Cyber Crime Conference 2017 – Aperte le iscrizioni
2 Marzo 2017
I trojan ed il Re d’Inghilterra
9 Marzo 2017

Italian Cybersecurity Report 2016

I 15 Controlli Essenziali di Cybersecurity per le piccole imprese, un vademecum per la sicurezza nazionale.

Lo scorso 2 Marzo 2017 nell’Aula Magna dell’Università La Sapienza di Roma è stato presentato il nuovo Italian Cyber Security Report 2016 realizzato dal CIS-Sapienza e dal CINI.

Il Centro di Ricerca in Cyber Intelligence and Information Security (CIS-Sapienza) è il centro multidisciplinare dell’Università La Sapienza — diretto dal Prof. Roberto Baldoni — che sviluppa metodologie e tecnologie d’avanguardia per fronteggiare le emergenze legate alle nuove minacce provenienti da internet. Il CINI è il Consorzio Interuniversitario Nazionale per l’Informatica — presieduto dal Prof. Paolo Prinetto — all’interno del quale opera il Laboratorio Nazionale di Cyber Security in cui afferiscono più di 250 tra professori e ricercatori appartenenti a 34 differenti università italiane.

Questo rapporto, pubblicato con cadenza annuale, è giunto alla quarta edizione e per la prima volta si rivolge alle piccole aziende e alle micro imprese proponendo 15 Controlli Essenziali di Cybersecurity che dovrebbero essere adottati per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere ai più comuni attacchi informatici.

I 15 Controlli Essenziali di Cybersecurity sono di facile ed economica implementazione e rappresentano una serie di pratiche di sicurezza che non possono essere ignorate.

Il documento fornisce una guida su come implementare tali controlli essenziali e propone inoltre una stima dei costi che fornisce un ordine di grandezza dell’investimento necessario per portare la una piccola impresa a un livello di preparazione basilare.

Per “Controlli Essenziali” intendiamo una pratica relativa alla cybersecurity che, qualora ignorata oppure implementata in modo non appropriato, può causare un aumento considerevole del rischio informatico (risk treatment). Tale aumento del rischio implica che l’operatività dell’azienda, la riservatezza dei dati o la loro integrità (confidentiality, integrity, availability), viene compromessa con una probabilità troppo alta per essere considerata accettabile (risk acceptance). Di contro, la corretta implementazione dei 15 controlli ritenuti essenziali ha come immediata conseguenza una riduzione importante del rischio (risk mitigation).

L’innalzamento dei livelli di sicurezza delle piccole e micro imprese è un passaggio fondamentale per la messa in sicurezza anche delle grandi aziende e di tutto il sistema paese. Un numero sempre maggiore di attacchi a grandi imprese viene infatti realizzato grazie a vulnerabilità presenti nelle imprese parte delle loro filiere. Questo innalzamento è particolarmente importante in un momento di forte trasformazione digitale del settore industriale italiano che aumenterà l’integrazione tra le aziende appartenenti a una filiera, aumentando di conseguenza anche la superficie d’attacco.

Il report è stato redatto attraverso un processo di progressiva semplificazione del Framework Nazionale di Cybersecurity, tratto a sua volta dal Framework for Improving Critical Infrastructure Cybersecurity del National Institute of Standards and Technology (NIST) americano. I 15 Controlli Essenziali sono stati prodotti anche attraverso una consultazione pubblica alla quale hanno partecipato nelle scorse settimane oltre 200 esperti del settore, molti dei quali — come me — si sono incontrati lo scorso 17 Gennaio 2017 a Venezia per l’Italian Conference on Cybersecurity (ITASEC17) organizzata dal CINI e dall’Università Ca’ Foscari.

Vediamo in dettaglio i 15 controlli, raggruppati per tipologie:

Inventario dei dispositivi e del software

1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.

2) I servizi web offerti da terze parti a cui si è registrati sono quelli strettamente necessari.

3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.

4) È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

Per una buona politica di gestione della sicurezza è fondamentale creare e mantenere aggiornato un inventario di tutti i dispositivi che in qualche modo fanno parte dell’azienda, siano essi hardware che software (asset management).

