Cyber Security: come va?
Dal punto di vista della cyber security il 2016 è stato un anno veramente devastante.
Aziende, scuole, agenzie governative, organizzazioni, sanità pubblica e persino campagne presidenziali ne sono state vittime. Quello che abbiamo imparato da un anno record per le violazioni informatiche, hack, phishing, malware e ransomware è in realtà ciò che da sempre sappiamo: i criminali informatici sono intelligenti e non sono vincolati da regole o da una vera e propria strategia.
Abbiamo anche appreso, o meglio ci siamo resi conto che, nessuna azienda, ente governativo o organizzazione è davvero sicuro quando si trova nel mirino di malintenzionati.
Gli hacker hanno dimostrato due macro obiettivi nel corso del 2016: rubare dati (violazioni reti governative ed aziendali) e ottenere fondi (ransomware e vendita dei dati).
Inoltre, si è evidenziato che i dati rubati, come password, documenti, cartelle cliniche, accounts e dati personali ed eventualmente credenziali di account bancari, vengono poi generalmente venduti sul mercato nero.
Infine, gli adeguamenti della sicurezza informatica aziendale sono spesso, ancora, visti come un “in più“, rispetto agli altri investimenti. Poche amministrazioni danno credito a quei responsabili IT che spingono verso un adeguamento, un aggiornamento o una politica di testing dell’infrastruttura.
È ancora un settore considerato “nuovo” per molti, e parlare di sicurezza, pericoli e di attacchi subiti ad aziende vicine all’interlocutore non sempre è sufficiente a smuovere una mentalità che si basa da troppo sul “prima che succeda a noi…“.
Sembra spesso di interpretare il ruolo di protagonista di qualche film alla Mission Impossible o alla Minority Report.
Ma diamo qualche esempio di attacco avvenuto nel 2016:
Nel mese di febbraio, la University of Central Florida ha riferito che erano stati vittima di un attacco informatico.
L’attacco mirava alla violazione dei dati e ha colpito circa 63.000 studenti fra ex studenti ed attuali, nonché docenti e personale dell’Istituto.
I cyber ladri sono penetrati sistema informatico dell’università e hanno rubato informazioni personali, quali numeri di identificazione degli studenti e dei dipendenti e codici fiscali.
Anche fra le più grandi aziende a livello mondiale, quelle con grandi budget per capirci, sono cadute in diverse vittima di hacker nel 2016.
Da Verizon Wireless a Cisco a LinkedIn e Yahoo!, Deutsche Telekom, Twitter, Banca Centrale Russa, Banca Centrale del Bangladesh, sistema informatico dei mezzi di trasporto di San Francisco, solo per citarne alcune.
Il record, probabilmente da sempre, per l’attacco informatico più grande lo ha ottenuto Yahoo! che ha dichiarato oltre 1 miliardo di account violati.
Cosa ci aspettiamo dal 2017?
Sicuramente un anno ancora più influenzato da un allargamento della superficie di attacco. Internet of Things, Automotive, Industry 4.0 sicuramente la faranno da padroni nella classifica dei settori più attaccati.
Ma forse non è proprio tutta colpa delle aziende e degli sviluppatori:
Non esiste politica di cyber security infallibile contro la stupidità umana, accidentale o meno.
Le persone hanno una capacità fenomenale nel ignorare la cosa giusta da fare. Perché fare la cosa sbagliata può sembrare più conveniente, più semplice e a volte più gratificante.
Oltre a ciò, alcune persone semplicemente non vogliono seguire le regole. Quindi bisogna pensare al Chi, Cosa, Dove, Quando e Come l’utente ha accesso ai sistemi informatici.
Non solo dei dipendenti, ma anche di imprenditori, fornitori, venditori e partner.
Insomma un’infrastruttura per protetta che sia avrà sempre un anello debole costituito dalla mano umana.
Probabilmente dal 2017 ne uscirà più integro e meno compromesso chi investirà nella formazione del personale e in policy interne più rigide.
Previsioni cyber security per il 2017
Premesso quanto di cui sopra, le nostre previsioni per la cyber security e la sicurezza informatica aziendale nel 2017 potrebbero essere così riassunte:
- In virtù delle normative che entreranno in vigore nel 2018, cominceremo a vedere qualche azienda muoversi già quest’anno per adeguare la propria situazione. Anche se, come spesso accade in Italia, si aspetterà l’ultimo giorno per mettersi in regola, se non addirittura guardare gli altri cosa faranno da qui al 2018 e poi seguire la massa.
