Nei numerosi post che hanno affrontato le varie tematiche della trasformazione digitale, alla base dell’Industria 4.0, emerge in modo evidente che il “dato”, cioè l’insieme dei bit che costituiscono l’informazione, ha un valore economico per le imprese e per la società civile. Ho affrontato il tema della valorizzazione economica del dato nel post “Quanto valgono i dati della tua azienda? http://www.lorenzoferrante.it/2017/12/03/quanto-valgono-i-dati-della-tua-azienda/

La Trasformazione digitale che ha trasformato tutti i processi produttivi, ha estromesso la valutazione e l’azione umana da molte fasi industriali. Nel caso di un’azienda di trasformazione metallica, Il tornio elettronico si attiva in base al giungere di una serie di dati e svolge una serie di trasformazioni, sul metallo da lavorare, in funzione di altri dati. L’oggetto prodotto dal tornio, in base ai dati forniti alla macchina, costituisce l’elemento che genera i ricavi dell’Azienda. Senza i dati o senza i dati corretti non avremo il corretto prodotto finito e quindi non avremo i ricavi.

Quindi, come per ogni altro oggetto che ha un valore economico, per uno o più soggetti, esiste la possibilità che qualche azione criminale tenti di appropriarsi del “dato” o a renderlo non più disponibile per i legittimi titolari o per le attività produttive.

In un caso si parla di Hackers che impossessandosi del dato si impossessano di una informazione che potrebbe essere un segreto industriale o un segreto personale; dall’altro si parla di Hackers che violando le difese dell’Azienda, inseriscono,  nella struttura informatica dell’impresa colpita dall’attacco, degli speciali programmi, detti malware che bloccano, sino al pagamento di un riscatto, la disponibilità del dato stesso. In entrambe le tipologie, siamo di fronte ad organizzazioni criminali ed azioni che l’Interpol definisce Cyber Crime.

In questo post non analizzeremo la diversa tipologia dei Malware (http://www.lorenzoferrante.it/2017/12/03/cosa-significa-malware/ ) ma ci concentreremo sugli effetti che tali azioni possono determinare in uno scenario, quello dell’Industria 4.0, ove, entro il 2020, il 50% delle Global2000 vedrà il suo business dipendere, in maniera determinante, dalla capacità di fruire ed offrire servizi e prodotti digitali.

Le forze dell’ordine e l’Industria, collaborando, hanno determinato un declino dell’uso dei tradizionali metodi con i quali gli Hackers introducevano i loro Malware e questo ha determinato, da parte dei criminali, l’uso di nuovi metodi che sfruttano le applicazioni Social e le tecniche di spam.

Pensate ad un dipendente distratto che apra il file nocivo, nascosto all’interno di un file che rappresenta una fattura da pagare.

Circa un terzo degli attacchi avviene tramite il Phishing o quella che viene denominata Social Engineering.

Una Business Mail Compromessa (BEC) e’ una mail, inviata a dipendenti di un’Azienda, nella quale, qualificandosi come un membro di un’altra impresa o organizzazione, si invitano gli stessi a compiere qualche operazione di accesso, pagamento  o apertura di un file che contiene un MALWARE di tipo “key logger” che registra ed esporta, ai criminali, le chiavi di accesso e le password personali o aziendali.

Quali sono le dimensioni del fenomeno?

Un rapporto di CISCO stima che ogni mese vi siano circa 6 miliardi di ricerche in Rete e circa 20 miliardi di attacchi Cyborg.

Il rapporto n.373 della Banca d’Italia, relativamente agli attacchi informatici, riporta che tra Settembre 2015 e Settembre 2016, il 45,2% delle Aziende italiane ha subito un attacco e il 30% delle Aziende ha subito danni dall’attacco.

Se avete tempo aprite il sito web di Kaspersky che mostra, in tempo reale, l’andamento delle minacce e la loro natura: https://cybermap.kaspersky.com/stats/

Per esempio, tra il 7 e il 13 Ottobre, in Italia, vi sono state mediamente 50 mila minacce al giorno dal web, 270 mila attacchi alle Rete e 550 mila attività di Spam.