Nell’identificazione delle risorse dovrebbe rientrare anche un processo di gestione delle utenze ai vari servizi sul web come email, cloud computing e social network ed è altresì necessario considerare i rischi collegati al trasferimento, all’invio o alla condivisione di dati dell’azienda verso terze parti. La mancata protezione di tali asset potrebbe comportare sanzioni per i titolari, perdite economiche, interruzione del business o perdita di vantaggio competitivo.

È infine necessario che l’azienda nomini un responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. All’interno di aziende di medie o grandi dimensioni questo ruolo è spesso affidato ai Chief Information Security Officer (CISO) e ai Security Manager.

Governance

5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

Gli aspetti legali relativi al trattamento dei dati e agli obblighi riguardanti la tutela della privacy, unitamente agli adempimenti procedurali e alla prescrizione delle misure minime di cybersecurity, sono contenuti nel Testo Unico in materia di dati personali (Codice della Privacy) e nel nuovo regolamento europeo in materia di protezione dei dati personali General Data Protection Regulation (GDPR) che è entrato in vigore il 24 maggio 2016 e sostituirà in qualche modo il Codice della Privacy entro il 25 maggio del 2018.

Oltre al GDPR e al Codice della Privacy le organizzazioni devono identificare e rispettare tutte le leggi e i regolamenti a cui devono obbligatoriamente adempiere a seconda del settore in cui operano e della tipologia di dati trattati.

Protezione da malware

6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, anti-malware) regolarmente aggiornato.

L’utilizzo di software anti-malware è necessario per proteggere i dispositivi dagli attacchi noti. Sebbene non offrano una protezione totale, l’installazione di tali software è comunque fortemente consigliata su tutti i dispositivi che lo permettono. Per far fronte al continuo emergere di nuove minacce gli antivirus devono anche essere tenuti costantemente aggiornati in quanto l’aggiornamento periodico è l’unico strumento che permette di rilevare e bloccare i nuovi malware (continuous monitoring).

Gestione password e account

7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori)

8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

I meccanismi di autenticazione tramite username e password (identification and authentication) giocano un ruolo fondamentale sia nella protezione degli utenti e dei servizi che dei dispositivi a cui questi accedono. Una corretta gestione delle password (password management) è quindi indispensabile per garantire la sicurezza dei sistemi aziendali e delle informazioni che questi contengono. Le recenti best practices suggeriscono di forzare gli utenti a scegliere password lunghe almeno 12 caratteri, che contengano non solo caratteri alfanumerici e che non contengano termini noti di vocabolario o altre informazioni facilmente riconducibili all’utente.

Gli utenti dovrebbero essere invitati a non utilizzare mai la stessa password su differenti servizi. Questa pratica diminuisce la possibilità che la compromissione di un’utenza su un servizio permetta a un attaccante di accedere anche ad altri servizi utilizzando le stesse credenziali.

È necessario che l’azienda imponga un corretto uso degli account (account policy), impedendo la condivisione degli stessi tra più persone e proteggendo gli accessi (access control), siano essi locali o remoti, attraverso le più opportune tecnologie (multi-factor authentication). I diritti per l’accesso ai servizi, ai dispositivi e alle informazioni associati alle utenze dovrebbero essere gestiti secondo il criterio del minimo privilegio (least privilege): ogni utente deve poter accedere esclusivamente a quanto strettamente necessario per lo svolgimento delle proprie mansioni (need to know). I diritti di accesso devono essere periodicamente aggiornati (account maintenance) e le utenze non più in uso tempestivamente disabilitate (account deprovisioning).

Formazione e consapevolezza

10) Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

Il fattore umano continua a costituire il punto debole della sicurezza. Le misure tecniche più avanzate possono perdere completamente la loro efficacia se non si considera attentamente la preparazione delle persone che di tali misure fanno uso. È necessario sensibilizzare e rendere consapevoli dei rischi tutti gli operatori che possono accedere ai dati. In modo particolare alcuni utenti, come gli amministratori di sistema e i dirigenti, devono comprendere l’importanza dei rischi e delle responsabilità che derivano dal loro ruolo.

È di fondamentale importanza sviluppare una corretta cultura della sicurezza in tutto il personale per poi considerare con particolare attenzione i ruoli critici. Il veicolo per raggiungere questo obiettivo è la formazione (awareness and training), che deve essere considerata come un investimento sul fattore umano e non un mero costo per l’azienda.

