Cyber security report 2016, il vademecum anti-hacker per la sicurezza nazionale
Presentato alla Sapienza di Roma l’Italian Cyber Security Report 2016 realizzato dal Cis-Sapienza e dal Laboratorio Nazionale di Cyber Security-Cini. Un vademecum per le aziende e i decisori pubblici stilato dagli esperti della Sapienza presenta i controlli essenziali per difendersi dai cybercriminali
di ARTURO DI CORINTO per La Repubblica del 3 Marzo 2017
ROMA – ”L’Italia non ha una protezione adeguata nel cyberspace: costruiamola insieme ai privati e con una giovane e competente workforce.” Con queste parole Roberto Baldoni direttore del comitato di ricerca nazionale in cybersecurity ha aperto i lavori di presentazione dell’Italian cybersecurity report 2016 alla Sapienza di Roma. A ribadire il concetto interviene il prefetto Pansa, capo dei servizi segreti, che in chiusura dichiara: “Solo garantendo la sicurezza nel cyberspazio il nostro paese potrà entrare nella modernità”. Nell’aula magna dell’università dove campeggia L’Italia tra le arti e le scienze, il famoso dipinto di Sironi, stracolma per l’occasione, finalmente si è avuta l’impressione di una consapevolezza diffusa che per difendere l’economia di un paese sviluppato come il nostro si deve proteggere l’ecosistema Internet su cui poggiano tante attività industriali, sociali e amministrative.
Un ecosistema che si è rivelato fragile con il caso Eye piramyd, ma che dimostra ogni giorno tutta la sua inadeguatezza di fronte all’aumento delle frodi online, delle richieste di riscatto informatico causate dai ransomware, degli attacchi DDoS alle infrastrutture critiche, dei virus che infestano i telefonini e che mettono in pericolo non solo i conti bancari dei comuni cittadini ma bloccando anche l’operatività delle aziende incidono direttamente su produttività, profitti e occupazione.
Per questo motivo la quinta edizione del report redatto dai ricercatori del laboratorio di Cyber Intelligence e security della Sapienza è stato dedicato all’analisi dei rischi informatici più frequenti per le imprese italiane a cui offre, per la prima volta, un elenco di comportamenti virtuosi da adottare per mettere al sicuro la filiera produttiva del Bel Paese e proiettarci, come diceva Pansa, nella modernità. Una checklist di controlli essenziali che si viluppa in tre direttrici: la comprensione dei ”Controlli essenziali di cybersecurity” e il loro processo di applicazione; una serie di esempi di incidenti causati dalla errata o assente applicazione dei controlli; la relazione che lega i ”Controlli essenziali al Framework nazionale per la cybersecurity”. Con un’avvertenza: questi 15 Controlli che sono stati selezionati attraverso un processo di consultazione pubblica da 200 esperti di settore, si rivolgono alle medie, piccole e micro imprese, oltre che ai decisori pubblici, hanno una validità limitata nel tempo (a causa della dinamicità della minaccia cyber), e soprattutto non hanno alcun ordine di priorità, ma sono tutti essenziali per le imprese target dei cybercriminali.
Nel documento si chiarisce, per prima cosa, che ”per controllo essenziale si intende una pratica relativa alla cybersecurity che, qualora ignorata o implementata in modo non appropriato, causa un aumento considerevole del rischio informatico.”
Inventario dei dispositivi e del software. I primi quattro consigli riguardano la necessità di fare un elenco dei dispositivi e del software in uso, tenerli aggiornati e verificarne l’utilizzo quotidiano perché oggi anche i dispositivi intelligenti che abbiamo in casa e in ufficio possono ritorcersi contro di noi se infetti ed essere usati, ad esempio, per ordinare un attacco informatico a un ospedale o alle aziende. Oppure perché una penna Usb presa in prestito può rubare i dati del nostro computer e mettere a rischio informazioni contabili e finanziarie. Perciò è necessario che l’azienda nomini un responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
La gestione delle reti. La voce dedicata alla governance della sicurezza mira a mitigare l’attività di spionaggio industriale, interna ed esterna all’azienda con una serie di accortezze come l’uilizzo di sistemi di autenticazione e autorizzazione informatica, il salvataggio dei dati con frequenza settimanale e le procedure di ripristino sotto la supervisione del privacy information officer previsto dalla direttiva eruopea.
Protezione da malware. Un altro oggetto della vigilanza riguarda invece la riduzione di danni e furti di dati prodotti da quei virus, i malware, che si installano nei sistemi informatici facendogli fare quello che non dovrebbero. Da qui l’invito all’adozione di antivirus aggiornati, filtri per le e-mail, web-firewall e altri controlli di sicurezza.
Gestione password e account. La prima linea di difesa informatica è sempre la password. Perciò alle voci successive invece si rimarca limportanza di una corretta gestione di account e password che vanno cambiate spesso, aggiornate, tenute segrete e mai condivise, con una verifica costante di chi accede a che cosa. Nel report si suggerisce di usare lo Spid il Sistema Pubblico di Identità Digitale che fornisce una valida soluzione per gestire le utenze di cittadini che devono accedere in modo sicuro a servizi offerti dalla Pubblica Amministrazione. E si suggerisce di abilitare la cosiddetta autenticazione a due fattori (ad esempio password ed sms o email di conferma per accedere a un servizio)
Formazione e consapevolezza. La grande assente delle politiche di cybersecurity finora è stata l’educazione degli utenti. A tale proposito il report consiglia di dedicare grande attenzione per evitare danni come quelli del phishing, cioè i casi in cui si clicca su link e allegati che installano virus o ci portano su siti truffa che “succhiano” il contenuto dei nostri computer. E questo va fatto, dicono i redattori, in relazione ai compiti, ai ruoli e alle funzioni del personale aziendale.
Protezione dei dati. Un suggerimento assai importante riguarda il backup, la copia di dati e informazioni per ripristinare sistemi e servizi quando si viene colpiti da certi tipi di ransomware, i software che prendono in ostaggio file e dispositivi cifrandoli e vengono sbloccati dagli stessi criminali solo dietro il pagamento di un riscatto. Se il backup è pronto spesso non c’è bisogno di pagare il riscatto per riavere dati cruciali per l’azienda.
Protezione delle reti. Un aspetto cruciale della sicurezza informatica sottolineato dai ricercatori riguarda l’adozione di firewall, strumenti hardware e software che stanno a guardia delle reti e stabiliscono quali dati sono autorizzati a transitare nelle reti aziendali bloccando quelli illeciti. E poi gli IDS o Intrusion Detection System per prevenire intrusioni non autorizzate come anche i mail/web Filter.
La prevenzione è importante. Non ultima, la cultura della prevenzione che parte dall’uso corretto delle licenze software e degli aggiornamenti dello stesso, le campagne di formazione e l’uso di personale qualificato per garantire la sicurezza e l’intervento immediato in caso di attacchi e danneggiamenti.
Come si vede dalla checkist sono però tutte azioni facili da realizzare e che certo comportanto un costo, stimato da poche migliaia di euro a oltre centomila in relazione alla grandezza dell’impresa, che però rappresentano un investimento sicuro a fronte del valore dei danni potenziali che possono evitare. Un investimento a lungo termine soprattutto per le piccole e medie imprese che finora non hanno investito perché poco consapevoli o in difficoltà economica, ma che senza questi controlli essenziali potrebbero diventare esse stesse il vettore di attacco a partner e committenti, provocando un esplosivo effetto a catena sulla filiera produttiva del paese.