breve filmato di introduzione.

Gli argomenti trattati nella tavola rotonda iniziale hanno riguardato i risultati emersi nell’ultima versione del rapporto, l’evoluzione delle tecniche di attacco e l’impatto economico e di immagine nei vari settori, sia a livello nazionale che internazionale. Si è parlato poi del livello di consapevolezza su rischi e minacce presso le aziende del Nord-Est, quanto queste siano disposte ad investire per aumentare le competenze del proprio personale per affrontare le crescenti sfide legate all’uso delle tecnologie, nonché quali suggerimenti fornire alle aziende per mettere in sicurezza le proprie informazioni e quali le azioni più urgenti da attuare.

I miei interventi hanno riguardato in particolare la situazione delle aziende del Nord-Est a livello di cyber attacchi, i fenomeni criminali più diffusi e qual è il comportamento e la sensibilità delle aziende di fronte a queste problematiche. Ho quindi esposto i più recenti ed eclatanti incidenti di sicurezza avvenuti nel triveneto, quali sono i principali driver di sicurezza nelle aziende, con un focus sulle PMI, e quali sono le principali conseguenze degli attacchi informatici in termini operativi, finanziari e reputazionali. Ho posto inoltre particolare attenzione al tema dell’educazione e della consapevolezza del personale e al ruolo del moderno responsabile della sicurezza (il CISO) che richiede nuove competenze.

Ringrazio Alesso Pennasilico e Gigi Tagliapietra per aver ricordato ed illustrato agli astanti il premio “Cultura, innovazione tecnologica e sicurezza informatica” che mi è stato assegnato dal CLUSIT nella sessione di Milano del Security Summit 2017 per la campagna di security awareness “Connessi e Consapevoli” e per aver saputo trasmettere valore umano. Ringrazio anche il pubblico per il sentito applauso all’iniziativa. Fra l’altro, a margine dell’evento ho avuto il piacere di incontrare nuovamente gli esponenti del movimento “Not Man Made” con i quali si è abbozzata una futura collaborazione con l’Università di Trento.

Di seguito una rappresentazione dei temi e dei dati statistici a supporto che ho portato alla tavola rotonda.

Lo scenario nazionale

Nel 4° trimestre 2016 l’Italia era al 4° posto nel mondo per numero di utenti online complessivamente colpiti da cybercrime (29%), ed è entrata nella Top10 mondiale per numero e gravità degli attacchi. In aumento dal 16% al 19% gli attacchi informatici verso realtà europee, con ben il 75% degli attacchi originati dal cybercrime e il 12% da espionage. Si stima un volume di riscatti pagati per ransomware pari a circa 25 milioni di euro, tenendo conto però che le stime dipendono dalle segnalazioni e dagli attacchi di dominio pubblico, ma molti imprenditori e molte aziende scelgono di non divulgare alcunché. Secondo un recente studio di Trend Micro, l’Italia è al 7° posto nel mondo (2,53%) per ransomware subìto (dopo USA 15%, Brasile 12%, India 9%, Vietnam 5%, Turchia 5% e Messico 4%) ed è al 2° posto in Europa (10,03%) dopo Turchia (18%) e prima di Germania (9%), Spagna (7%) e Francia (7%).

Nel primo semestre 2017 sono state scaricate app maligne e intercettati malware per un volume pressoché pari a tutto il 2016.

Lo scenario del Nord-Est

Quattro aziende padovane bloccate da incidenti informatici nelle ultime settimane del 2016 e dieci aziende venete colpite da malware a giugno 2017 in un attacco probabilmente originato da un focolaio in Ucraina. I casi più eclatanti riguardano Maschio Gaspardo, TNT, Maersk Marghera, Saint Gobain e Veneto Banca.

