Proteggere i dati è oggi l’esigenza centrale della cyber security. È sul dato che si concentra Luca Calindri, Thales Data Protection Country Manager Italia e Malta, nell’evento di presentazione del 2022 Thales Data Threat Report. Non solo perché Thales è una realtà focalizzata sulla data protection, ma perché è ormai universalmente conclamato che i dati sono il nuovo petrolio.

Sono l’obiettivo dei cyber criminali, con un valore notevole sul mercato del dark web, che in alcuni casi può equiparare o superare quello di un riscatto pagato da un’azienda vittima di ransomware. E perché la cybersecurity è intrinsecamente anche protezione della privacy e dei dati.

Per questo quando si parla di sicurezza e resilienza di un’azienda si parla inevitabilmente di proteggere dati. I dati di accesso, i segreti industriali, le informazioni sui clienti, sui dipendenti, sui prodotti, sugli investimenti, e in definitiva le informazioni di tutta la filiera legata alla vittima di un attacco.

Il primo argomento che Calindri porta all’attenzione è anche il più importante: non si può proteggere quello che non si sa di avere, o di cui non si conosce la posizione e il valore esatto. E su questo fronte iniziano le note dolenti: secondo i dati di Thales, collezionati tramite 2.700-2.800 interviste globali condotte nel 2021, solo il 56% degli intervistati ha un’idea chiara e precisa dell’ubicazione dei propri dati e della loro classificazione, sotto l’aspetto della valutazione del rischio.

A proposito di classificazione, solo il 24% degli intervistati ammette di averne una. Può sembrare una questione secondaria, in realtà un dato sensibile o confidenziale è più appetibile per un criminale informatico rispetto a una informazione ordinaria di poco conto, quindi dovrà essere difeso in maniera diversa.

Le percentuali preoccupano nel momento in cui vengono calate nel contesto del trend degli attacchi cyber in continua crescita. Gli stessi intervistati, infatti, ammettono di avere subìto un attacco in passato (52%) e addirittura negli ultimi 12 mesi (il 12%). Non serve uscire dai patri confini per vedere attacchi a grandi istituzioni o aziende con cadenza mensile o addirittura settimanale.

Le minacce e l’Italia

Sulla natura delle minacce c’è poco di nuovo da evidenziare: le più concrete, sentite, subite e affrontate sia nel pubblico che nel privato sono il malware con il 56% dei casi registrati, a cui segue il ransomware. A questo proposito Thales porta all’attenzione un dato sull’Italia decisamente preoccupante: il nostro è il quarto Paese al mondo per numero di attacchi, nonostante quella italiana non sia la quarta potenza economica mondiale.

Questo porta a una necessaria riflessione sulle motivazioni che spingono gli attaccanti a prendere di mira il Belpaese, che evidentemente è più esposto agli attacchi rispetto ad economie e paesi che sarebbero più appetibili sulla carta. In altri termini, l’Italia viene più attaccata di Paesi economicamente più avanzati banalmente perché è più facile andare a segno e trarre un profitto. Un dato che lo chiarisce è quello dell’Osservatorio del Politecnico di Milano circa gli investimenti italiani in cybersecurity, che sono pari solo allo 0,05% del PIL, ossia metà di quelli di altri Paesi europei, e di molti inferiori a quelli di Regno Unito e Stati Uniti.

Se i fondi per la security sono il primo punto a cui lavorare, il secondo è l’incremento della sensibilità verso la sicurezza informatica. Di sicuro un passo avanti importante in questa direzione è costituito dalle iniziative governative forti e concrete come il cloud nazionale e il PNRR, che se ben sfruttati potrebbero colmare il gap di competenze, che è fondamentale per gestire le minacce a cui siamo esposti.

Tuttavia, è da annotare che quello della percezione del rischio è un problema mondiale: secondo i dati del report, il 21% degli interpellati ha subito un attacco ransomware, quindi ha sperimentato nella misura del 43% i gravi danni in termini di operatività che questi attacchi comportano. Un dato poco confortante è quello secondo cui il 22% dei rispondenti si è detto disposto a pagare il riscatto, o lo ha già fatto, pur di tornare all’operatività.

Come sempre ci sono dei distinguo da fare sui dati in base ai settori operativi. Sul piano globale, Healthcare e Energia/utility sembrano i settori più pronti ad affrontare situazioni di emergenza legate agli attacchi cyber. Nella maggior parte dei casi, entrambi dichiarano di avere già pronti piani ad hoc per il ripristino dell’operatività.

Il problema è che la sicurezza non è una questione settoriale, tutti dovrebbero seguire linee guida base come quelle previste negli Stati Uniti, dove le aziende sono obbligate a predisporre la MFA, a concedere il privilegio minimo di accesso ai singoli utenti, a segmentare le reti. E la raccomandazione di applicare tecniche protezione dati come crittografia.

Fin qui abbiamo parlato delle minacce contingenti. Thales però allerta sulle minacce che verranno e che sono ampiamente preventivabili. La prima è il Quantum Computing. Se ne parla da diversi anni e ci sono ingenti investimenti e sperimentazioni per innalzare livelli sicurezza della crittografia applicata per resistere ad attacchi usati con tecniche di quantum computing. Tutti devono seguirne gli sviluppi perché dovranno farsi trovare pronti a gestire attacchi di questo tipo.

La questione cloud

Una minaccia tangibile riguarda invece il paradigma di cloud e multicloud adoption in relazione alla security. La pandemia ha spinto prepotentemente in questa direzione. Molti hanno avuto una falsa sensazione di sicurezza pensando che aderire a un paradigma cloud per l’erogazione di servizi ICT innalzasse intrinsecamente degli standard di protezione delle informazioni. A livello di PMI, è probabile che il servizio offerto dagli hyperscaler internazionali rappresentasse livelli di compliance e sicurezza più elevati rispetto alla situazione precedente.

Tuttavia, un’azienda pubblica o privata di qualunque dimensione non può e non deve delegare la sicurezza e la responsabilità ai cloud provider. La sicurezza è, e deve restare, responsabilità del titolare dei dati, come previsto dal GDPR e dalle normative europee. Bisogna quindi prestare attenzione costante al mantenimento della netta separazione dei ruoli fra chi usa la piattaforma cloud (e deve preservare l’integrità del dato) e il gestore della piattaforma stessa, che deve garantire solo che il servizio funzioni senza interruzioni.

La protezione dei dati

La prima opzione per la protezione dei dati sensibili è la crittografia. Rifacendosi al discorso sopra, Calindri ribadisce che anche la crittografazione prevede delle regole chiare in caso di cloud adoption: è il titolare del dato a dover possedere le chiavi crittografiche, la cui custodia e gestione non può essere in alcun modo delegata al cloud provider.

L’altro aspetto su cui Thales consiglia di investire è poi l’approccio Zero Trust, da sviluppare un tre fasi: consapevolezza, protezione (cifratura) e controllo.