La formazione deve altresì comprendere lo sviluppo di comportamenti pianificati da adottare ai fini della prevenzione. Sarebbe opportuno, come consigliato dal NIST nel documento Small Business Information Security, stringere un accordo scritto con i dipendenti i quali devono impegnarsi a comprendere e rispettare le policy aziendali in materia di cybersecurity (acceptable use policy).

Protezione dei dati

11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.

L’installazione e la configurazione dei sistemi informatici è un’attività tipicamente complessa che richiede competenze specifiche e che può avere importanti ricadute sul piano della sicurezza. Per questi motivi tali attività non dovrebbero mai essere improvvisate, ma piuttosto delegate a personale interno qualificato o a consulenti esterni certificati in grado di garantire la corretta esecuzione di tutte le procedure di sicurezza.

Ogni azienda dovrebbe sviluppare una opportuna strategia di backup che permetta il rapido ed efficace ripristino dei dati in caso di incidente (disaster recovery). I backup (full, differential, incremental) devono essere svolti con una cadenza periodica, definita sulla base delle esigenze specifiche dell’azienda. I dati di backup dovrebbero essere salvati in sistemi diversi che ne permettano la corretta conservazione. In particolare il report suggerisce di definire almeno due destinazioni, una locale e una remota (off-site backup, mirrored backup) in modo che sia garantita la corretta conservazione di almeno una delle due copie anche in caso di incidenti maggiori.

Il processo di backup dovrebbe essere automatizzato e verificato periodicamente (simulation test) al fine di assicurarsi che sia effettivamente possibile un processo inverso di restore in caso di incidente.

Protezione delle reti

13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. Firewall e altri dispositivi/software anti-intrusione).

L’utilizzo di Firewall e Intrusion Detection Systems (IDS) permette di proteggere la rete aziendale sia da attacchi provenienti dall’esterno che da minacce di eventuali insider. Un approccio di questo genere si basa su una adeguata segmentazione della rete (network segregation) e permette un notevole livello di protezione anche da attacchi sofisticati. Per contro, la sua attuazione richiede competenze avanzate che, se non disponibili internamente, possono essere reperite attraverso consulenze esterne qualificate.

Infine è fondamentale porre l’accento sui rischi relativi alla configurazione delle reti wireless. Tali reti trovano oggi largo impiego anche grazie alla flessibilità che offrono per il collegamento di dispositivi eterogenei. Di pari passo con la flessibilità vengono purtroppo anche introdotti rischi legati alla difficoltà di controllare un mezzo che per sua natura, contrariamente ai cablaggi fisici, non ha confini ben definiti.

Il meccanismo di accesso alle reti WI-FI può essere irrobustito attraverso una registrazione e una autenticazione esplicita di ogni singolo utente che intende collegare il proprio dispositivo.

Prevenzione e mitigazione

14) In caso di incidente (es. sia rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

La prevenzione degli incidenti di sicurezza parte dall’applicazione di buone pratiche per la messa in sicurezza dei sistemi informativi e dei computer, siano essi personali o aziendali. Su tutti i dispositivi è presente del software, sotto forma di applicazioni e sistemi operativi, che deve essere aggiornato costantemente nel tempo per sanare vulnerabilità note.

Le vulnerabilità sono rappresentate da difetti o errori (bug), involontariamente inseriti nel software dal produttore durante la sua realizzazione. Questi rappresentano dei punti deboli sfruttabili da criminali per compromettere il funzionamento dei sistemi o accedere illecitamente a informazioni e dati aziendali.

All’identificazione di una vulnerabilità in un software segue normalmente il rilascio di un aggiornamento (patch, service pack, fix) da parte del produttore o della community. L’applicazione dell’aggiornamento risolve la vulnerabilità e impedisce che la stessa possa essere sfruttata per future intrusioni.

Laddove l’aggiornamento non fosse possibile è necessario accettare il rischio residuo (risk acceptance), possibilmente documentarlo ed eventualmente porre in essere opportune ulteriori azioni di mitigazione (defense in depth). Questo è il caso ad esempio di tutte le vulnerabilità zero day (0-day) per cui non è ancora chiara una strategia di protezione.