Il Gruppo Maschio Gaspardo è una multinazionale leader nella produzione di attrezzature agricole che è stata vittima di un attacco da virus ransomware che ha letteralmente paralizzato tre stabilimenti bloccandone l’operatività e costringendo l’azienda a lasciare a casa ben 650 dipendenti (250 a Campodarsego, 150 a Cadoneghe e 250 a Morsano al Tagliamento). Per un’azienda che ha un fatturato annuo di circa 300 milioni di euro, una settimana di operatività bloccata può significare un danno finanziario diretto stimabile in 6 milioni di euro, cui vanno aggiunti i danni operativi, i costi di ripristino, le spese legali e il grave danno reputazionale.

Discorso analogo per la TNT con sede nella zona industriale di Padova che è stata costretta a lasciare a casa 200 dipendenti fra addetti alla logistica, autisti, addetti all’assistenza e personale operativo.

Altro caso da menzionare è quello di Veneto Banca, che ha subìto la violazione delle circa 6.000 caselle di posta elettronica aziendale dei dipendenti, con conseguente furto di documenti interni e riservati. L’incidente è tuttora in corso di investigazione, ma pare che l’attacco sia avvenuto fra gennaio e febbraio 2016 e abbia consentito l’accesso, la copia, l’estrazione e la cancellazione con totale esportazione di dati su una quindicina di caselle di posta elettronica, lasciando supporre che fosse un attacco mirato a specifici soggetti.

Si stima un attacco al giorno per le aziende del Triveneto, con le aziende del padovano che subiscono perdite stimate in circa 3 milioni di euro l’anno. Secondo un recente studio di PWC in collaborazione con Yarix e la Polizia Postale (maggio 2017), un terzo delle aziende venete prese di mira ha riportato perdite del 20% sul fatturato medio (ovvero mancati introiti).

Se per una PMI i costi di ripristino dei sistemi informativi e dell’operatività ammontano mediamente a 10.000 euro, i costi e le perdite correlati ad eventuali attacchi possono consistere nella perdita di dati aziendali critici (ordini, clienti, fornitori, fatture, codici di pagamento, segreti industriali e informazioni che mettono a rischio la reputazione), in costi operativi per la mancata attività e gli impatti sulla produzione, in impatti normativi dovuti alla mancata osservanza di leggi e regolamentazioni (in particolare sulla tutela dei dati personali e sensibili), in danni a terzi per violazione di reti, basi dati e il sostenimento di spese di comunicazione alle controparti, in spese legali per reclami, azioni legali anche collettive, richieste di risarcimento, onorari degli avvocati, transazioni extragiudiziali e perizie di vario genere, e, infine, in impatti reputazionali sull’immagine dell’azienda e conseguente perdita di posizioni sul mercato. Generalmente gli impatti più pesanti di un cyber attacco riguardano i servizi maggiormente informatizzati, ovvero amministrazione e fatturazione (80%), logistica e consegne (73%) e vendite (60%).

La sicurezza nelle aziende

In materia di sicurezza delle informazioni, i maggiori driver di investimento in sicurezza nelle aziende sono ancora la conformità normativa (48%), gli attacchi subìti in passato (35%) e, in misura minore, le nuove esigenze di business (31%). Solo per un’azienda su cinque (22%) il driver è la protezione dei dati aziendali. Fra le misure di sicurezza maggiormente adottate troviamo quasi esclusivamente quelle tecnologiche fra soluzioni di base (antivirus e antispam, 76%) e più sofisticate (firewall, IDS e IPS, 62%), mentre meno di un’azienda su due (46%) investe su un corpo normativo di sicurezza e una su quattro (25%) si affida al “buon senso” dei dipendenti.

Nonostante la maggiore attenzione alla conformità normativa, in materia di GDPR (General Data Protection Regulation- Regolamento UE 2016/679 sulla protezione dei dati personali) il quadro non è certo confortante. Secondo un recente sondaggio degli Osservatori del Politecnico di Milano patrocinato dal Clusit (pagina 248 del rapporto aggiornato), solo un’azienda su cinque (18%) ha un piano pluriennale di investimento integrato nel piano industriale (58% per le aziende più grandi), una su cinque (21%) ha un piano pluriennale non integrato nel piano industriale, mentre il resto (due su cinque) ha un piano a breve termine o stanzia il budget solo all’occorrenza.