Il 12 Maggio 2017 il Malware WannaCry ha infettato 300000 dispositivi, in 150 paesi. Tra le “vittime” vi erano grandi industrie, banche, società di trasporto e compagnie di telecomunicazioni

Il Rapporto IOCTA 2017 di Europol evidenzia che il crimine informatico, continua a crescere e ad evolvere, prendendo nuove forme e direzioni nelle quali si assiste ad una progressiva convergenza tra crimini informatici ed organizzazioni criminali.

Più che analizzare le singole modalità di attacco e le conseguenti modalità di difesa che rappresentano uno dei quotidiani impegni di ogni CIO, in questo post vorrei descrivere il processo di difesa che le organizzazioni internazionali di lotta al Cyber Crime suggeriscono di adottare.

Per le grandi come per le piccole imprese.

Iniziamo con una citazione.

Non puoi difenderti, non puoi prevenire, l’unica cosa che puoi fare è rilevare e rispondere”. La frase è di Bruce Scheiner, uno dei maggiori esperti di sicurezza informatica.

In realtà, la difesa e la prevenzione, sono azioni che e’ necessario mettere in atto, all’interno di uno schema sequenziale di azioni e comportamenti più ampio.

Andiamo con ordine.

La prima fase, effettuata con macchine che gestiscono i sensori distribuiti in Rete e con tecniche e modelli analitycs specializzati, e’ quella della rilevazione della minaccia. Ovviamente, le tecniche e i segnali premonitori di un attacco vengono continuamente aggiornati, a cura di organismi internazionali ed  istituzionali, in data-base che raccolgono gli esiti della moltitudine di minacce ed attacchi che a livello globale, vengono quotidianamente affrontati.

La seconda fase e’ quella della investigazione e cioè l’insieme di attività che devono stabilire se la minaccia e’ divenuta effettivamente attacco, quali elementi o aree sono state compromesse e laddove l’attacco sia ancora in corso, quali contromisure possano essere messe in atto per limitare il danno. In questa seconda fase sono di fondamentale importanza le regole e le pratiche dell’informatica forense e cioè la raccolta, nelle modalità corrette, di tutte le “prove” dell’attacco digitale. Dati, log di comandi, copie ed immagini che saranno poi alla base di possibili azioni giudiziarie.

La terza fase e’ quella della rimozione degli agenti dell’attacco  e del ripristino delle configurazioni e delle tabelle dati antecedenti l’attacco. L’eterna lotta tra il bene e il male; una battaglia che si ripete.

La quarta fase è relativa all’analisi critica di quanto accaduto per identificare quale vulnerabilità sia stata sfruttata dagli hackers; quali procedure e insieme di istruzioni non siano risultati risolutivi e quali, invece, abbiano avuto un esito positivo.

La quinta fase è quella dell’implementazione di procedure e correzioni che annullano la vulnerabilità subita e che quindi innalzano il livello di sicurezza precedente.

Sino alla prossima minaccia !

Le 3 Regole che suggerisco di adottare:

Regola numero 1. Risorse adeguate al pericolo.

Il business dell’azienda dipende dai dati e dalle informazioni rilevanti. I processi produttivi di tipo digitale e la normativa sulla protezione dei dati, di cui ho già scritto in un post dedicato, non consentono ambiguità. Una sottostima dei possibili effetti e quindi la mancanza di risorse aziendali sufficienti ad affrontare la sfida quotidiana potrebbe essere pericolosa per la sopravvivenza dell’azienda.

Gli strumenti informatici dell’Azienda devono essere adeguati ai potenziali rischi. Agli addetti ai lavori sembra impossibile ma, ancora oggi, vi sono piccole e medie imprese connesse ad internet senza firewall o con un sistema operativo come Windows XP SP2.

Non ho alcun dubbio ad affermare che per quanto attento e preparato sia il vostro CIO, la gestione dell’attacco, l’annullamento della minaccia e tutte le attività che ho sopra sommariamente descritto, richiedono il supporto di aziende specializzate appartenenti alle varie organizzazioni (ENISA, FIRST, TF-CSIRT etc..) che condividono esperienze, metodologie e dati afferenti al tema. Per quanto preparato il team interno non potrà mai avere la preparazione di chi affronta decine di attacchi ogni giorno. Il supporto di tali aziende, se risulta indispensabile nelle fasi 2 e 3 (investigazione e rimozione) dell’attacco risulta utilissimo anche per le fasi 4 e 5, ove , imparando dagli errori precedentemente commessi in termini di vulnerabilità, si gettano le basi per l’adeguamento di processi e comportamenti.

