Cyber-Sicurezza Globale: Cyber-Security, tra aziende e web3
Cyber-Sicurezza Globale: Cyber-Security, tra aziende e web3
Sicurezza

Cyber-Sicurezza Globale: Cyber-Security, tra aziende e web3

By Danilo Giudice - 9 Apr 2022

Chevron down
Ascolta qui
download

Come le società reagiscono agli attacchi informatici crescenti e le criticità dell’individuo nel web3. 

La Digital Transformation ha donato nuovo vigore all’economia di tantissime  imprese che hanno trasformato e potenziato il loro business abbracciando il  mondo digitale e del web, una vera e propria iniezione di tecnologie atte a  migliorare prodotti, processi produttivi, comunicazioni, elevando produttività e  semplicità di utilizzo. 

Non sono mancate però le problematiche legate a questa  trasformazione che, per rovescio della medaglia, hanno aumentato la superficie di attacco al cyber-crimine, esponendo le aziende a rischi sempre  maggiori e non sempre del tutto prevedibili per via della natura stessa della tecnologia che travolge chiunque non vi sia preparato o per meglio dire aggiornato. 

Le incongruenze sistematiche secondo il report di Moody’s 

Secondo un’indagine condotta da Moody’s, agenzia di rating privata con sede  a New York, che si occupa di produrre ricerche di tipo economico-finanziario,  ha evidenziato come la crescente minaccia di rischi informatici ha spinto  moltissime aziende ad intensificare gli investimenti in questo settore nel  tentativo di aumentare le loro difese per fronteggiare l’escalation continua di  attacchi; eppure emergono ancora molte lacune nella preparazione delle società  e delle organizzazioni nella gestione e prevenzione degli attacchi. 

Nonostante l’attenzione maggiore infatti, le capacità difensive non vanno di  pari passo ne con l’aumento sensibile degli investimenti che questo settore  riversa nella sicurezza informatica, ne con la crescente variabilità degli  attacchi, dimostrando inoltre come il personale qualificato sia tutt’altro che  facile da ingaggiare e trovare, mentre le minacce sono sempre più sofisticate e gli attaccanti sempre più preparati. 

Il report è stato condotto sottoponendo un sondaggio di 60 domande a più di  5000 compagnie finanziarie, enti e servizi pubblici, tra il 2020 ed il 2021 valutando tre categoria principali di resilienza informatica: governance del  rischio informatico, gestione del rischio operativo e trasferimento del  rischio informatico. 

cyber-sicurezza web3

Dal paper emerge come vi siano diverse incongruenze in questo settore, molte  delle posizioni di responsabile della sicurezza informatica varia sensibilmente,  ad esempio, all’interno dei diversi settori, e che le aziende per cui lavorano di  rado divulgano al pubblico gli attacchi subiti, mostrando una discrepanza tra le  segnalazioni che i consigli di amministrazione ricevono puntualmente dagli  addetti alla sicurezza, dalla loro divulgazione al pubblico. 

L’analisi sulla Governance informatica ha indicato quanta attenzione è stata  posta alla tematica della sicurezza, alle strategie, i ruoli e gli strumenti utilizzate dalle società. Si è dimostrato che dove queste conoscenze siano più solide ai piani alti dell’azienda, come nel consiglio d’amministrazione, più vi sia maggiore attenzione e più operatività ai livelli più bassi che non viceversa.

Anche in presenza di responsabili informatici molto preparati, si evince che solo una piccola percentuale di cyber manager riferisce direttamente al CEO o al CFO, generalmente i due funzionari di più alto rango all’interno di un’organizzazione. In questo frangente le aziende più virtuose si sono  dimostrate quelle legate ai servizi finanziari, con report più dettagliati e puntuali, rivelando più del doppio dell’attenzione a questi aspetti, considerandoli molto rilevanti rispetto al settore pubblico che ha mostrato le  lacune più evidenti nella cyber-sicurezza. 