Il 20% delle imprese dichiara candidamente di non avere budget sufficiente per investire nella sicurezza informatica.

In generale, gli imprenditori veneti non si proteggono adeguatamente, non denunciano le violazioni e gli attacchi subìti (a meno che non siano talmente eclatanti da finire sui media), non si assicurano contro i rischi cyber (solo un’impresa su cinque si assicura contro gli incidenti industriali ma non contro gli incidenti informatici) e spesso scelgono di pagare il riscatto richiesto dai cyber criminali alimentando di fatto il loro business. Eppure le maggiori preoccupazioni degli imprenditori riguardano proprio l’interruzione del business, la perdita di reputazione sul mercato e la perdita o l’indisponibilità dei dati aziendali critici. Una notevole contraddizione.

Secondo il report CINEAS (Consorzio Universitario del Politecnico di Milano), relativo a 272 imprese medie di vari settori, crescono però le imprese che adottano un sistema integrato di gestione dei rischi, dal 17,2% del 2016 al 25,3% del 2017, un +8,1% che non risolve ancora granché, dato che solo un’azienda su quattro è così virtuosa. Inoltre solo il 16,7% gestisce i rischi con risorse interne e solo il 5,2% ha un risk manager nel proprio organico. Il 47,2% adotta un approccio segmentato e il 27,5% non attua la gestione del rischio.

Aumenta la consapevolezza sulla pervasività del rischio cyber, tanto che fra i rischi maggiormente percepiti il cyber risk è al 2° posto dopo la sicurezza sul lavoro. Tuttavia, solo il 20% delle aziende ha acquistato una polizza di copertura del cyber risk, che comprende l’incidente o l’attacco e tutte le conseguenze dirette e indirette. Eppure, in termini di performance economiche, si evidenzia un ROI superiore del 30% per le imprese virtuose che adottano un’efficace gestione integrata del rischio cyber.

Si è accennato anche alla Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (cd “Direttiva NIS”), che identifica come operatori di servizi essenziali (Articolo 4 punto 4) le aziende dei settori dell’energia (elettricità, petrolio e gas), dei trasporti (aereo, ferroviario, vie d’acqua e stradale), del settore bancario, le infrastrutture dei mercati finanziari, del settore sanitario, la fornitura di acqua potabile e le infrastrutture digitali. Su questi settori saremo chiamati ad investire maggiormente in sicurezza nel prossimo futuro.

CISO: il ruolo nelle aziende e le nuove competenze richieste

Secondo uno studio di Via Virtuosa e Margas, pubblicato nel whitepaper “Cyber Risk Exposure & Cyber Risk Insurance” a cura di Luca Moroni e Cesare Burei (pagina 100 del rapporto aggiornato), con i quali ho avuto l’onore e il piacere di collaborare, solo il 46% delle aziende del triveneto ha formalizzato il ruolo del responsabile della sicurezza delle informazioni, il CISO. Negli altri casi, il ruolo non è formalizzato (12%), deve essere introdotto (9%), è delegato ad un soggetto esterno (5%) oppure la relativa responsabilità è posta in capo al CIO (28%) andando ad alimentare la pericolosissima dualità fra semplice funzionamento (tipicamente IT) e funzionamento sicuro dei servizi informativi.

Laddove il CISO è presente, nel 65% dei casi risponde al CIO (anche qui il pericolo di dualità), mentre nei restanti ad altre figure di controllo (CSO, CRO, CCO, ecc.) o altri manager non in ambito (COO, CFO, ecc.). Sono in un caso su dieci il CISO risponde al Consiglio di Amministrazione, come è da tempo previsto in letteratura e imposto nelle principali normative nazionali ed europee, soprattutto nei settori bancario e assicurativo.

