Stimare completamente e in modo corretto il rischio cyber è molto difficile, praticamente quasi impossibile. Avere persone esperte che si occupano di tale attività diventerebbe molto utile in questo senso, proprio prevenire eventuali attacchi dall’esterno.
Misurare il rischio cyber, è utile a tutte le imprese per individuare i criteri necessari per assegnare la giusta priorità agli investimenti di sicurezza.
Secondo uno studio del World Economic Forum (ripreso anche in Italia: “Dieci lavori che hanno (davvero) un futuro”) nei prossimi anni assisteremo alla crescita di nuovi lavori legati in modo particolare a trend sociali e non solamente tecnologici.
Tra i vari nuovi impieghi, nel settore della cyber security emerge quello del cosiddetto Cyber Calamity Forecaster (una sorta di “profeta di sventure” cyber) che è cresciuto del 28% solo nel primo trimestre 2021.
Tale occupazione è molto utile nella valutazione del rischio cyber, per dare prova agli indicatori di rischio (key risk indicators, KRI) e definire pertanto la strategia degli interventi di mitigazione. E’ importante che un esperto verifichi la validità delle stime del rischio cyber e sappia valutare i pro e i contro di ogni scelta.
Infatti, stimare del tutto e in modo corretto il rischio cyber è molto difficile, praticamente impossibile. Il ruolo del Cyber Calamity Forecaster diventerebbe molto utile in questo senso, proprio per compensare le limitazioni dei modelli previsionali di rischio e prevenire un attacco.
Misurare il rischio cyber, è utile a tutte le imprese per individuare i criteri necessari per assegnare la giusta priorità agli investimenti di sicurezza.
Purtroppo il rischio cyber continua ad essere ancora sottovalutato dalla maggior parte delle organizzazioni appartenenti ai diversi settori produttivi. I motivi sono diversi, tra cui spesso c’è la difficolta nel misurare e comunicare efficacemente il rischio esistente.
I cybercriminali dispongono di numerosi vettori d’attacco. Phishing, ransomware, spyware e adware sono soltanto alcune delle violazioni informatiche che sfruttano le vulnerabilità di sistema per sottrarre informazioni dai database attaccati.
Gli hacker scelgono le loro vittime in base all’importanza strategica e alla superficie d’attacco disponibile. Perciò è fondamentale ridurre quest’ultima per limitare il rischio di subire attacchi.
Tuttavia, calcolare il rischio di subire un attacco cyber è un’operazione molto complessa e fino a poco tempo fa non quantificabile.
La valutazione deve scoprire non solo le vulnerabilità del sistema ma soprattutto i percorsi degli attaccanti. La gestione del rischio invece deve individuare un insieme di contromisure che vanno a modificare il sistema, in modo permanente o temporaneo, e bloccano uno o più percorsi eliminando le vulnerabilità che abilitano gli attacchi nei percorsi. Bloccare percorsi diversi con le stesse contromisure è una strategia fondamentale per minimizzare i costi della sicurezza.
Le spese dirette e indirette di un attacco cyber sono oggigiorno in continua crescita. Per mantenere o ampliare le misure di difesa, le aziende si sono trovate a dover fronteggiare un problema composto da differenti variabili: tecnologie, competenze necessarie e costi di gestione.
Le aziende che vogliono ridurre il rischio associato a queste minacce in continuo aumento, hanno bisogno di attivarsi, facendo in modo però che la cyber security sia anche “sostenibile”, non solo in termini economici e di energia, ma anche di tecnologie, processi, persone e, soprattutto, in termini di conoscenze.
Il crescente stato di tensione internazionale attuale, ha poi moltiplicato gli obiettivi sensibili alle organizzazioni precedentemente non interessanti per gli attaccanti ed ai lavoratori operanti al di fuori delle aree protette dell’organizzazione (soprattutto in “smart working” non gestito in modo corretto).
Nel complesso, le imprese o le Pubbliche Amministrazioni, oggigiorno devono considerare nuove strategie di difesa efficienti e soprattutto sostenibili e devono fare i conti anche con il nuovo crimine informatico sempre più attivo rispetto al passato.