La lacuna maggiore, secondo il report, è quella riguardo la mancanza di uno  standard di notifica e valutazione degli attacchi adottato a livello globale: questo rende più difficile identificare la gravità delle minacce e quindi la loro  risoluzione e gestione, e si ripercuote anche sulla divulgazione al pubblico che risulta importante non solo per trasparenza, ma soprattutto per la prevedibilità di rischi che potrebbero essere condivisi tra le società, anticipando così eventi di attacchi futuri. 

A tal proposito la SEC (Securities and Exchange Commission) si è espressa il 9  marzo 2022, pubblicando un emendamento sulle linee guida di segnalazione per gli attacchi informatici, linee che sono specificatamente progettate per informare e preparare meglio gli investitori alla gestione del rischio e alle strategia della governance di sicurezza che richiedono un tempestivo intervento e notifica per gli incidenti. 

Non essendoci degli obblighi di legge sulle linee guida riguardo la segnalazione di incidenti informatici risulta meno frequente la loro divulgazione da parte delle società che invece cercano di mantenere segreti gli attacchi subiti per salvaguardare clientela ed investitori. Nei settori infatti dove tali linee guida vengono applicate con obblighi di legge c’è un migliore allineamento tra  preparazione alle minacce informatiche e gli investimenti ad esse dedicate.  

Un altro gap evidenziato nel report è quello tra l’utilizzo di strategie di  sicurezza di base e quelle avanzate, che vedono le aziende molto in ritardo su  queste ultime, facendo fatica a restare al passo coi tempi. Inusuale è infatti la ripartizione degli investimenti, che vedono gran parte dei fondi riversarsi come abbiamo visto sulle insurance, assicurazioni per coprire i danni subiti dagli attacchi, preferendole all’investimento sulla formazione e sulla loro prevenzione. 

Sempre più richieste sono poi le competenze base di sicurezza informatica ai  dipendenti delle società, considerati molto spesso l’anello debole di  un’esposizione agli attacchi informatici. La percentuale di dipendenti preparati è infatti aumentata a due cifre dal 2018 ad oggi in quasi tutti i settori, escluso quello pubblico che ancora una volta si posiziona come fanalino di coda. Nelle aziende più attente infatti, si è ricorsi ad un turbinoso turnover per  raggiungere gli standard e i risultati desiderati. 

Gli investimenti nella sicurezza informatica stanno crescendo rapidamente come si evince dalla foto: la crescita annuale degli investimenti informatici è stata del 15% nel 2019 e del 17% nel 2020. 

report giudice cyber-sicurezza

Non solo sono cresciuti gli investimenti nell’approvvigionamento di strumenti e  personale qualificato, ma sono aumentati anche gli investimenti nel mantenimento di questi standard, che richiedono manutenzione e  aggiornamenti continui. Rimane però una parte considerevole di società che  non hanno ancora la cyber-sicurezza come voce specifica della linea di bilancio. 

Secondo quanto emerso in fase di analisi le contromisure più comuni si  possono trovare adottando sistemi di prevenzione più che di risoluzione, molte di queste strategie vengono costantemente messe in pratica tenendo alto il focus a tutti i livelli e ruoli; nello specifico il report riporta: 

Scansioni di vulnerabilità, atte a rilevare i punti deboli noti sfruttabili nella  rete, nei computer e nelle applicazioni dell’azienda da parte dell’attaccante.  

Piani di risposta agli incidenti , consistono in genere in piani documentati  che delineano le procedure da seguire in caso di violazione della sicurezza, le  persone specificate richieste nella risposta e i loro ruoli specifici. Questi piani  sono più efficaci se regolarmente testati, rivisti e aggiornati. 

L’autenticazione a più fattori. Ampiamente adottata nella maggior parte dei  settori, in particolare presso le istituzioni finanziarie (95%) e le aziende (90%),  risulta essere una delle migliori difese se affiancata a personale qualificato a  tutti i livelli all’interno della società. 