Magari qualche bravo venditore riuscirà ad intimorire più che sensibilizzare qualche azienda e riuscirà a mettere in moto un processo di miglioramento della cyber security.
Per il resto probabilmente non vedremo grandi variazioni in termini di investimenti ancora per questo anno, almeno in prevenzione. Nel Post-Evento invece crediamo che si intensificheranno gli, considerando i trend in crescita degli attacchi informatici. - Continueremo a vedere l’adozione del cloud sia nel mercato mid-market sia nel enterprise. Nonostante alcune aziende rimarranno diffidenti ad affidare ad un sistema cloud i propri dati sensibili. Non sarà certo facile affidare a terzi i dati di proprietà intellettuale o dei clienti. Nonostante le cause siano paure per lo più infondate viste le condizioni delle attuali infrastrutture.
Alcune organizzazioni saranno intimorite dalla possibile mancanza di controllo sui loro dati e sulle questioni legate alla privacy. In realtà, gli ambienti cloud verranno ancora più regolamentati nei prossimi due anni e potrebbero diventare ambienti veramente sicuri.
Naturalmente sarà necessario scegliere una piattaforma cloud degna di fiducia. - Ci sarà un esponenziale crescita del numero di attacchi informatici verso il mondo del Internet of Things (IoT) legato a dispositivi e connessioni 4.0 nel 2017.
- Phishing e spam continueranno ad essere il principale vettore di attacco ed i più efficaci di sempre. I Cyber criminali continueranno a sfruttare le vulnerabilità esistenti con sempre maggiore frequenza.
Cyber speranze per l’anno che verrà:
Nonostante il triste panorama illustrato, siamo fiduciosi che le organizzazioni intensificheranno l’approccio alla cyber security. Rendendo così più difficile per gli hacker infiltrarsi nelle infrastrutture e nei sistemi informatici.
La nostra speranza verte sul fatto che se rendiamo più arduo violare una rete, aumentiamo le probabilità che i malintenzionati si spostino verso obiettivi meno protetti.
Considerando come nostro focus il proteggersi dalla massa, poiché in caso di attacco veramente mirato, quasi per certo, non saremo mai sicuri al 100%.
Infine dando uno sguardo all’ambiente che ci circonda, speriamo in un 2017 di responsabilità. Un 2017 che privilegi l’eliminazione di soluzioni informatiche obsolete e inefficaci.
Una buona cyber security non ha bisogno di essere costosa, ma necessita di essere efficace.
Per questo Vestudio persisterà nell’incentivare l’esecuzione di Vulnerability Assessment e Penetration Test. Cercando di testare le infrastrutture definite “già sicure” e “gia servite” dai responsabili.
Migliorare la sicurezza informatica!
Qualche suggerimento per intensificare la sicurezza informatica nel 2017:
- Uno dei modi più efficaci per mitigare le violazioni dei dati è quello di ridurre la superficie di attacco.
Ciò significa, ad esempio, chiedere ai dipendenti di non salvare le password nei browser ed aggiornare quelle di default.
Utilizzare le password di livello sicuro con nessuna informazione personale contenuta. Come, ad esempio, nomi di animali da compagnia o nomi dei bambini.
Non cliccare su link o e-mail con allegati sospetti. Compresi pdf e fogli di calcolo magari contenenti MACRO, considerati i numeri derivanti dal phishing. - Fare tutto il possibile per elevare la formazione e la sensibilizzazione verso la sicurezza dell’intera organizzazione, quindi dipendenti, partner, fornitori e chiunque abbia accesso alla rete e alle risorse critiche.
- Impegnarsi a un programma di cyber security attraverso l’educazione costante e strategie di difesa approfondite e continue nel tempo.
- Pensare alla cyber security come un vantaggio competitivo strategico. Non solo come ad un costo o alla difficoltà di mettere in budget fondi per nuovi investimenti.
Non ci stancheremo di ripetere quanti i vostri dipendenti, collaboratori, fornitori e partner possano diventare l’anello debole della vostra infrastruttura.
È fondamentale creare un senso di appartenenza all’azienda. Non meno importante è il sensibilizzare sulla cyber security e sulla fragilità di una azienda una volta violata.
Gli attacchi informatici possono comportare gravi danni di immagine, economici, diretti ed indiretti.
La sicurezza, non solo quella informatica, non è certo una scienza; in realtà molto dipende dal nostro buon senso.
Richiede comunque impegno, investimenti e la consapevolezza del potenziale danno che un attacco portato a termine può causare.