Le aziende sono soggette ad una trasformazione digitale che introduce nuovi preponderanti fenomeni come il Big Data, il Cloud Computing, l’Internet of Things (IoT), il mobile, i social media e il BYOD. Sono sempre più le aziende, in particolare le PMI, che spostano imprudentemente i dati aziendali su servizi cloud (Dropbox, Google Drive, iCloud, ecc.), sfruttano la mobilità di tecnici e venditori mediante smartphone e tablet, e scambiano informazioni con dipendenti, partner, clienti e fornitori utilizzando i social media (Facebook, Linkedin) o le piattaforme di instant messaging di terze parti (Whatsapp, Messenger, Telegram, ecc.).

Il governo della sicurezza si sta spostando di conseguenza da una gestione perimetrale alla necessità di controllare e proteggere i dati, ovunque essi siano.

Questa trasformazione richiede nuovi modelli organizzativi (ruoli di governance ed indirizzo, framework standard e gestione del rischio), nuove competenze (maggiore consapevolezza, sensibilizzazione di sicurezza a tutti i livelli) e nuove regole (strategie ben delineate sul lungo periodo, governo delle minacce e salvaguardia del business aziendale).

Nella maggior parte delle aziende, il CISO si occupa tuttora di temi prettamente tecnici, come vulnerability assessment (60%), business continuity e disaster recovery (60%), molto meno di politiche e procedure (28%) o di crisi reputazionale (18%).

Ma al CISO moderno sono richieste nuove competenze, oltre alla preparazione sulla sicurezza delle informazioni.

Il CISO che vuole sopravvivere alla trasformazione digitale, all’avvento della gestione del rischio e alla transizione da protezione perimetrale a protezione del dato, deve sviluppare soft skill relazionali per instaurare relazioni efficaci con il board, con i top manager (CxO), le funzioni di controllo interno (audit, compliance e risk management) e il business. Deve conoscere approfonditamente il business aziendale, maturare la capacità di sviluppare e governare un team complesso, promuovere l’educazione e la sensibilizzazione di sicurezza e sviluppare capacità strategica e di program e project management.

Il rapporto con il business e con il consiglio di amministrazione sono fondamentali, perché non si può governare né proteggere qualcosa che non conosci.

Un’importante aspetto che il CISO moderno deve comprendere bene, è che il fatto che l’ormai antico trucco del phishing (risale a prima del 1996) vada ancora alla grande fra i cyber criminali e il malware riesca tuttora a colpire numerose aziende è la chiara dimostrazione che l’essere umano è di fatto l’anello debole della sicurezza, in particolare quando si tratta di configurare al meglio le tecnologie e quando queste falliscono.

Perché le tecnologie prima o poi falliscono. Non si tratta di “se”, ma di “quando”.

È indispensabile aumentare la cultura di sicurezza in azienda e investire sull’educazione di sicurezza del personale e sulla consapevolezza dei rischi e dei comportamenti più adeguati a garantire un’efficace salvaguardia dei dati e del business aziendale.

Una forte spinta ad investire in educazione e sicurezza viene anche dalle categorie, come Confindustria. Anche il Presidente del Garante per la Protezione dei Dati Personali, in seguito al recentissimo caso SOGEI, ha scritto una lettera ufficiale al Presidente del Consiglio dei Ministri On. Paolo Gentiloni, in cui dichiara che “(…) mancano spesso un’adeguata consapevolezza e competenze idonee a far fronte all’incremento dei rischi (…)” e “All’incremento di tali rischi dovrebbe infatti corrispondere una costante attenzione nella gestione dei sistemi informativi e un crescente impegno nella scrupolosa osservanza degli obblighi di sicurezza e di qualità dei dati (…)”. A quanto pare la consapevolezza sull’importanza di cambiare modello organizzativo e culturale sulla sicurezza sta giungendo finalmente anche ai più alti livelli della politica.

Infine, nascono e si diffondono le facoltà universitarie in materia di sicurezza informatica, con corsi di laurea adesso disponibili presso le università di Milano (Crema), Bari, Napoli (Federico II), Roma (San Raffaele e Sapienza), sintomo che la sicurezza informatica sta diventando sempre più una vera e propria disciplina, finalmente separata dall’information technology e con una propria dignità.

Ettore Guarnaccia