Qualora le misure preventive non siano state sufficienti e si verifichi un incidente di sicurezza, il personale dell’azienda deve essere in grado di rispondere adeguatamente in modo da limitarne i danni (incident response and recovery policy). A tale scopo è bene che tutto il personale sia informato su chi debba essere contattato in caso di incidente e che sia educato a non porre in essere autonomamente azioni estemporanee che potrebbero compromettere le successive attività di analisi, di risposta all’incidente e di ripristino dei sistemi. Queste azioni per essere efficaci devono essere intraprese solo da personale qualificato e appositamente certificato.

I costi della Cybersecurity

Il report non si limita a identificare i Controlli Essenziali ma stima anche il costo della loro implementazione. Per una micro impresa di 9 dipendenti viene calcolata una spesa di circa € 10.000, suddivisa in € 2.700 di costi iniziali e € 7.800 di costi annui. Per una piccola impresa con 50 dipendenti la spesa si orienta sui € 25.000, ripartiti tra € 4.650 di costi iniziali e € 19.800 di costi annui.

Con questi investimenti si ipotizza che il rischio cyber per l’azienda possa essere ridotto di circa l’80%. Secondo il Global IT Security Risks Survey di Kaspersky Lab — sponsor del report insieme a Microsoft, Hewlett Packard Enterprise e Huawai— il danno economico-finanziario medio derivante da incidenti informatici per le piccole e medie imprese si aggira intorno ai € 35.000 annui per azienda. Da questi dati si evince quindi come tale investimento possa essere ripagato in un arco temporale estremamente breve, che diviene ulteriormente più significativo nel medio periodo.

Conclusioni

La cybersecurity è un settore in cui non esistono né esisteranno in futuro soluzioni onnicomprensive in grado di azzerare completamente il rischio. Possiamo però mitigarlo per ottenere un livello accettabile di esposizione attraverso una politica di risk management.

I 15 Controlli Essenziali di Cybersecurity presentati nel report rappresentano un linguaggio semplice per iniziare a parlare di sicurezza informatica dentro una piccola o una micro azienda italiana. Grazie alla sua divulgazione ci si aspetta che le imprese aumenteranno in modo progressivo il loro livello di preparazione, assumendo una corretta postura di fronte a quelle che saranno in futuro le sempre più numerose minacce provenienti dal cyberspace.

Come ampiamente rimarcato anche da altri colleghi che hanno partecipato alla consultazione pubblica, è molto importante una estensiva fase di controllo, di monitoraggio e di valutazione delle vulnerabilità degli asset aziendali. Nonostante il report non preveda un controllo dedicato in modo specifico a questo aspetto, ritengo che questo punto dovrebbe gradualmente entrare a far parte delle normali routine di controllo dei sistemi delle imprese. Attività di threat modeling, vulnerability assessment e penetration testing permettono di identificare le debolezze dei sistemi e valutare i rischi a esse collegati.

Questo report è uno dei primi documenti italiani che, oltre ad affrontare le metodologie essenziali per la sicurezza, ne considera i anche costi. Le piccole e le micro imprese sono il cuore pulsante della nazione e creano gran parte della ricchezza italiana. Queste imprese sono parte integrante del cyberspace e sono quindi anche oggetto della superficie d’attacco nazionale. Aumentare il livello di difesa delle piccole aziende significa di conseguenza rendere più sicuro tutto il cyberspace nazionale. Questo è un fattore sempre più critico per la competitività economica di ogni paese.

Lo Stato dovrebbe quindi facilitare l’adozione dei controlli di sicurezza essenziali di cybersecurity da parte delle piccole aziende alla base delle filiere produttive attraverso appropriate attività di supporto e di incentivazione. Una politica di sgravi fiscali per le imprese che decideranno di adottare questi controlli e di investire nella propria protezione sarebbe un aiuto fattivo per tutta l’economia italiana e conseguentemente anche per l’intera sicurezza nazionale.

A cura di: Dario Centofanti

Dario Centofanti

Network Administrator at AS57329, Cyber Security Practitioner, IPv6 Specialist, Internet Pioneer and Linux Veteran

Dario Centofanti è un consulente indipendente di cybersecurity certificato come Systems Security Certified Practitioner (SSCP) da (ISC)2.
Da 25 anni sperimenta con curiosità ed entusiasmo cose innovative, cercando sempre di rendere Internet un luogo più libero ed aperto, ma anche più sicuro e protetto.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy