Le aziende sono sempre più concentrate sulla sicurezza informatica per prevenire potenziali attacchi, oggi più che mai sofisticati e difficili da contrastare: l’ultimo Rapporto dell’Osservatorio Attacchi Informatici (OAI) di Soiel International curato da Marco R. A. Bozzetti fa il punto sugli attacchi ai sistemi informativi che si verificheranno con maggiore probabilità, al fine di approntare le più efficaci misure preventive idonee.
Aziende e sicurezza ICT
Le aziende analizzate a campione (principalmente nei settori industria, servizi, ICT, retail e finance) sono di fascia medio-alta per qualità e gestione dei sistemi. Coinvolti del survey online, circa 1.800 fra CEO (Chief Executive Officer), CTO (Chief Technical Officer), CSO (Chief Security Officer), CISO (Chief Information and Security Officer) consulenti ed esperti di sicurezza informatica, proprietari, presidenti e amministratori, unici o delegati, di aziende medie e piccole.
I vertici aziendali risultano ben consapevoli dell’importanza della sicurezza IT in relazione alla continuità operativa: si riscontrano specifici aspetti organizzativi strutturati in definizione di un unico referente per la sicurezza informatica, definizione di policy, formazione e sensibilizzazione degli utenti finali. Si riscontra l’utilizzo di standard e best practice internazionali anche se non vi sono interessi verso certificazioni specifiche (ISO 27001 n.d.r.).
Il Rapporto descrive nel dettaglio anche le caratteristiche dei CED delle aziende intervistate e dei rispettivi sistemi informatici, sia in termini di caratteristiche server e tipologia di software, sia in termini di configurazione delle reti: per la maggior parte del campione, sono sempre più diffuse la virtualizzazione e le architetture ad alta affidabilità.
Tipologie di attacchi
Gli attacchi sono stati analizzati per tipo, in relazione a quelli che più frequentemente vengono perpetrati e in relazione a quelli maggiormente temuti. Nello specifico si identifica attacco informatico l’azione mirata ad alterare almeno uno degli elementi della RID (Riservatezza, Integrità e Disponibilità) dei dati che rispettivamente significano:
- Riservatezza o confidenzialità: è la proprietà dell’informazione di essere nota solo a chi ne ha il diritto.
- Integrità: è la caratteristica dell’informazione di non essere alterabile.
- Disponibilità: riguarda l’accessibilità e l’utilizzabilità solo quando richiesto dai processi e dagli utenti autorizzati.
Per le informazioni e i sistemi connessi in rete le esigenze di sicurezza includono anche:
- Autenticità, ossia la certezza da parte del destinatario dell’identità del mittente.
- Non ripudiabilità , ossia il fatto che il mittente o il destinatario di un messaggio non ne possano negare l’invio o la ricezione.
Le cause di attacco
L’OAI sottolinea che la causa più comune dei problemi è dovuta a vulnerabilità del software di base e applicativo, sulle quali vengono realizzati i codici maligni. Questo fenomeno è in crescita a causa della mancanza di patch appropriate da parte dei fornitori o della corretta installazione da parte degli user.
I dati a disposizione e relativi al 2010 hanno evidenziato 8562 vulnerabilità divulgate, il 27% in più rispetto al 2009, di cui il 44% non è stata corretta o non ha avuto patch di correzione; la virtualizzazione inoltre sembra aver introdotto 373 nuove vulnerabilità.
Dopo le vulnerabilità software è il social engineering la seconda causa più frequente di attacco che sfrutta la disponibilità o la disattenzione se non ingenuità degli utenti finali.
Purtroppo la terza causa ricade nell’ambito dei social network che si stanno diffondendo anche a livello aziendale ma in generale tutti gli strumenti collaborativi concorrono ad ampliare le possibilità di acquisire facilmente informazioni riservate con le quali svolgere attacchi e compiere frodi sia a livello del singolo che a livello di azienda/ente.
Le principali motivazioni di attacco informatico restano per il 55,5% dei casi correlate alle frodi informatiche subito seguite però dal desiderio di apportare un danno, dunque il vandalismo (seppur di tipo informatico) per il 47,1%. Azioni di sabotaggio e spionaggio sono rispettivamente incidenti per il 42% e per il 27% dei casi mentre l’azione dimostrativa incide per il 22,7%. Chiudono i ricatti con un 14,3% di incidenza e le azioni di terrorismo per il 5%.
Rispetto all’anno nero del 2008 si assiste ad una diminuzione degli attacchi e anche di quelli ripetitivi grazie all’uso ampio e migliore utilizzo degli strumenti di prevenzione e protezione. Per contro sono aumentati la gravità e l’impatto, anche economico, degli attacchi riusciti in alcune realtà aziendali.
Politiche per la sicurezza
Il contrasto degli attacchi informatici richiede lo sviluppo di opportune politiche e iniziative per la sicurezza ICT per rendere affidabile e condiviso lo sviluppo del “mondo digitale”. Le infrastrutture, e in particolare quelle critiche, richiedono continuità ma anche supporto e monitoraggio.
Non è pensabile, in caso di un blocco, procedere alle medesime operazioni in forma manuale. Tuttavia si riscontra nella quasi totalità delle aziende una conoscenza limitata di tutti i sistemi informatici e si assiste a un’altalena di successi e fallimenti che fa capire quale gap debba ancora essere colmato.
Il primo impegno deve essere sul piano culturale, la conoscenza del problema, dei rischi, delle conseguenze, e la formazione sono tutt’oggi il primo e fondamentale caposaldo. Le maggiori istituzioni nazionali e internazionali raccomandano in particolare per utenti e fornitori:
- Consapevolezza: si deve essere consci di dover dedicare risorse alla sicurezza.
- Responsabilità: si deve acquisire la responsabilità della sicurezza dei propri sistemi.
- Etica: si devono rispettare gli interessi degli altri, prendendo coscienza del fatto che uno scarso livello di sicurezza nei propri sistemi può determinare minacce per gli altri attori.
- Capacità di risposta alle emergenze: gli operatori devono agire in modo tempestivo e cooperativo per prevenire, rilevare e reagire a emergenze riguardanti la sicurezza.
L’impostazione di una opportuna policy aziendale che copra i sopraccitati punti permette nella maggior parte dei casi di coprire gli aspetti culturali, ma ovviamente deve essere corredata e seguita da un apposito piano di formazione che sia mirato a funzioni, responsabilità, e attività operative.
Successivamente bisogna intervenire con azioni specifiche ed operative di prevenzione e contrasto:
- Valutazione dei rischi: pianificare e attuare la valutazione dei rischi connessi ai sistemi informativi interni.
- Progettazione, Realizzazione, Gestione e Valutazione (secondo il noto Ciclo di Deming n.d.r.) della sicurezza ICT: è necessario incorporare la sicurezza come elemento base dei propri sistemi informativi e di rete adottando un approccio globale e integrato che, partendo dalla valutazione dei rischi, preveda le cosiddette contromisure specifiche in termini di misure e piani di sicurezza e procedure di gestione delle emergenze, con l’accorgimento di effettuare una periodica ma costante revisione dei livelli di sicurezza dei propri sistemi, modificando adeguatamente tecnologia e applicazione secondo gli scenari evolutivi e ovviamente le minacce più frequenti. L’adozione di indicatori prestazionali, misurati e regolarmente rivisti sia in termini di soglie di attenzione sia in relazione a nuovi obiettivi per il miglioramento, costituiscono un termometro dell’andamento della sicurezza che ovviamente non dovrebbe mai mostrare “alterazioni” o “stati febbrili”.