Di fronte a uno scenario in continua evoluzione delle minacce IT, tecniche tradizionali di protezione degli ambienti IT non sono più sufficienti. È l’intera organizzazione che deve strutturarsi per essere pronta ad affrontare nuovi rischi e a rispondere in modo adeguato agli attacchi. Per le imprese è il momento di pensare alla cyber resilience. Un cambio di passo, vitale, necessario che è tutto nei numeri clamorosi dell’ultimo report Clusit, attacchi cyber oltre il +65% in Italia nel primo semestre 2024 e impatti critici sulla continuità aziendale in oltre l’80 per cento dei casi…
Un cambio di passo su cui da tempo è sceso in campo un system integrator di eccellenza come IFIConsultung grazie a strategie chjiare, investimenti mirati in competenze, innovazione e ad un ecosistema di eccellenza come quello ha portato all’incrocio della strada di Commvault. Multinazionale protagonista, non a caso, proprio nella corsa verso la cyber resilience.
Un ecosistema, un system integrator di valore, una sfida centrale per le imprese. Nasce da qui l’idea e la pratica della guida esclusiva che segue e dell’intervista, preziosa con un talento come Andrea Ghiringhelli, Business Developer Manager at IFIConsulting. Dopo un viaggio al centro della cyber resilience proprio Andrea ci offre qui una serie di preziose indicazioni sulle cose da fare e gli errori da evitare mentre si cerca di raggiungere il traguardo della agognata capacità di “adattarsi” e “continuare”… nonostante la tempesta di attacchi cyber in atto.
Cosa è la Cyber resilience e in cosa differisce dalla cyber security?
È stata la parola che abbiamo utilizzato di più nei lunghi mesi del lockdown nel 2020: resilienza. Nel 2020 rappresentava la capacità delle imprese di resistere e rispondere all’impatto imprevisto della crisi pandemica e di tutte le altre avversità che si erano poi succedute (qualcuno ricorda la Ever Given incagliata nel Canale di Suez?).
Oggi di resilienza si torna a parlare, correlandola a un tema altrettanto cruciale per le imprese: la sicurezza. E lo si fa anche grazie al Cyber Resilience Act (CRA), un pacchetto di regole approvato (se pure ancora in via provvisoria) dal Parlamento Europeo e che introduce nuove regole di resilienza informatica per proteggere i prodotti digitali nel territorio dell’Unione.
Ecco, dunque, che accanto alla cybersecurity è arrivato il momento di occuparsi anche di cyber resilience.
Il primo passo per comprendere cosa davvero sia la cyber resilience è capire in cosa differisca dalla più tradizionale cybersecurity.
Se con la cyber security si prendono in considerazione misure tecniche, dagli antivirus ai firewall, dal controllo accessi ai sistemi di backup e ripristino, la cyber resilience ha un approccio più olistico alla sicurezza, e prende in esame anche tutti gli aspetti che riguardano la preparazione e la consapevolezza delle persone e dell’intera organizzazione.
Se dunque con la cybersecurity l’obiettivo è quello di proteggere e difendere dalle minacce in arrivo, al cuore della cyber resilience c’è la capacità dell’organizzazione di mitigare i danni dopo un attacco informatico.
Come si affronta la cyber resilience?
Il National Cyber Security Council (NCSC) statunitense ha definito un approccio alla cyber resilience in quattro fasi:
- Prepare: prepararsi, ovvero accettare l’eventualità di essere vittima di un attacco informatico e creare piani per il caso in cui ciò accada.
- Absorb: assorbire, essere cioè in grado di assorbire il problema e mantenere attive le funzioni aziendali critiche grazie a un attento lavoro di preparazione.
- Recover: recuperare, ovvero essere in grado di riprendersi dopo l’attacco
- Adapt: adattarsi, ovvero fare in modo che i sistemi, così come i team siano in grado di adattarsi alle costanti evoluzioni delle minacce e delle tipologie di attacco.
La cyber resilience è dunque più simile a un percorso, è un approccio a lungo termine che richiede alle imprese una preparazione continua e costante. Richiede una solida valutazione dei rischi informatici che l’azienda può correre. Questi includono sia le minacce interne, provenienti dalle persone all’interno dell’organizzazione, sia i rischi esterni come le violazioni dei dati e gli attacchi ransomware, sia ancora l’utilizzo di nuovi paradigmi, come l’intelligenza artificiale, per attacchi sempre più mirati.
