Dal punto di vista tecnologico è ormai più che consolidato il concetto della presenza delle minacce generate dalle frontiere tecnologiche come Social Engineering, Mobile Devices, Massive Data Storage, IoT, Intelligenza Artificiale. Gli studi di settore mostrano i trend di crescita delle singole minacce, evidenziano che le minacce sono più sofisticate, i tempi di identificazione e risoluzione di un incidente informatico aumentano così come segnalano che la superficie di attacco aumenta. Senza entrare nel merito dei singoli aspetti sopra citati, per cui come detto sono disponibili molti studi di settore è importante fare qualche riflessione sulla Trasformazione Digitale, che ci vede coinvolti. La trasformazione digitale riguarda le aziende ed il sistema paese che sono interconnessi tra di loro. La trasformazione viaggia a velocità differenti a seconda della maturità degli attori coinvolti e l’anello debole della catena o quello più lento mette a repentaglio l’intero sistema. La trasformazione si basa sul concetto fondamentale che il mondo sarà ibrido sia per tecnologie, sia per IT e sia per competenze:
Il GDPR introduce obblighi importanti per la sicurezza dei dati sul piano legislativo, anche se esistono ancora incertezze sull’applicazione di tali obblighi da parte degli operatori del settore ICT, come ad esempio il principio di privacy by design. Tali principi ben si sposano con il momento di trasformazione che stiamo vivendo infatti, l’attuazione efficace dei principi di protezione dei dati fin dalla progettazione è uno dei cardini del Regolamento. Avviare o proseguire il percorso di Trasformazione Digitale tenendo conto dei concetti di privacy by design e di un approccio metodologico olistico non può che portare maggiori benefici alle organizzazioni che lo intraprendono.
I concetti di privacy e security by design, di portabilità dei dati e di data breach sono ben definiti nell’ambito del GDPR e devono essere ben declinati all’interno delle organizzazioni avvalendosi di tecnologie di sicurezza eterogenee ma viste in maniera sistemica, modelli IT flessibili e competenze ampie ed approfondite.
Il concetto di “crisis management” a seconda del contesto può assumere differenti significati, si pensi per esempio che in ambito militare è e associato ad un controllo dell’escalation di un conflitto o alla crisi diplomatica che afferisce a comportamenti lesivi di un ente verso un altro. Nell’ambito “cyber” si intende una situazione anormale, generata da uno o più incidenti di sicurezza, che minaccia gli obiettivi strategici ed i valori di una azienda. I valori aziendali sono molteplici (profitti, dati, reputazione, asset, intellectual proprieties) e sono strettamente interconnessi con i clienti, le autorità di controllo, gli investitori, il mercato in generale.
Per “cyber crisis management” si intende la capacità dell’azienda di intraprendere azioni straordinarie e risolutive della crisi in un arco temporale solitamente molto ridotto ed in circostanze altamente incerte. Una risoluzione con successo di una “cyber crisis” può essere considerata come una comprova della resilienza operazionale e reputazionale di una azienda. E’ possibile quindi considerare il cyber crisis management come una delle aree fondamente dalla Resilienza Globale insieme a Business Continuity, Incolumità, Analisi del Rischio e Social Monitoring.
La crisi non si preannuncia ed una volta che si è investiti non è detto che non si ripresenti nuovamente, diventa, pertanto fondamente per le aziende avere la capacità non solo di gestirla ma di riconoscerla.
Come detto in precedenza è solitamente generata da uno o più incidenti di sicurezza che, nel caso si parli Dati Personali, hanno impatti sulla Disponibilità, Integrità e Confidenzialità. La numerosità e diverisità di incidenti informatici in questi ambiti impone un percorso di screening che possa identificare quelli più insidiosi e predisposti a scatenare una crisi. Hanno particolare rilevanza gli incidenti definiti esterni, che possono essere originati da collaboratori, partner o autorità di controllo rispetto a quelli interni, più confinati al mondo IT e che possono generalmente essere gestiti tramini le pratiche dell’Incident Managment. La qualifica dell’incidente deve proseguire con l’identificazione di:
La larga scala e la concorrenza simultanea di molteplici incidenti sono i principali elementi che trasformano l’incidente in crisi e richiedono l’esecuzione del predefinito piano di Crisis Management.
Uno dei più recenti esempi di crisi è stato generato da WannaCry. L’attacco ha comportato per il Servizio Sanitario Pubblico della Gran Bretagna, National Health Service (Nhs), il blocco dei computer, il rinvio di interventi chirurgici, ambulanze ferme, computer spenti e, soprattutto, la necessità di avvisare gli utenti su Internet e ad invitarli a rinviare le richieste meno urgenti.
