Consapevoli, ma impreparate. Le aziende e la lotta per la cybersecurity

Andrea Monteleone

I cyberattacchi sono oggi uno dei temi più ricorrenti sulle pagine dei quotidiani o nelle headline dei telegiornali: dalle linee aeree e i sistemi sanitari fino ai consigli cittadini e banche.

Quello che emerge, in ogni caso, è che non sempre le aziende sembrano in grado di tenere il passo dei cybercriminali. Insieme al nostro partner Genetec, abbiamo condotto negli ultimi mesi del 2018 una survey su 175 end user dei sistemi di videosorveglianza iscritti ad ASIS International, per comprendere lo stato dell’arte in ambito di cybersecurity. Per quanto non siano coinvolte imprese italiane, la ricerca resta valide anche oggi nel nostro paese. Vediamo alcuni dei principali contenuti emersi.

 

Ecco le principali scoperte:
  • Molte società sono oggi perfettamente consapevoli dell’importanza della cybersecurity e del suo potenziale impatto. Infatti, l’87% di coloro che hanno risposto hanno detto che la loro azienda considera la cybersecurity uno dei principali rischi per le loro attività;
  • Ciò nonostante, solo una minoranza di società (il 15%) pensa di essere adeguatamente preparata per mitigare le minacce cyber;
  • Mentre il 76% dei rispondenti ha dichiarato che la protezione fisica degli asset e la sicurezza sul lavoro erano responsabilità centrali della propria azienda, nessuno di essi ha menzionato i fattori interni come potenziali rischi per la sicurezza a causa di sistemi obsoleti o superati;

Quest’ultimo punto, in particolare, è in profondo contrasto con i risultati delle ricerche internazionali, che sottolineano come gli errori umani, accidentali o deliberati, i sistemi configurati con poca attenzione e sottoposti a scarsa manutenzione siano i principali punti deboli della sicurezza aziendale.

L’IBM X-Force Threat Intelligence Index 2018, per esempio, attribuisce all’errore umano due terzi dei dati compromessi. Una conclusione rafforzata da precedent ricerche compiute dalla stessa IBM, che dava la responsabilità del 95% delle violazioni effettuate a questi fattori interni.

Un altro interessante risultato è stato che circa il 60% di coloro che hanno risposto ha dato la colpa all’utilizzo di sistemi obsoleti. Si tratta chiaramente di vulnerabilità, ma il numero degli attacchi subiti da sistemi di ultima generazione non è dissimile da quello subito da legacy systems. Dopotutto, nulla di ciò che è creato dall’uomo potrà mai essere sicuro al 100%.

Questo evidenzia una concezione errata ma piuttosto comune: che la sicurezza del prodotto sia l’unico modo per mitigare le vulnerabilità e le minacce. Al contrario, le società hanno bisogno di gestire i rischi cyber lungo diverse dimensioni, sia umane che tecnologiche. Ciò dipende dal fatto che la cybersecurity è una responsabilità condivisa tra utenti, manutentori, installatori, produttori, consulenti e così via.

Gli utenti dei sistemi e i loro amministratori hanno bisogno di processi, regole e procedure chiare per garantire che le necessarie misure di sicurezza siano portate avanti giorno dopo giorno. Quali dispositivi e quali sistemi sono presenti? Chi è il responsabile di ciascuno di essi? Quando e come vanno mantenuti?

I punti focali sono dunque la progettazione, l’installazione e la manutenzione dei sistemi di cybersecurity. Tipicamente, questo significa che i consulenti devono raccomandare le corrette misure di cybersecurity e il loro funzionamento per tutto il ciclo di vita del sistema. I responsabili dell’installazione e della manutenzione del sistema sono solitamente integratori di sistema, installatori o consulenti specialistici. Hanno bisogno di processi affidabili per l’approvvigionamento e la disposizione dei sistemi, dei componenti e degli strumenti di videosorveglianza, oltre che, naturalmente, per la manutenzione di tutti i sistemi di sicurezza correlati.

 

Per chi produce dispositivi, questo significa:
  • La necessità di applicare le best practice esistenti nella progettazione, lo sviluppo e il test di prodotti per minimizzare il rischio che eventuali vulnerabilità siano sfruttate durante un attacco;
  • La fornitura di istruzioni chiare su come i prodotti possono essere installati e manutenuti in sicurezza;
  • L’offerta di strumenti di gestione dei dispositivi che garantiscano modalità semplici e poco costose per gestire la cybersecurity: gestire un inventario dei device connessi, le password, gli upgrade del sistema operativo e del firmware e i certificati HTTPS e IEEE 802.1x, tra gli altri;
  • L’obbligo di informare i partner e i canali circa le vulnerabilità e i software correttivi (le patch) quando sono scoperte vulnerabilità critiche.

Molti di coloro che hanno risposto alla survey sembrano mancare di un approccio olistico in grado di aiutarli nel gestire tutti i possibili cyber attacchi che possono incontrare. Sicuramente, alcuni di essi sembrano essere influenzati dai titoli dei giornali rispetto agli ultimi attacchi cyber.

Il fatto è che la maggior parte dei giornali e dei fornitori di news si concentrano su attacchi molto sofisticati e ne parlano con toni esagerati, buoni per ottenere sottoscrizioni. Poco spazio è invece concesso al rischio più comune: un uso improprio – deliberato o accidentale – del sistema, una scarsa configurazione o una scarsa manutenzione.

Affrontare questi rischi richiede un approccio molto più pratico e costante, lavorando fianco a fianco con professionisti esperti in cybersecurity e capaci di definire policy, processi e procedure chiari e facilmente attivabili per ogni aspetto del sistema. Adottare questa mentalità olistica è l’unico modo efficace per gestire tutti i possibili rischi cyber.

Forse vi trovate già sulla strada verso una migliore cybersecurity, o magari avete appena iniziato a realizzarne l’importanza. In ogni caso, ciò che è più importante sono le azioni che voi e la vostra organizzazione compirete ogni giorno, da ora in poi.

 

Scopri l’impegno Axis per la Cybersecurity:

Tre livelli di Cybersecurity