«La sicurezza informatica non è uno stato immutabile, ma un processo continuo»

Sunrise: secondo il Cyber Study 2024, 24 000 PMI in Svizzera sono state vittima di attacchi informatici negli ultimi tre anni, benché ritenessero che il rischio di tali minacce fosse relativamente basso. Che cosa ne pensi? 

Nadine George-Fischli: Si tratta di un errore di valutazione piuttosto comune. I criminali informatici non fanno distinzione tra grandi società e PMI. Al contrario: le PMI sono spesso bersagli più facili perché non dispongono delle stesse risorse e misure di sicurezza delle grandi aziende. Un attacco informatico può compromettere la sicurezza di qualsiasi società, indipendentemente dalle sue dimensioni. PwC Svizzera ha stimato che i danni subiti da un'azienda svizzera di medie dimensioni in seguito a ciascun attacco informatico ammontano a circa 6 milioni di franchi. 

Spesso i punti deboli nelle aziende sono di natura umana. Molti attacchi iniziano con una semplice e-mail di phishing... 

... ecco perché è fondamentale informare i propri dipendenti sui potenziali pericoli mediante corsi di formazione. I sistemi di rilevamento basati sull'IA aiutano a riconoscere rapidamente le e-mail di questo genere, ma i criminali informatici sono sempre più abili nel renderle credibili e autentiche. In passato si potevano individuare le e-mail di phishing grazie al linguaggio mediocre o a link e indirizzi e-mail sospetti. Tuttavia, oggi questa operazione risulta assai più complessa, poiché i malintenzionati si avvalgono dell'intelligenza artificiale (IA) per perfezionare i loro attacchi. 

Puoi fare un esempio? 

Prendiamo come esempio la truffa del CEO: in passato, gli hacker si fingevano amministratori delegati e richiedevano un trasferimento urgente di denaro per e-mail. Oggi, l'IA può essere utilizzata per imitare la loro voce ed effettuare tale richiesta per telefono o messaggi vocali. Le vittime pensano che si tratti dei loro superiori e agiscono di riflesso, con conseguenze potenzialmente catastrofiche. 

L’IA rappresenta dunque una seria minaccia per le aziende? 

L'IA è sia un'opportunità che un rischio. Le soluzioni di sicurezza che si avvalgono dell’intelligenza artificiale sono di grande efficacia nel rilevare  tempestivamente le minacce, tuttavia, l’adozione di tali strumenti espone le aziende a nuovi pericoli. Se non vengono implementate misure di sicurezza adeguate, c’è il rischio di perdite di dati, manipolazioni e attacchi alla riservatezza e all'integrità dei sistemi di IA, attraverso input manipolati o dati di training corrotti.  

In che modo le aziende possono proteggere i loro sistemi di IA? 

La visibilità gioca un ruolo importante. Una forte difesa basata sull'IA aiuta le aziende a ottenere una panoramica degli strumenti di AI gratuiti utilizzati dai dipendenti, il che consente di identificare, testare e bloccare tool pericolosi o eticamente problematici prima che causino danni. Al contempo, la difesa basata sull’IA contribuisce a prevenire la perdita di dati (DLP), garantendo così che i dati sensibili non lascino accidentalmente la rete aziendale tramite applicazioni IA. DLP è parte integrante della soluzione Secure Service Edge (SSE) e, assicurando la conformità normativa, previene eventuali danni all’immagine aziendale. 

Quali altri pericoli devono affrontare le aziende oggigiorno? 

Nel panorama digitale contemporaneo, il numero di applicazioni operative è in costante crescita, così come la necessità di frequenti aggiornamenti e nuove versioni di sicurezza. Questo incremento esige un notevole dispiego di risorse per affrontare le vulnerabilità presenti e scongiurare gli attacchi che potrebbero compromettere i gateway. 

Tuttavia, le risorse disponibili per la protezione IT sono talvolta limitate. 

Le organizzazioni dovrebbero adottare un approccio basato sul rischio che dia priorità alle vulnerabilità più critiche. L’automazione e un solido programma di gestione dei punti deboli aiutano a risolvere in modo proattivo le lacune della sicurezza senza sovraccaricare i team IT. Inoltre, è importante implementare solide misure di sicurezza per i terminali nonché soluzioni centralizzate per la gestione delle identità e degli accessi (IAM), in modo da garantire un’autenticazione degli utenti uniforme su tutte le piattaforme.  

Anche al di fuori dell’architettura on-premise? 

Oggi i dipendenti lavorano ovunque: in Home Office, in spazi di co-working o in viaggio. Pertanto, accedono ai dati aziendali tramite Wi-Fi privato o dispositivi personali che potrebbero non essere protetti in modo adeguato. Anche i servizi cloud e i dispositivi Internet of Things (IoT) connessi sono oggi parte integrante di molti processi aziendali e ciascuno di essi comporta rischi per la sicurezza che devono essere contrastati. Le organizzazioni devono proteggere i sistemi on-premise, le applicazioni cloud e le piattaforme SaaS, il che rende difficile controllare gli accessi e applicare direttive di sicurezza adeguate. E i pericoli non si fermano all’infrastruttura aziendale.  

Bensì? 

Gli hacker sfruttano anche le vulnerabilità di fornitori terzi e partner per penetrare nelle reti aziendali. Spesso, infatti, non si considera che la propria catena di approvvigionamento sia anche’essa esposta a pericoli informatici.  

