Ransomware, CISO e DPO concordano: “Servono competenze e conoscenza del rischio”
I cambiamenti nella governance (con la nascita dell’Agenzia per la Cybersicurezza Nazionale – ACN), la strategia Cloud italiana e le risorse del PNRR, ma anche un focus specifico sugli attacchi di tipo Ransomware: questi i temi oggetto di dibattito nel secondo incontro della community CISO&DPO di FPA
22 Ottobre 2021
Redazione FPA
Da un lato attacchi informatici sempre più numerosi, diffusi a livello internazionale e sofisticati, dall’altro strutture, competenze e tecnologie non sempre adeguate per fronteggiarli. Sui temi della cybersicurezza e della data protection ci sono state importanti novità per la governance nazionale e il quadro normativo è in continua evoluzione.
Proprio i cambiamenti nella governance (con la nascita dell’Agenzia per la Cybersicurezza Nazionale – ACN), la strategia Cloud italiana e le risorse del PNRR sono i temi al centro del dibattito che si è svolto in occasione del secondo incontro della community CISO&DPO di FPA. Questo incontro è stato anche l’occasione per approfondire, attraverso casi studio nazionali e internazionali, una tipologia di attacco tra le più frequenti: il Ransomware.
La community CISO&DPO di FPA si riunisce nell’ambito del progetto Cantieri, grazie alla collaborazione di importanti partner tecnologici come Arcer, Akamai, DXC technology, Samsung e HCL.
Cybersecurity: mancano gli specialisti
Nella prima sessione “Governance e strategie nazionali. Come cambia la cybersecurity del settore pubblico: nuovi soggetti e direttrici”, l’Advisor scientifico Samuele de Tomas Colatin, Research Fellow presso NATO Cooperative Cyber Defence Centre of Excellence, ha iniziato il suo intervento ripercorrendo brevemente i contenuti del precedente incontro della community, quando il PNRR era appena stato trasmesso alla Commissione europea ed erano stati stanziati i primi fondi per la cybersecurity. Da allora la situazione è cambiata, il PNRR si è attivato e il governo italiano si è messo in moto per far fronte a uno dei problemi più gravi in ambito informatico: la mancanza di personale altamente qualificato.
All’aumento di attacchi informatici, infatti, non corrisponde un incremento della cultura digitale.
Razionalizzare le capacità digitali del Paese
Per digitalizzare la “macchina di governo” rapidamente e senza avere a disposizione molti professionisti, si è scelto di razionalizzare le capacità digitali del Paese:
- Dal punto di vista politico/organizzativo
- Dal punto di vista dell’innovazione
- Dal punto di vista della sicurezza
Questo è avvenuto con la definizione di una Strategia Nazionale Cloud, che adegua le infrastrutture pubbliche a determinati standard di innovazione, e con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale, che concentra i diversi compiti di contrasto agli attacchi informatici.
Strategia nazionale Cloud e cybersecurity
Con 11.000 data center, affidarsi a gestori terzi per la fornitura di servizi in cloud è d’obbligo, ma è necessario confrontarsi con il problema della sicurezza, perché non si ha il 100% del controllo dei propri dati. Innanzitutto, occorre classificare i dati e i servizi che saranno ospitati sui cloud, in base ai livelli di sicurezza necessari (per dati e servizi meno importanti basteranno livelli standard di sicurezza, per altri dati occorreranno livelli più alti).
È necessaria anche una riflessione sull’autonomia tecnologica, per ridurre il rischio che i dati siano accessibili a Stati terzi, senza contare il fenomeno del vendor lock-in, quando si diventa in qualche modo “dipendenti “dal servizio offerto da provider esterni.
L’Agenzia per la Cybersicurezza Nazionale
Nel mese di agosto 2021 è nata l’Agenzia per la Cybersicurezza Nazionale, frutto di un grande lavoro di razionalizzazione, perché il nuovo ente racchiude gli organi nazionali di contatto e risposta agli attacchi informatici: CSIRT Italia e Nucleo per la Cybersicurezza. L’obiettivo dell’Agenzia è arrivare a 800 esperti entro il 2027 (il reclutamento dovrebbe avviarsi a inizio 2022 attraverso bandi pubblici).
Ciso e Dpo di FPA: obiettivi, dubbi e criticità
L’approfondimento sul tema della sicurezza informatica in Italia è proseguito con un momento di confronto tra i partecipanti all’incontro, che hanno individuato alcuni obiettivi prioritari:
- Puntare sui giovani, “nativi digitali”, e sulla loro formazione
- Portare sul cloud tutte le PA, soprattutto le più piccole
- Mettere a punto infrastrutture per la standardizzazione dei servizi
- Investire su servizi gestiti di sicurezza, collaborando con aziende che offrono il meglio dal punto di vista tecnologico e di risorse
- Cambiare il modo di percepire il rischio informatico
Quali sono invece i problemi e i rischi?
- Possibile perdita del controllo del know-how della PA, se ci si rivolge a personale esterno più competente in materia di sicurezza informatica
- Rischio per i dati “decentralizzati” a causa dell’utilizzo di dispositivi mobili personali per l’attività lavorativa: il ricorso repentino allo smart working non ha permesso alle amministrazioni di adeguarsi in tempo
- Mancanza di servizi di accompagnamento nel passaggio al cloud delle PA
Ransomware, la miglior difesa è la prevenzione
La seconda parte dei lavori della community CISO&DPO ha approfondito una particolare tipologia di attacco: il Ransomware. Il dibattito è partito dai dati estratti da tre ricerche internazionali in materia: “Ransomware: the true cost to business” (Cybereason), il recente “Microsoft Digital Defense Report” e “Playing with Lives: Cyberattacks on Healthcare are Attacks on People” (The CyberPeace Institute).
Dopo aver osservato i settori più colpiti da questa tipologia di attacco informatico, in particolare quello sanitario, sono stati analizzati i trend del fenomeno, come la doppia estorsione (il cybercriminale non solo chiede soldi per sbloccare i dati, ma minaccia anche di rivelarli), gli effetti (anche se non è sempre possibile quantificare i danni con precisione) e i costi.
Gli esempi di ransonware nel mondo sono numerosi e alcuni hanno effettivamente “messo in crisi” la società, come nel caso Colonial Pipelin negli USA, con il blocco di uno dei più importanti oleodotti statunitensi con conseguente caos generale. Il ransomware diventa anche un problema di sicurezza internazionale, perché può essere ritenuto responsabile lo stesso Stato in cui risiedono i cybercriminali.
Preso atto della difficoltà a recuperare dopo un attacco ransomware, la soluzione migliore è la prevenzione. E in sintesi il tavolo si trova concorde su alcuni punti chiave:
- Cultura digitale e formazione
- Azione collettiva
- Supporto nazionale
- Prevenzione