Il largo impiego delle VPN per l'accesso alle risorse aziendali ha aumentato la superficie di attacco permettendo ai cyber criminali di sfruttare questi modelli legacy per sferrare attacchi. La soluzione per mitigare le minacce è il passaggio a un modello Zero Trust. È questa, in estrema sintesi, la conclusione a cui approda lo Zscaler 2021 VPN Risk Report.

I problemi delle VPN non sono certo nuovi, è dall'inizio della pandemia che se ne parla. Ossia dal momento in cui le aziende hanno ampliato a dismisura questo servizio per fronteggiare l'emergenza. Molti esperti di cyber security avevano alzato gli scudi: l'impiego delle VPN era "passabile" se usate da pochi e in occasioni eccezionali. Il lavoro da casa generalizzato, se associato alla VPN rischiava di diventare una bomba a orologeria. 

Così è stato, come confermano le informazioni raccolte a livello globale mediante interviste condotte da Zscaler con oltre 350 professionisti della sicurezza informatica sullo stato attuale degli ambienti di accesso remoto e l'aumento delle vulnerabilità. 
Nell'emergenza e nel panico del primo lockdown, il 93% delle aziende ha implementato servizi VPN. Questo nonostante il 94% degli intervistati fosse consapevole del fatto che i criminali informatici sfruttano le VPN per accedere alle risorse di rete. In mancanza di alternative immediate, è stata l'unica opzione.

La consapevolezza dei professionisti IT era la stessa dei cyber criminali, che hanno usato attacchi di social engineering, ransomware e malware per colpire gli utenti che accedevano alle VPN. Il meccanismo l'ha spiegato più e più volte Gastone Nencini di Trend Micro: la VPN è un tunnel criptato che trasporta i dati direttamente dall'endpoint del dipendente all'interno dell'azienda. Se fra questi dati c'è del malware, arriva nella rete aziendale criptato, quindi supera i controlli di sicurezza. 

L'inquietudine per la cyber security legata alle VPN è stata tale che dopo l'esperienza del primo lockdown il 67% delle aziende sta prendendo in considerazione alternative di accesso remoto alla VPN tradizionale. Significa che la preoccupazione affligge tre aziende di quattro.

La via d'uscita

La VPN è un servizio obsoleto e inadatto alla gestione dell'intera forza lavoro da remoto. Prima della pandemia le aziende pensavano di avere molti anni per pianificare l'avvio dello smart working per un congruo numero di dipendenti. Il 2020 ha fatto accelerare notevolmente i piani. Adesso sono molte le aziende che stimano di ripristinare solo parzialmente le attività in presenza.

Il 77% degli intervistati ha indicato che la forza lavoro della propria azienda adotterà un modello ibrido, con una maggiore flessibilità in termini di presenza in ufficio e telelavoro. È quindi necessario programmare un cambio di strategia importante.
Il 72% delle aziende sta dando priorità all'adozione di un modello di sicurezza Zero Trust. Il 59% ha accelerato i progetti in tal senso che erano già in essere in vista della focalizzazione sul telelavoro. Le soluzioni Zero Trust sembrano quindi destinate a ricoprire un ruolo di rilievo nel futuro dell'accesso da remoto.