Cyber security e cyber resilience: due facce della stessa medaglia
Cyber security e cyber resilience non si escludono a vicenda, anzi.
L’adozione di strumenti, soluzioni e tecnologie di sicurezza deve andare di pari passo con pratiche di resilienza informatica regolari ed efficienti, che vanno dai test di phishing alla threat detection, fino ad arrivare ai piani di continuità.
In questo caso, l’azienda deve sapere cosa fare in caso di attacco, come informare i dipendenti e come farlo con i clienti.
Ma deve anche sfruttare le “lesson learned”, ovvero l’esperienza fatta in caso di attacco per capire come adattare le proprie funzioni e le proprie capacità informatiche per diventare più resiliente.
La cyber security può essere considerata una delle componenti chiave di una corretta strategia di cyber resilience, che deve includere anche l’analisi e la gestione del rischio, al fine di identificare i rischi che potrebbero avere un impatto sull’ecosistema IT di un’organizzazione, la business continuity, il disaster recovery.
Il Cyber Resilience Act
Come accennato, oltre alla doverosa attenzione necessaria non solo sulla cyber security, ma anche sulla capacità di resilienza che le imprese devono avere di fronte agli attacchi informatici, c’è anche un nuovo impianto normativo europeo che riguarda la cyber resilience cui fare riferimento.
Lo scorso mese di novembre, è stato raggiunto infatti un accordo provvisorio tra gli eurodeputati e la Presidenza del Consiglio UE sul Cyber Resilience Act (CRA), che introduce nuove regole di resilienza informatica per proteggere i prodotti digitali nell’UE. L’accordo mira a garantire la sicurezza, la resistenza alle minacce cibernetiche e la fornitura di informazioni sulle caratteristiche e proprietà di sicurezza di dispositivi con funzionalità e componenti digitali.
A livello di prodotti, il CRA definisce l’ambito di applicazione: “Tutti i prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”, e li classifica in due gruppi: il primo, ad altro rischio, include tutti i dispositivi per i quali si suppone un elevato livello di vulnerabilità e criticità informatica, come ad esempio sistemi operativi, hardware, smart card e microprocessori; il secondo, a rischio inferiore, include tutti quei dispositivi per i quali le criticità potenziali sono di livello più basso, come gestori di password, lettori biometrici…
Ma, al di là della classificazione dei prodotti, il CRA introduce una serie di obblighi sia per i costruttori, come la separazione degli aggiornamenti di sicurezza automatici separati da quelli funzionali per garantire una protezione continua, sia per le imprese, soprattutto per quanto attiene la segnalazione di incidenti gravi e l’identificazione di vulnerabilità sfruttabili, adeguandosi in questo caso a quanto previsto dalla direttiva NIS 2 (Network and Information Security).
È l’ora di un cambio di passo, la strada e i consigli di IFIConsulting
Appare dunque chiaro che la cyber resilience richiede un importante cambio di passo, che coinvolge non solo i responsabili di sicurezza, ma l’intera struttura aziendale e riguarda l’effettiva capacità di una organizzazione di essere pronta ad affrontare un panorama in continua evoluzione, per la numerosità, la diversità e la severità dei possibili attacchi.
“L’aspetto fondamentale nel caso di un attacco poggi è la data availability – racconta Ghiringhelli -. Per tutte le organizzazioni è vitale poter riprendere ad operare al 100% sul proprio mercato di riferimento nel minor tempo possibile. Per fare questo, occorre affidarsi a dettagliati piani operativi, ma soprattutto alla miglior tecnologia che consente di avere un backup dei propri dati che sia efficace e sicuro, perché è proprio dal backup che occorre ripartire.“
“In tal senso, come IFIConsulting, abbiamo scelto di essere un partner strategico di Commvault, tecnologia di riferimento proprio nel cuore di questa sfida. Funzionalità come la Clean Room Recovery, ovvero il tool Commvault per mezzo del quale è possibile fare il restore del backup in un ambiente totalmente isolato e pulito, rispondono perfettamente a quanto necessario in fatto di Cyber resilience e data availability. Interessante – continua il manager – anche Cloud Rewind. In un contesto dove la maggior parte delle aziende ha scelto una strategia di cloud ibrido, avere la possibilità di ripristinare rapidamente l’intero ambiente cloud, inclusi dati, applicazioni e configurazioni dell’infrastruttura, in modo altamente automatizzato, velocizza enormemente la ripresa in caso di attacco. Dobbiamo insomma attivare tutte le difese necessarie per impedire di accedere al nostro “fortino”, ma una buona strategia deve prevedere anche di possedere gli strumenti necessari per gestire un accesso “indesiderato”.
