Che cosa manca alla PA per contrastare (davvero) le cyber minacce

Le compromissioni avvengono perché la prevenzione non potrà mai essere completamente efficace, così come i rischi interamente annullati. Lo sviluppo di capacità di monitoraggio e risposta avanzata, quali quelle fornite da SOC e CERT ben organizzati, sono l’unica strada per ridurre l’impatto degli incidenti e prevenire quanto più possibile l’occorrenza di quelli futuri.

Abbiamo già avuto occasione di sottolineare nel precedente articolo l’importanza strategica di investire nell’individuazione tempestiva delle minacce cyber e non solo nella prevenzione delle stesse.

Chiunque si occupi di sicurezza, Cyber o non, concorda sul fatto che i rischi non possono essere completamente eliminati, ma eventualmente ridotti e gestiti. Ciò significa che una percentuale, più o meno significativa dei tentativi di attacco o di altre problematiche connesse ad una cattiva gestione della sicurezza (carenza di politiche e processi adeguati, manca di formazione e sensibilizzazione del personale, ecc.), potrebbe tramutarsi in compromissioni alle infrastrutture informatiche ed alle informazioni.

Le realtà più virtuose hanno già da tempo investito nella realizzazione di propri Security Operations Center (SOC), ovvero di strutture in grado di operare un monitoraggio continuo e centralizzato delle infrastrutture di cyber security, rilevando tempestivamente una buona parte dei tentativi di violazione. Tuttavia in molti casi i SOC sono eccessivamente sbilanciati sull’esercizio e sulla gestione dei sistemi e degli apparati di sicurezza (ad esempio firewall, sistemi anti-spam, antivirus, ecc.) e poco focalizzati sul monitoraggio avanzato degli eventi. Per monitoraggio avanzato intendiamo la capacità, non solo di acquisire gli eventi prodotti dai sistemi ICT tramite i così detti “log”, ma anche di “osservare” in tempo reale le dinamiche con cui si sviluppano le comunicazioni in rete, con l’obiettivo di individuare tempestivamente comportamenti anomali o inusuali. In questo senso risulta fondamentale integrare ciò che avviene all’interno della propria organizzazione con informazioni di cyber intelligence provenienti dal mondo esterno, siano esse ricavabili da fonti aperte (così dette Open Source Intelligence) oppure da provider commerciali. In entrambi i casi, l’utilizzo dei così detti “Indicatori di Compromissione”, ovvero di evidenze di una o più tecniche utilizzate in attacchi specifici o potenziali, inseriti nei processi di detection di un SOC, consentono di verificare se eventuali minacce emergenti e/o registrate a livello mondiale hanno in qualche modo già coinvolto interessato anche l’organizzazione in esame. Sfortunatamente tutto ciò, oltre a strumenti e tecnologie adeguate, richiede l’impiego di personale altamente specializzato, dotato di competenze e conoscenze molto approfondite dei principali fenomeni in gioco. Questo è il motivo per il quale diverse realtà, anche nel mondo delle infrastrutture critiche, stanno attentamente considerando o hanno già deciso di ricorrere a strutture SOC esterne, capaci di colmare quelle competenze spesso carenti all’interno delle Pubbliche Amministrazioni, così come in molte altre aziende private.

Altro aspetto da considerare riguarda l’effettiva capacità di rispondere ai tentativi di compromissione, anche quando questi sono state correttamente individuati. Ciò è dovuto in gran parte ad una riluttanza cronica da parte dei responsabili della sicurezza operativa a strutturare e standardizzare adeguatamente le procedure da adottare durante la gestione di un incidente . Spesso tali procedure sono percepite come inutili “scartoffie” che complicano l’operatività. In realtà l’esperienza e la maggior parte della letteratura disponibile in materia, dimostrano ampiamente come l’unica possibilità di ridurre l’impatto di una compromissione sia quella di reagire tempestivamente ed adeguatamente all’evento in corso . Ciò è possibile solo attraverso un’attenta pianificazione preventiva di ciò che gli americani chiamano course of action, ovvero la sequenza delle azioni da attuare in situazioni di emergenza, senza introdurre ritardi dovute all’indisponibilità di procedure ben definite ed ingegnerizzate che delineano esattamente cosa fare, come e quando.

Negli ultimi anni si è infine compresa la necessità di istituire, in aggiunta al SOC, un presidio di Cyber Security specifico e dedicato ad aumentare la capacità di prevenzione, coordinamento e risposta globale agli attacchi Cyber. Tale funzione è largamente conosciuta come Computer Emergency Response Team (CERT) o Computer Security Incident Response Team (CSIRT). L’origine del primo CERT risalgono nel lontano 1988, quando il Software Engineering Institute (SEI) coniò il termine per indicare la creazione di un centro volto a coordinare in modo veloce ed efficace la comunicazione tra gli esperti durante le emergenze, allo scopo di assistere gli utenti della rete in caso di incidente informatico, prevenire eventuali incidenti futuri e promuovere una cultura a livello internazionale sulla sicurezza informatica.

Sebbene il significato di fondo resti praticamente immutato, oggi il CERT sta acquisendo un ruolo sempre più strategico in termini di prevenzione degli incidenti e comprensione complessiva dei fenomeni correlati, tanto da costituire uno strumento fondamentale anche dal punto di vista della Security Governace .

Il CERT, a differenza del SOC, è fortemente sbilanciato verso il mondo esterno, diventando il punto di contatto principale per gli aspetti di Cyber Security verso la propria comunità interna di riferimento (così detta “Constituency”) e tutti gli altri attori esterni , istituzionali e non, impegnati quotidianamente nel contrasto e nella difesa del cyber space (altri CERT, forze di polizia, enti regolatori, ecc.). Alla base di questo paradigma c’è un concetto semplice quanto terribilmente efficace: lo scambio informativo sulle minacce, sugli incidenti già accaduti e sulle tecniche di contrasto adottate, conosciuto dagli addetti ai lavori come information sharing, è lo strumento più potente ed efficace per stare un passo avanti a coloro che intendono compromettere infrastrutture ed informazioni. D’alta parte è la stessa tecnica di base utilizzata dalle organizzazioni criminali, seppure con modalità e strumenti diversi, per scambiarsi informazioni tecniche aggiornate su come e quando attaccare le vittime, spesso proprio sfruttando le potenzialità della Rete. Se tutte le organizzazioni, pubbliche o private, avessero al proprio interno un CERT capace di scambiare informazioni su ciò che sta accadendo nel cyber space, in maniera tempestiva ed aggiornata, forse il rischio cibernetico non sarebbe più considerato tra i rischi più rilevanti della società moderna.