In questi giorni drammatici e di crisi internazionale alcuni eventi, e le loro conseguenze, sono passati dal mondo reale a quello digitale in un intreccio ormai sempre più stretto.
La guerra è arrivata anche nel cyberspazio, su entrambi i fronti, e le conseguenze sono eclatanti (basti pensare alla minaccia di “ritorsioni alle infrastrutture critiche” avanzata dal gruppo hacker Conti nei confronti di tutti quei Paesi che attiveranno attacchi contro la Russia).
In questo scenario il livello di allerta si sta alzando ogni giorno di più, arrivando anche nel nostro territorio con minacce cyber nei confronti di aziende ed enti vicini a noi, come testimoniano anche i numerosi bollettini emanati dal CSIRT Italia (https://csirt.gov.it/contenuti?tags=Ucraina).
Nel corso del fine settimana del 5 marzo tutti abbiamo potuto leggere le notizie riportate da testate come Il Sole 24 ore (https://www.ilsole24ore.com/art/russia-ucraina-l-allarme-dell-agenzia-cyber-il-6-marzo-possibili-attacchi-italia-governo-e-industrie-AEpAf9HB) che mettevano in allerta rispetto ad attacchi previsti per la domenica 6 marzo.
È ormai giunto il momento per tutti di maturare quella consapevolezza sul tema che ancora non era essenziale per chi di professione non si occupa di Information Technology.
È finito il tempo del “A chi vuoi che interessi attaccare la mia Azienda”.
Lo riporto da tempo: sperimentare un attacco sulla propria pelle (per ogni entità pubblica o privata) non è un “se”, ma un “quando”. E una volta che si sarà fatta propria questa consapevolezza l’unica cosa da fare sarà passare all’azione.
In questo contesto già teso e portatore di preoccupazioni, emerge in questi giorni anche una discussione (sfociata in alcuni casi in polemica) legata ad uno dei principali vendor in ambito Cybersecurity: Kaspersky.
Pur non lavorando con questa azienda, abbiamo potuto leggere sui social media di taglio business, svariati post che vogliono porre l’attenzione sul presunto rischio legato all’utilizzo dei prodotti commercializzati da Kaspersky, in quanto azienda russa.
Sicuramente alcuni fatti legati al passato non giocano in favore del vendor, basti pensare alla messa al bando da parte del governo USA risalente a fine 2017 in virtù di accuse (più o meno provate) di cyber spionaggio.
Il mio punto di vista è un altro però: l’informazione, o disinformazione, fatta in alcuni casi, ha evidenziato come sia incredibilmente facile in questo momento ed in questo contesto farsi prendere dal panico traendo conclusioni avventate e frettolose.
La domanda allora è: il fattore geopolitico dovrebbe avere un suo peso nella scelta di una soluzione da adottare per la propria protezione Cyber?
Dal mio punto di vista sì ma, ed è un “ma” bello grosso, nel senso che questo non dovrebbe rappresentare l’unico fattore concorrente alla scelta.
Se parliamo di soluzione di End Point Protection (che per i non addetti ai lavori è l’evoluzione di ciò che un tempo si chiamava Antivirus) e Endpoint Detection & Response (quelle soluzioni di Sicurezza Informatica che servono per aumentare la visibilità rispetto ad eventuali azioni malevole in atto sui sistemi) ci sono diversi altri fattori da tenere bene a mente.
In primis l’architettura tecnologica: una soluzione EPP/EDR efficace deve essere basata sull’approccio “Zero Trust”, ovvero sul presupposto che nulla è da considerarsi completamente al sicuro, anche all’interno del perimetro aziendale.
In seconda battuta gioca un ruolo cruciale la semplicità di gestione: uno strumento troppo complesso rischia di non essere utilizzato al 100% delle sue potenzialità. Molti vendor hanno colto questo segnale e hanno disegnato le loro soluzioni pensando ad un utilizzo semplice da parte degli IT Manager.
Altro elemento chiave è l’overhead che inserisce nei sistemi protetti: oggi come non mai i sistemi vanno mantenuti snelli e veloci soprattutto in ambiti chiave come quelli della produzione industriale; molto spesso i PC a bordo macchina utilizzano sistemi operativi non di ultima generazione. Da qui la necessità di utilizzare piattaforme che non ostacolino le performance e l’operatività dei sistemi protetti.
Sempre in tema di risposta veloce, le soluzioni EPP/EDR ideali sono in grado di intraprendere in autonomia azioni di remediation, ad esempio isolando automaticamente una macchina compromessa.
Ultimo ma non ultimo, il tema dell’integrabilità con strumenti di analisi esterna (ad esempio SIEM/XDR). La democratizzazione della tecnologia a cui abbiamo assistito negli ultimi anni ha messo a disposizione anche delle PMI questo tipo di strumenti, compattandone i costi di adozione. Il loro utilizzo però è possibile solo se gli strumenti già in dotazione consentono una lettura integrata dei dati.
I fattori da considerare sono quindi molteplici e vanno valutati con lucidità ed oggettività.
È innegabile, e probabilmente anche ingenuo, trascurare il fattore geopolitico soprattutto se il vendor oggetto dell’analisi ha rapporti più o meno stretti con regimi autocratici che potrebbero “forzare la mano” nel costringere l’azienda ad implementare modifiche ai propri prodotti contro la volontà del vendor stesso.
Ma una situazione di questo tipo dovrebbe essere documentata e provata, non certo lasciata ad illazioni che hanno come unico fine quello di generare panico.
Panico di cui ora davvero non abbiamo bisogno.
I bollettini si susseguono, le minacce si adeguano al contesto storico che viviamo, arrivando anche ad emulare con campagne phishing raccolte fondi o richieste di aiuto umanitarie.
Dobbiamo rimanere lucidi e focalizzati sulle azioni che contano davvero, per proteggere le nostre infrastrutture IT.
#Staysafe