Il conflitto Russia-NATO che si sta svolgendo in Ucraina si è quasi subito trasformato in una vera e propria guerra cibernetica, con gruppi di cyber criminali, cyber terroristi e hacktivisti, spesso state-sponsored, a darsi battaglia sul piano informatico. Questa cyberwar ha fatto irruzione in uno scenario già ampiamente preoccupante, in cui da tempo diversi gruppi di cyber criminali prendono di mira obiettivi critici e aziende di vari settori. Conflitti, terrorismo, criminalità, hactivismo, competizione di mercato e insider minacciano ogni giorno la reputazione del marchio e la continuità e la sopravvivenza del business di numerose aziende, nonché l’erogazione dei servizi primari (elettricità, gas, acqua, telecomunicazioni, trasporti, banche, finanza, ecc.) di intere nazioni.

La cronaca riporta una serie impressionante di attacchi di ingegneria sociale e sfruttamento di vulnerabilità per interrompere servizi primari, compromettere dispositivi OT, IoT e sistemi di controllo industriale, ottenere credenziali di accesso, codice software e informazioni sensibili, installare e diffondere malware (infostealer, ransomware o wiper), o supportare l’opera di disinformazione e propaganda mediatica delle parti in conflitto. Questo scenario globale impone alle aziende di abbandonare la navigazione a vista e iniziare a compiere scelte basate sul rischio, adottando un approccio preventivo e sempre più predittivo, mettendo in atto le migliori contromisure per salvaguardare il proprio business. Uno dei principali problemi è doversi destreggiare tra numerose fonti di dati e informazioni per individuare le minacce più rilevanti e determinarne i rischi, evitando disinformazione e propaganda, escludendo informazioni false o non pertinenti, e verificando l’affidabilità di quelle che sono effettivamente applicabili al contesto operativo della propria azienda.

Questa situazione di grande incertezza, conseguenza di pandemia, pressioni economiche e tensioni geopolitiche, induce in molti CEO un grande preoccupazione per la sopravvivenza della loro azienda, che trasmettono ai rispettivi CISO. Ed è proprio nell’incertezza che la disciplina della cybersecurity intelligence trova la propria realizzazione, supportando efficacemente l’individuazione delle minacce emergenti e dei rischi cyber per il business, promuovendo la comprensione della natura dei rischi a tutti i livelli decisionali e, quindi, la definizione delle migliori strategie di difesa.

Essa è un processo di raccolta, analisi e correlazione di dati e informazioni relativi sia al business aziendale (marchio, prodotti, servizi, clientela, terze parti, ecc.) sia al comportamento e all’eventuale impatto di potenziali avversari, che possono essere rappresentati da cyber criminali, cyber terroristi e hacktivisti, ma anche da aziende concorrenti senza scrupoli o da soggetti infedeli interni all’azienda. Il presupposto fondamentale di qualsiasi strategia di difesa, che debba tradursi in azioni tempestive ed efficaci, è la conoscenza approfondita sia dei propri beni e servizi da proteggere, sia dei propri avversari, del loro modo di agire, le loro motivazioni e i loro obiettivi. In un aforisma: “non puoi proteggere qualcosa che non conosci da ciò che non conosci”.

Oggi più che mai è importante porsi le giuste domande. Quali sono i beni e i servizi vitali che reggono il business della mia azienda e che devo salvaguardare a tutti i costi? Quali sono gli avversari che potrebbero avere un interesse ad attaccare la mia azienda e minarne immagine, reputazione e continuità del business? Come agiscono questi avversari e con quale possibile impatto? Quali misure preventive potrei attuare per impedire che eventuali tentativi di attacco non producano impatti per la mia azienda?

Come spiego nel mio ultimo libro “Cybersecurity Intelligence”, una risposta affidabile, efficace e tempestiva a tutte queste domande viene dall’intelligence e dal valore aggiunto che essa può apportare ai processi aziendali di sicurezza e di salvaguardia del business: security operations, incident response, vulnerability management, risk management, controllo della sicurezza delle terze parti, protezione del marchio, geopolitica e consapevolezza del top management e del personale aziendale. Solo chi investirà sulla conoscenza approfondita della propria azienda e dei suoi avversari può sperare di sopravvivere in questo moderno scenario di minaccia cyber.

Ettore Guarnaccia

Questo articolo è stato pubblicato su Cyber Magazine, periodico di Assintel, associazione nazionale di riferimento delle imprese ICT e Digitali di Confcommercio – Imprese per l’Italia.