WannaCry ha sfruttato una falla di Windows XP, una vecchia versione del sistema operativo di Microsoft non più aggiornata ma ancora usata su molti pc. E infatti sotto attacco sono finiti i sistemi informatici di enti e aziende come la NHS, che ancora adotta Windows XP su gran parte del suo parco istalalto.
In questo caso, la violazione della sicurezza informatica puo` essere interpretato anche come danno per i diritti e le liberta` delle persone fisiche, in quanto, il Nhs non era in grado di garantire loro il servizio sanitario richiesto. Riprendendo quanto enunciato dal GDPR negli articoli 75 e 83, si trova il nesso tra rischi per la protezione dei dati personali, o anche per la sicurezza delle informazioni nella sua più ampia accezione, ed il danno, materiale o immateriale, che il verificarsi di tali rischi può assumere per le persone fisiche. Pertanto, quando l’attacco può produrre effetti negativi sui diritti e le libertà delle persone fisiche su larga scala, è necessario per le organizzazioni sviluppare un approccio strategico e sistematico per la gestione della sicurezza delle informazioni. Infatti, non tutte le organizzazioni hanno consapevolezza del loro “stato di prontezza”, o anche security posture, per rispondere ad un grave attacco di sicurezza informatica,tenedo in considerazione i seguenti aspetti:
Come evidente dagli elementi sopra citati risoluzione dell’incidente, ancor prima che diventi una crisi, non è confinata al mondo IT ma presuppone un lavoro congiunto di molteplici funzioni organizzative. Per tanto i cyber attack ed i data breach devono essere considerati a livello di Enterprise Risk Management e l’intera azienda deve dotarsi delle giuste capabilities per affrontare l’argomento sia dal punto di vista tecnologico che organizzativo, funzionale e di business.
Il principale strumento per identificare ed adottare misure di sicurezza adeguate a contrastare sia un incidente che una crisi per la sicurezza delle informazioni è lo sviluppo di un processo di gestione dei rischi esaustivo. In altre parole, l’insieme di attività volte ad identificare i rischi (ossia gli asset, le minacce e le vulnerabilità) per la sicurezza delle informazioni, calcolarne il livello di criticità e decidere se sono accettabili oppure se intraprendere azioni che ne riducano i possibili effetti. Per realizzare un sistema di gestione della sicurezza delle informazioni è necessario, quindi, individuare gli elementi, in particolare i processi e le loro interrelazioni, e prendere decisioni in merito alle misure di sicurezza da adottare, sia a livello strategico che tattico, in modo da fornire all’organizzazione indirizzi con prospettive a lungo e medio termine.
L’implementazione di misure di sicurezza adeguate al livello di rischio a cui sono esposte le informazioni ed i sistemi deve costituire il sistema di gestione della sicurezza (SGSI) per contrastare gli incidenti informatici e la base per la costituzione di una strategia e piano di gestione della crisi.
Partendo, quindi, da un sistema di gestione della sicurezza basato su processi, persone e tecnologie, le organizzazioni possono integrare i loro piani di risposta agli incidenti con gli elementi tipici di gestione di una crisi della sicurezza come la mobilitazione delle giuste risorse, l’identificazione delle priorità, l’esecuzione di operazioni straordinarie, la gestione della comunicazione interna ed esterna, la rappresentanza legale per registrare e processare eventuali denunce. In sintesi è possibile affermare che per una corretta gestione occorre:
Le aziende mostrano una particolare immaturità sul tema perchè spesso non si arriva nemmeno alla gestione dell’incidente e ci si ferma al Log Management o al SIEM, nonostante quanto detto finora sia un presupposto per la gestione della crisi ed anche una richiesta di soggetti esterni (normative, agenzie di rating, assicuratori).
A titolo di esempio i modelli di comunicazione precompilati per le notifiche di violazione come richiesto dalle leggi comunitarie sulla privacy (Art.33 e 34 del GDPR) o dalla legislazione dello Stato Membro (Art.32-bis del D.lgs. 196/03) dovrebbero essere inclusi nella fase preparatoria della gestione della crisi.
Anche il principio di accountability introdotto dal GDPR ben si sposa con il committment richiesto al top management per mettere a disposizione tutte le risorse necessarie per la realizzazione di sistema di gestione della sicurezza (SGSI) e per la gestione della crisi.
A cura di: Cinzia Convertino, Security and Compliance Solution Manager di Hewlett Packard Enterprise
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…