Perciò è diventato fondamentale avere come driver della cyber security il rischio cyber, come guida di tutte le operazioni nel contesto dalla sicurezza informatica.
Vediamo quali sono le difficoltà a stimare il rischio cyber: gli attacchi arrivano dal nulla e vanno nel nulla, solo le vittime sono note. Un tipico attacco cyber ha tempi di esecuzione di qualche ora al massimo, se non di pochi minuti, e i dati su cui basare la stima del rischio molto spesso sono nascosti sotto strati di tecnologie oppure assenti del tutto; la fonte del rischio cambia continuamente, con un ritmo insostenibile per la modellazione; la maledizione dei dati: molte volte i dati sono insufficienti per la creazione di un qualsiasi modello stabile. La parte passiva di un attacco dura ad esempio in media 5 mesi contro 1 ora o meno di esecuzione. La parte passiva che include la preparazione dell’attacco e la raccolta delle informazioni delle vittime è per definizione non identificabile. Solo la parte attiva (l’attacco vero e proprio) può produrre evidenze, che sono sempre più spesso troppo specifiche; le imprese e l’impatto dei rischi cyber sono profondamente differenti. Ogni azienda è differente dal punto di vista della maturità dei suoi processi digitali e dell’impatto che un eventuale attacco informatico potrebbe avere. Questo comporta un’estrema difficoltà nella costruzione di modelli di stima del rischio cyber che siano realmente calati nelle singole realtà aziendali; l’agenda di trasformazione digitale dei vari business è in rapidissima evoluzione, come hanno dimostrato il COVID-19 per primo e la guerra Russo-Ucraina successivamente. Ogni modello di stima del rischio in generale si basa sulla raccolta di eventi del passato e la loro modellazione. In presenza di discontinuità nel modus operandi della fonte del rischio questi modelli perdono di efficacia; gli asset tangibili ed intangibili. Recenti stime del WEF hanno riportato che il valore intangibile delle attività che non sono di natura fisica – rappresenta oggi il 90% del valore delle attività nelle organizzazioni, dato più che triplicato negli ultimi 35 anni. Gli attacchi informatici hanno sempre colpito i dati, un tipico asset intangibile, ma si sono recentemente allargati includendo altri tipi di asset (es., il “brand”, la reputazione).
Pertanto, per poter gestire al meglio la propria sicurezza informatica, le aziende devono cambiare approccio. Dovrebbero cercare di concentrarsi sulla protezione delle risorse critiche, quelle senza le quali l’organizzazione non può operare piuttosto che cercare di proteggere ogni singolo computer o sistema dagli attacchi.
L’elemento umano, essendo molto vulnerabile, è la causa, secondo un altro studio del WEF, di circa il 95% degli attacchi con risvolto positivo. Per questo motivo, tra tutti gli anelli della catena che devono saper resistere alla sollecitazione di un tentativo di offesa, le persone sono considerate l’anello più debole ovvero l’elemento a cui è associato il livello di rischio più alto.
A fare emergere questa vulnerabilità è stato il cyber crimine, servendosi oltre che delle abilità di hacking, anche di un notevole cinismo nelle modalità di inganno dell’essere umano.
I criminali hanno dimostrato di saper usare ogni stratagemma, non limitandosi agli aspetti tecnologici ed impiegando tutte le tipologie di social engineering; d’altra parte, un gruppo moderno di cyber security ha bisogno di attingere da diverse discipline nelle azioni di contrasto (es. discipline socio umanistiche come la psicologia o le scienze cognitive e comportamentali ecc..).
Da questo punto di vista, gli umani sono un ulteriore elemento di incertezza in quanto il comportamento di una persona varia continuamente ed è in generale poco prevedibile.
In conclusione, la stima dei rischi cyber è una sfida complessa sia per la natura stessa del rischio cyber, sia per alcune limitazioni proprie difficili da superare.
Negli anni a venire, la sfida della cyber security sarà quella di stimare i rischi cyber in funzione di tutte queste variabili e limitazioni, in modo credibile e sostenibile per le piccole e medie imprese e in modo regolare, tenendo conto anche degli eventuali effetti a cascata.