In che modo le aziende dovrebbero affrontare tali pericoli? 

In linea di principio, le aziende dovrebbero adottare un approccio Zero-Trust: nessun dispositivo, utente o applicazione è affidabile di per sé, tutti gli accessi vengono costantemente monitorati e la comunicazione viene protetta. In questo modo, è possibile evitare che i criminali si muovano inosservati all’interno della rete. Una piattaforma di gestione centralizzata è essenziale per identificare potenziali falle nella sicurezza e gestire utenti, dispositivi e applicazioni in modo efficiente. Questo meccanismo permette di stabilire e implementare direttive di sicurezza su tutti i dispositivi automaticamente, senza la necessità di configurarle manualmente su ciascuno di essi. Inoltre, è di fondamentale importanza scrutinare attentamente la sicurezza di ogni partner esterno. Le aziende devono assicurarsi che i loro fornitori di servizi aderiscano agli stessi elevati standard di sicurezza, includendo audit periodici, requisiti contrattuali di sicurezza e una gestione del rischio chiaramente delineata. 

Quali tecnologie possono essere d’aiuto in questo caso? 

Ad esempio, Cloud Access Security Broker (CASB) protegge dall’accesso non autorizzato e dalla perdita di dati monitorando il traffico cloud, implementando direttive di sicurezza e rilevando i rischi in tempo reale. Si tratta di una nuova tecnologia, che unisce le funzioni di rete Secure Access Service Edge (SASE) (SD-WAN) alle funzioni di sicurezza cloud-native (SSE) per un collegamento sicuro e indipendente dalla posizione. Un approccio a più livelli è fondamentale: ormai adottare un’unica soluzione non è più sufficiente. Una buona alternativa? Abbinare SASE e Managed Extended Detection and Response (MxDR), che protegge la rete aziendale, i sistemi cloud, IoT e Operational Technology (OT) utilizzando il monitoraggio continuo e il rilevamento tempestivo delle attività sospette. Molti sistemi OT sono stati sviluppati senza i moderni meccanismi di sicurezza informatica, il che li rende particolarmente vulnerabili agli attacchi informatici. Infatti, un attacco a OT può mettere a rischio non solo le procedure fisiche negli impianti industriali, ma anche i dipendenti.  

Con tutte queste sfide, come può un’azienda affrontare la questione della sicurezza informatica in modo strategico, senza adottare misure individuali? 

Tra i sistemi collaudati si annovera il Cybersecurity Framework del National Institute of Standards and Technology (NIST), che offre direttive alle aziende di tutti i settori e di tutte le dimensioni per adottare un approccio completo, volto a migliorare la gestione del rischio. Alla luce dei crescenti requisiti normativi e della carenza di personale qualificato, il Framework aiuta le imprese a strutturare le misure di sicurezza in modo efficiente e ad adeguarle ai requisiti legali.  

Quali campi d’azione identifica il Framework? 

La cybersecurity viene suddivisa in cinque aree centrali: Identify, Protect, Detect, Respond e Recover. Questo aiuta le aziende ad affrontare la sicurezza in modo sistematico, anziché reagire tempestivamente alle minacce gravi. Identify significa rilevare tutti i sistemi critici, i dati e i potenziali punti deboli. Protect comprende misure preventive, come controlli di accesso, codificazione e firewall. Detect garantisce che le minacce vengano rilevate tempestivamente attraverso un sistema di monitoraggio costante. Respond definisce procedure chiare per rispondere agli incidenti di sicurezza in modo rapido ed efficace. Recover aiuta le aziende a riprendersi rapidamente dopo un attacco e a ripristinare le operazioni. Il risultato è una protezione end-to-end che combina prevenzione, rilevamento e risposta. Govern descrive il contesto organizzativo in tutte le fasi, che comprende la strategia di gestione del rischio globale, ruoli e responsabilità ben definiti, direttive interne nonché il controllo di tutte le misure e della loro attuazione. 

Quindi il Framework è una sorta di guida per la sicurezza a lungo termine? 

Esatto. Molte aziende si occupano di cybersecurity solo dopo un attacco; invece, il NIST Framework aiuta ad agire in modo proattivo, identificare i rischi tempestivamente e ridurre al minimo i danni in caso di emergenza. 

Quali altri consigli puoi dare alle aziende che desiderano ottimizzare la propria strategia di sicurezza? 

Suggerisco vivamente di investire nella a sicurezza informatica, prima che sia troppo tardi, poiché il costo di un attacco può spesso superare di gran lunga quello della prevenzione. Inoltre, è cruciale ricordare che la sicurezza informatica non è uno stato, ma un processo continuo, che inizia con una progettazione meticolosa di tutti i componenti IT, i dati e le applicazioni utilizzate in azienda: dalla rete interna alle applicazioni cloud passando per i dispositivi privati dei dipendenti, fino a coprire l’intera catena di approvvigionamento.  

Solo mediante una piena consapevolezza delle potenziali fonti di rischio si può sviluppare e implementare un approccio sistematico volto a migliorare la sicurezza informatica aziendale, garantendo una protezione integrale a 360° secondo le direttive del NIST Framework. Alla luce della carenza di personale qualificato, l'adozione di soluzioni automatizzate, unitamente alla collaborazione con esperti di comprovata competenza, può facilitare la gestione efficiente dei rischi informatici e ottimizzare le strategie di sicurezza.