“Il concetto di security by design oggi può trovare applicazione in qualunque ambito, sia nell’ambiente IT sia fuori da esso. Non parliamo soltanto di tecnologia, ma anche di processi e policy aziendali.
Ad esempio quando si pensa alla predisposizione delle postazioni in azienda non si può trascurare il punto di vista della cybersecurity rispetto ai dipendenti, nei confronti di chi potrebbe essere violato e di chi potrebbe eventualmente diventare un agente malevolo.
Ovviamente la tecnologia entra in campo in modo più forte quando si parla di infrastrutture It, che si tratti di nuove reti o di collegare tra loro network già esistenti. In pratica si tratta di tenere in considerazione le eventuali minacce e pensare a come ideare il sistema per minimizzarne l’impatto e aumentare la cyber resilience”.
A parlare è Roberto Veca, cyber security manager di Cyberoo, società specializzata sulla sicurezza informatica e quotata sul listino Aim Italia.
Indice degli argomenti
Veca, rimane però il fatto che l’ambito software è quello a cui ci si riferisce più spesso parlando di security by design …
Sicuramente, perché i software sono uno dei principali vettori di attacco, e quelli per i quali spesso le aziende sono più impreparate. In molti casi si confida sul fatto di avere un software sicuro, poi si scoprirà che non lo era perché qualcuno ne avrà violato la sicurezza per compromettere i sistemi.
Una delle criticità più grandi sta proprio nel credere che quel sistema fosse sicuro e scoprire strada facendo che non lo era, a causa a volte di vulnerabilità già conosciute, e in altri casi per attacchi di nuova generazione, che non potevano essere previsti quando il software era stato creato. Di certo però pensare alla sicurezza direttamente durante lo sviluppo di un software è un approccio che aiuta, e non tutti ne sono consapevoli.
Come sta cambiando la situazione con il passare del tempo?
Diciamo che ultimamente chi sviluppa un sistema è molto più attento che in passato alla logica della security by design. Perché se è vero che scoprire le vulnerabilità soltanto dopo aver messo a punto un prodotto costa inizialmente meno, è vero anche che espone a veri e propri fallimenti.
Se dopo un anno che si è sviluppato un software ci si accorge che è un colabrodo, si può tentare di aggiustare le cose patch dopo patch, ma quando il problema è strutturale si rischia di dover ritirare il prodotto. Per fare un esempio lampante è successo ai più alti livelli con Adobe Flash Player, che oggi è in dismissione.
Poi ovviamente c’è anche il rischio che in un codice ci siano vulnerabilità che nessuno ha ancora scoperto o pubblicato: anche questo aspetto fa parte delle analisi del rischio, perché scoprire vulnerabilità che nessuno conosce su un sistema molto utilizzato è un’attività che nel campo della criminalità informatica rende molto.
Come si fa a correre ai ripari in situazioni del genere?
Bisogna essere attenti ad applicare tecnologie, procedure e policy che tengano in considerazione che, quando si utilizza un software, si deve essere sempre consapevoli del fatto che potrebbe non essere sicuro.
Per questo noi proponiamo l’utilizzo di un sistema di XDR, extended detection and response, fornito tramite servizio MDR, Managed detection response, per poter contare su qualcuno che monitori costantemente ciò che avviene sulla rete aziendale e che sia in grado di lanciare l’allarme se succede qualcosa di anomalo, anche se inizialmente non se ne comprende a pieno la natura. In questo modo si riescono a limitare i cosiddetti attacchi zero day, arrivando a intervenire dove antivirus e firewall non riescono a spingersi.
Ma le aziende più piccole spesso non hanno i mezzi, economici e di competenze, per arrivare a questo genere di protezioni. Che strategie propone Cyberoo nel loro caso?
Oggi la risposta più indicata credo sia l’esternalizzazione di questa tipologia di servizi. E non riguarda soltanto le Pmi, ma anche i grandi gruppi che hanno team di cybersecurity costantemente “stressati” da emergenze quotidiane, e che non riescono a concentrarsi anche sulla prevenzione. Noi ci presentiamo come “il braccio armato” della cybersecurity, perché tramite l’integrazione di una serie di soluzioni e servizi siamo in grado di calarci nelle singole realtà e di monitorarle con la massima attenzione.
Parliamo certo di monitoraggio e risposta, ma anche del controllo su prodotto o servizi di terzi che potrebbero mettere a rischio la sicurezza di un’azienda. Quando si presentano attacchi che erano sconosciuti chiediamo un contatto diretto con i fornitori, e mettiamo a punto insieme a loro, ogni volta che è possibile, le contromisure del caso. Senza esternalizzazione del servizio questo sarebbe difficilmente realizzabile.
Un tema oggi particolarmente evidente è quello della cybersecurity nel mondo dell’industria. Qual è il quadro attuale?
Si tratta di un ambito particolarmente critico per varie ragioni. Proprio nell’industria infatti è evidente come la sicurezza sia composta da due aspetti, entrambi molto importanti. La “security”, quindi la difesa verso qualcuno o qualcosa di esterno che può violare la sicurezza, e la “safety”, cioè la difesa da qualcosa che potrebbe non funzionare nel modo migliore e mettere a rischio l’incolumità delle persone o la continuità del business.
Finora ci si era concentrati principalmente sulla safety, dal momento che gli impianti e gli ambienti di produzione erano isolati dall’esterno. Con l’industry 4.0 però il panorama è cambiato, perché i sistemi vengono informatizzati e collegati con gli headquarter: questo fa sì che non siano più isolati, ma iperconnessi.
Purtroppo ancora oggi l’attenzione di chi produce macchinari per l’industria è concentrata soprattutto sulle prestazioni, demandando a chi poi utilizzerà questi strumenti – efficienti e superveloci – tutto ciò che riguarda la cybersecurity. Lo sviluppo, quindi, è concentrato su prezzo ed efficienza. Ma gli utilizzatori finali di questi sistemi e di queste macchine spesso non hanno le competenze necessarie per gestirne la cybersecurity.
Il pericolo però è molto alto: si rischia un blocco della produzione e gravi danni economici e reputazionali se a essere minata è la business continuity. E le minacce potrebbero estendersi anche alla safety: per capirlo basti pensare a cosa avverrebbe se venisse manomesso dall’esterno un sistema per l’aspirazione dell’aria in un ambiente produttivo.
Come interviene la security by design in un contesto del genere?
Questi ambienti di produzione richiedono un approccio specifico. Quello che proponiamo noi è l’acquisizione di una consapevolezza puntuale su quali sistemi ci siano in azienda e quale sia il livello di scopertura.
Si deve ovviamente partire dall’assessment, per capire quali sono e quali potrebbero essere le problematiche, e a volte siamo i primi a scoprirle. Gli strumenti di XDR possono integrarsi anche in questi ambienti così specifici e così particolari, adattandosi alle esigenze del mondo industry, dove non si può fermare tutto o isolare alcuni elementi, ma si deve intervenire garantendo la business continuity e limitando al massimo i danni.
Quanto poi alle aziende che producono i macchinari per l’industria, con alcune di loro stiamo lavorando nella definizione di procedure per la security by design, in ambito software ed hardware.
Questo perché ormai anche le aziende che acquistano questi prodotti iniziano a essere esigenti e a richiedere certificazioni specifiche o l’implementazione di procedure di sicurezza ben definite, senza le quali non si può entrare nel loro albo dei fornitori.