I backup settimanali dei dati su un sistema disconnesso dalla rete di  un’organizzazione rappresentano un modo efficace per ripristinare  rapidamente le operazioni dopo un attacco ransomware. Questi attacchi in  genere crittografano i file di una vittima, ostacolando o alterando le operazioni fino a quando l’attaccante non fornisce una chiave di riscatto (ransomware) o la vittima ripristina con successo i suoi sistemi utilizzando i backup esistenti. 

Le valutazioni del rischio informatico, hanno come obiettivo l’acquisizione  di dati per identificare le vulnerabilità informatiche prima di effettuare  un’acquisizione e integrare nuovi strumenti difensivi. 

Ma l’attenzione generale, visto l’aumento sempre crescente di minacce e la  loro complessità unita alla facilità di sofisticazione delle misure di sicurezza ha  portato le aziende a organizzare diversi test e ad aumentare la preparazione di personale qualificato; di seguito quelli più comuni: 

Il test di penetrazione (pen test) è la simulazione di un attacco informatico per valutare le applicazioni e le reti accessibili a Internet di un’organizzazione. 

Tabletop excercises, delle vere e proprie esercitazioni utilizzate per testare i  piani di risposta agli incidenti di un’organizzazione, inclusi gli strumenti, le  procedure e la competenza nel rispondere a diversi scenari di attacchi  informatici. 

Red Team Testing, è una forma più mirata di test di penetrazione che in  genere coinvolge un team interno ed esterno che utilizza tattiche di attacco  nella vita reale per testare le difese fisiche e di sicurezza informatica di  un’organizzazione e i piani di risposta all’incidenza. 

Insostenibilità nel lungo termine 

Come abbiamo visto le aziende e le organizzazioni stanno riversando la loro  attenzione e i loro fondi nella cyber-security, generando però delle discrepanze non di poco conto. La mancanza di personale qualificato, la scelta di riversare fondi su assicurazioni anziché su azioni preventive, il crescente gap tra settore privato e pubblico, hanno fatto sì che tantissimi attacchi negli ultimi anni abbiano arrecato danni enormi, secondo le stime più recenti si calcola circa 13 milioni di dollari per azienda a livello globale, con un aumento del 12%  nell’ultimo anno. 

L’insufficienza di contromisure vale il 45% di questi numeri, che con l’aumentare della frequenza degli attacchi, scesi da una media di 45s a ben 11s, ci proietta in uno scenario con maggior esposizione ai rischi e maggior costi che le aziende dovranno sostenere. 

Il web3 e il mondo crypto 

Se con il web2 abbiamo visto come sia stato importante per le aziende tenersi  aggiornate e aumentare i fondi nella cyber-security, col web3 questo focus dovrà necessariamente spostarsi sull’individuo che, centro nevralgico delle proprie informazioni, dovrà investire sulla propria formazione per poter salvaguardare i propri dati. 

Sempre più crescenti sono le minacce informatiche legate agli strumenti ed ai servizi di web3, di cui il mondo crypto è pieno, e dove ancora oggi gli attacchi con maggior efficacia risultano quelli di social engineering, segno della profonda impreparazione dell’utilizzatore finale. 

I vari exchange di criptovalute si stanno adeguando più di qualunque altro settore,  ponendo tantissima attenzione sia al loro interno adottando tutte le strategie e gli strumenti necessari a fronteggiare le minacce, ma soprattutto cercando di formare l’utilizzatore finale con documentazioni, paper ed anche con programmi di learn-to-earn atti a ricompensare l’utente finale soddisfando degli importanti task proprio sulla sicurezza e sulla conoscenza degli strumenti che la piattaforma offre, riconoscendo l’anello debole del proprio sistema proprio in chi lo utilizza. 

“Technical problems can be remediated. A dishonest corporate culture  is much harder to fix.” — Bruce Schneier  

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.