LA PA dimentica di investire sulla individuazione delle minacce: due vie per rimediare

Gli ultimi dati sugli attacchi Cyber, come quelle indicati nell’edizione 2015 del Data Breach Investigation Report di Verizon, confermano che molte compromissioni di sicurezza sono realizzate in minuti od ore, ma la loro individuazione o risoluzione può richiedere giorni, se non addirittura mesi.

L’attacco accaduto all’OPM (Office of Personal Management) degli Stati Uniti ad esempio ha portato l’FBI ad individuare un data breach nell’Aprile del 2015, quando in realtà era iniziato più di un anno prima, ovvero nel Marzo 2014. Ciò conferma quanto si sta osservando ormai da diversi anni. Le strategie di Cyber Security fondate esclusivamente sulla capacità di prevenire gli incidenti, ricorrendo in alcuni casi anche all’adozione delle tecnologie di ultimo grido, non solo non risolvono il problema, ma costituiscono esse stesse una falla importante nell’apparato di protezione. E se ad essere colpite solo le Istituzioni americane, che hanno cominciato molto prima di noi ad investire in Cyber Security, cosa succede nelle nostre PA ? La risposta è molto semplice: una diffusa e sistematica tendenza ad affidarsi esclusivamente sui sistemi di protezione attiva (Firewall, anti-malware, Intrusion Prevention System, ecc.), riducendo drasticamente la possibilità di individuare qualsiasi compromissione.

Spesso nelle attività sul campo mi sento dire – “ma dove pensi che le troviamo le risorse per monitorare adeguatamente le infrastrutture?” oppure – “ritiene che possiamo dedicare una persona a guardare un monitor, invece di occuparsi della gestione del nostro anti-virus ?”. Domande sicuramente lecite, ma che spesso costituiscono un facile alibi per non affrontare il problema. Secondo voi, solo perché non possiamo contare su investimenti adeguati o allocazione corretta del personale, che gli attacchi si fermeranno in futuro? Poi in molti casi si scopre che negli anni scorsi si sono spesi milioni di euro per acquistare le ultime tecnologie anti-APT, che hanno prodotto migliaia di notifiche ed allarmi che nessuno ha guardato!

Arriviamo quindi al punto. A tutti piacerebbe ovviamente poter contare su budget adeguati e risorse illimitate per proteggersi dalla minaccia Cyber. Sapendo che tutto ciò non è possibile è richiesto prima di tutto un cambiamento culturale nella definizione delle strategie di Cyber Security e nella pianificazione degli investimenti. Fatto cento il budget a disposizione, qualunque esso sia, dovremmo capire che è importare far crescere in maniera equilibrata tutte le capacità di contrasto della minaccia Cyber: dalla prevenzione, all’individuazione delle compromissioni, fino ad una risposta adeguata quando queste avvengono. Questa inversione di tendenza si sta osservando anche nelle ultime call lanciate dalla Commissione Europea nell’ambito del programma Horizon 2020. Prevention, detection, response appaiono come pezzi dello stesso puzzle, che devono incastrarsi perfettamente per raggiungere il risultato finale.

Ritornando al contesto della nostra PA, ed in linea con quanto già proposto dal Framework del NIST per la protezione delle infrastrutture critiche, a cui si è peraltro inspirato anche il Framework Nazionale, in termini di detection e reaction sarebbe necessario:

1. Adeguare le infrastrutture di monitoraggio, dotandole di capacità di detection proporzionali al profilo di rischio dell’organizzazione. Ciò significa non solo raccogliere i log prodotti dai dispositivi di sicurezza (sempre più spesso inutili, se non affiancati anche da un monitoraggio esteso delle rete), ma anche investire in capacità di analisi degli eventi, da parte di personale e/o strutture specializzate. Quando ciò non è possibile attraverso le proprie capacità interne, piuttosto che non affrontare il problema, esplorare tutte le opzioni esistenti; ad esempio attraverso partnership e convenzioni tra Pubblico e Privato, tra fornitori di intelligence e Managed Security Service Provider e/o ricorrendo all’aiuto delle Istituzioni (vedi CERT Nazionale, CERT PA, ecc.). Crescendo la domande, anche l’offerta sarà più abbordabile per tutti.
2. Definire un insieme ragionato e completo di processi e procedure di incident response da attuare quando una compromissione è stata accertata. Codificando in anticipo le casistiche più importanti e partecipando attivamente anche alle esercitazioni proposte dalle istituzioni è possibile ridurre drasticamente le conseguenze di un attacco, oltre a dare un contributo indiretto importante alla crescita complessiva delle capacità di reazione ad un attacco Cyber anche a livello di Nazione.