Regola numero 2. La sicurezza informatica è un problema di tutte le risorse aziendali.

Secondo un’interessante indagine, condotta da Kaspersky-Lab e B2B che potrete facilmente trovare sul sito Kaspersky, nel 40% delle aziende di tutto il mondo i dipendenti nascondono gli incidenti di sicurezza IT.  Una larghissima percentuale degli attacchi informatici, sfrutta falle del Sistema Informativo determinate dalle azioni, consapevoli o non consapevoli degli impiegati.

Una cultura aziendale basata sulla eccessiva penalizzazione, in caso di errori, aumenta la possibilità di comportamenti che tendano a nascondere il problema generato. Processi aziendali troppo frammentati, uniti ad una scarsa cultura relativamente all’esclusività delle password, aumenta le possibilità che alcuni soggetti operino, senza troppa attenzione, con password altrui.

In rete un software non aggiornato o l’apertura di un file nocivo all’interno di una mail di phishing può creare una falla pericolosa che verrà sfruttata per un attacco.

I Mobile Malware, in poderosa crescita, sia in termini di numero sia di pericolosità, sfruttano il terminale mobile aziendale, assegnato a molti mobile-working, per l’acquisizione di password e credenziali di accesso alle applicazioni aziendali. Il rapporto CLUSIT 2017 stima che il 5% degli attacchi sia di tipo Account Cracking.

Adottare serie politiche di sicurezza per quanto riguarda la dotazione informatica dei dipendenti e favorire una cultura della sicurezza nei lavoratori, relativamente a password e programmi software ha ricadute significative nella capacità, dell’Impresa, di proteggere le proprie infrastrutture informatiche e le proprie basi dati.

Regola numero 3. Nell’Industria 4.0 la capacità di protezione e’ una opportunità di business.

Come abbiamo detto, nell’Industria 4.0, le imprese hanno cicli produttivi digitali e sono, tramite la rete, connesse le une alle altre. Una connessione digitale che attraverso sensori, computer e dispositivi di rete, lega il fornitore di materie prime con l’industria che le trasforma e per finire con il cliente che utilizza il prodotto finito.

Sempre sul Rapporto IOCTA2017 viene segnalato che alla fine del 2016 è avvenuto il primo attacco massivo, mediante il malware Mirai che ha utilizzato, quali veicoli (botnet), 150000 routers di rete e delle delle telecamere a circuito chiuso (CCTV Camera).

Questo botnet è stato il responsabile di una serie di attacchi di alto profilo che hanno creato dei danni all’infrastruttura internet della costa Ovest degli Stati Uniti.

Quando offriamo ai nostri clienti un’App siamo sicuri che il nostro software non sia vulnerabile?

Sempre sulla mappa in tempo reale di Kaspersky possiamo osservare che ogni secondo, in Italia, vi sono più di 1 milione di Intrusion Detection Scan (IDS)che interessano gli indirizzi IP.

Quando un fornitore ci fornisce una connessione di Rete a lui chiediamo solo il minor prezzo a parità di banda o chiediamo anche quale sia il numero di attacchi che hanno “bucato” la sua infrastruttura?

Quando acquistiamo un software per i nostri processi digitali,  siamo sicuri delle policy di sicurezza adottate dal fornitore ?

Con il crescere della sensibilità sui temi della Sicurezza Informatica, anche presso i consumatori, essere in grado di dimostrare di avere un livello elevato di sicurezza, ci consente di distinguere, sul Mercato, il nostro Brand e i nostri Servizi; usare, quale ulteriore leva di Marketing, le caratteristiche di sicurezza informatica della nostra azienda e del nostro prodotto, potrebbe essere un modo di ottenere un migliore posizionamento di mercato.

Cosa ne pensi?

Se vuoi contribuire, scrivi nei commenti e se poensi che questo post ti sia stato utile, condividilo.

Grazie.