Ma oggi, quanto sono davvero sensibili sul tema cyber resilience le aziende italiane?
“La percezione che deriva dal contatto quotidiano con i clienti – racconta ancora Ghiringhelli – mi dice che la conoscenza del problema sembra essere in aumento. Nonostante le aziende italiane stiano facendo un significativo sforzo sia in termini economici sia di risorse, i dati però ci dicono che siamo ancora un po’ indietro rispetto ad altri paesi e soprattutto rispetto ad attacchi sempre più sofisticati. Abbiamo la necessità di investire ancora di più in termini proprio di Cyber Resilience.
Sono state già introdotte una serie di normative a livello europeo, cito per esempio NIS2 e DORA, che evidenziano non solo l’esigenza sempre più pressante di mettere in sicurezza le nostre aziende, ma soprattutto la necessità vitale di proteggere il nostro vero asset strategico: i dati.
In un contesto di mercato sempre più legato alla data analysis che, anche grazie all’avvento dell’AI, genera informazioni sempre più dettagliate per la competitività delle aziende e dei settori di mercato, capiamo bene quanto possa essere devastante sottostimare il tema della sicurezza e disponibilità dei dati stessi (con danni economici e di immagine a volte incalcolabili)”.
“In un contesto così complesso i nostri clienti devono potersi occupare del loro business in modo efficace e noi abbiamo il compito di garantire loro che tutta l’infrastruttura (nel senso ampio del termine) possa supportali nel modo più utile e soprattutto sicuro…”
Cyber Resilience e gli errori da evitare
Detto del cosa… vale ora la pena di analizzare il come.
“Anche se non si dovrebbe – racconta Ghiringhelli – , vorrei partire con gli errori da evitare. Purtroppo esiste ancora un pensiero radicato che parte da un’assunzione: “tanto a me non capita, gli attacchi sono solo mirati versio multinazionali e/o grandi istituzioni.”
Nulla di più sbagliato e pericoloso. I dati degli analisti ci dicono tutt’altro e probabilmente sottostimano il fenomeno (non tutte le aziende rendono evidenza degli attacchi informatici ricevuti).
Partendo da questa considerazione serve contemplare una strategia molto più proattiva ed ampia, che parta proprio dal tema della Cyber Resilience (quando sarai attaccato.. non “se” sarai attaccato..). Ciò significa rivedere proprio strutturalmente il proprio approccio per capire e pianificare ogni aspetto legato alla sicurezza informatica. Purtroppo a volte, nello specifico, il tema del backup viene un po’ trascurato, specie in quegli ambienti (mi viene da pensare per esempio ad applicativi di tipo Saas) dove pensiamo di essere al sicuro.
Una delle considerazioni che condivido spesso e che ben esprime il concetto è: “I tuoi dati sono validi quanto il tuo ultimo backup ed il tuo ultimo backup è valido solo quanto la tua capacità di ripristinarlo..“
Possiamo e dobbiamo aiutare i nostri clienti nell’identificare aree non ancora protette correttamente e fornire loro tutti gli strumenti per adottare un approccio più rigoroso al tema”.
Cyber resilience e l’eccellenza di IFIConsulting con Commvault
Consigli, strategie ma anche e soprattutto la capacità di fare le scelte giuste a livello tecnologico. Una capacità che IFIConsulting ha da tempo affinato.
“Noi – conclude Ghiringhelli – abbiamo necessità di scegliere le soluzioni tecnologiche più efficaci a disposizione. Commvault certamente è da anni riconosciuta come leader di mercato sulle tematiche delle quali abbiamo parlato e per noi è essenziale poter erogare i nostri servizi attraverso la miglior tecnologia presente sul mercato proprio per ai nostri clienti esattamente le risposte che si aspettano. Siamo partner elite di Commvault ed aggiorniamo costantemente le nostre competenze per poter mettere a disposizione le migliori figure professionali presenti nel nostro mercato. Offriamo pertanto delle soluzioni di backup gestito che non solo consentono di avere la certezza della disponibilità di dati consistenti, ma lavorano in modalità predittiva in modo tale da poter evidenziare subito qualsiasi anomalia anche sull’aspetto dei backup e di risolverla preventivamente».
