Tra minacce cyber vecchie e nuove, le aziende europee non hanno un compito facile quando si tratta di predisporre le proprie difese. Un compito che spesso è anche più complesso rispetto a quello che devono affrontare le aziende di altre aree del mondo, in particolare quelle nordamericane, perché non sempre le soluzioni sul mercato sanno adattarsi bene alle specificità del Vecchio Continente.

Lo spiegano gli analisti di Forrester da Infosecurity Europe 2024, partendo da un presupposto che molti CISO hanno ben presente ma che il management aziendale e il mercato in generale spesso sembrano dimenticare: "I fattori di rischio principali per le aziende - spiega Tope Olufon, Senior Analyst di Forrester - sono bene o male sempre gli stessi: vulnerabilità software non corrette, furto di credenziali, social engineering, malware di vario tipo. Quello che cambia è il modo in cui i threat actor usano i possibili vettori di attacco".

È qui che bisogna diventare - come ormai è normale dire - resilienti e questo impone ai CISO di studiare bene le proprie strategie e tattiche di difesa, cosa molto meno semplice di quanto possa sembrare. Soprattutto perché in molte imprese il buon vecchio motto "conosci te stesso" resta inapplicato, lato cyber security. Ma, sottolinea Olufon, "se non hai una vera visibilità sulla tua infrastruttura non hai un vero asset management, di conseguenza avrai grossi problemi di sicurezza, prima o poi".

Quel "prima o poi" nel caso delle aziende europee rischia di essere principalmente un "prima", perché lato cybersecurity l'Europa continua ad avere lacune sistemiche e vive costantemente una situazione geopolitica tutt'altro che ideale. Le conseguenze si vedono soprattutto in quattro ambiti, secondo Forrester: la gestione dei dati personali, la cloud security, gli insider threat, la sicurezza delle componenti OT.

C'è da pensare all'OT. Ancora.

In tutti questi ambiti il numero delle violazioni e l'efficacia degli attacchi sono aumentati sensibilmente nell'ultimo anno, ma Forrester richiama l'attenzione soprattutto sulla OT security, ambito in cui in Europa siamo ancora molto lontani da una situazione ideale.

Diversi fattori contribuiscono a questo ritardo. Certo è una questione di leadership (solo il 26% delle imprese europee ha un responsabile della sicurezza OT) ma anche di una fiducia che non si è davvero creata tra la parte IT e quella OT delle aziende. Non da ultimo - ed è anche questo un fattore chiave - perché chi si occupa di OT giudica poco convincenti le soluzioni di cybersecurity che arrivano dal mondo IT.

Il punto - spiega Forrester - è che le nuove soluzioni presentate per l'OT security di norma analizzano le reti e gli asset che circondano i sistemi OT ma non direttamente questi ultimi. Estrapolando e analizzando, anche con tecniche di AI, questi dati "al confine" dell'OT si generano valutazioni e anche allarmi che, in una comprensibile logica di automazione, dovrebbero intervenire direttamente sulla parte OT.

Nessun responsabile OT, però, accetta volentieri una dinamica del genere, perché si basa su dati che non vengono direttamente dai sistemi OT. "I vendor di soluzioni cercano di velocizzare il passaggio dalla detection alla risposta - spiega Olufon - ma senza una detection direttamente sui dispositivi OT, questa logica non può funzionare". Il rischio collegato al blocco di una infrastruttura OT per un falso positivo, in sostanza, è ancora precepito come troppo elevato.

La dura vita del CISO

In questo scenario generale il lavoro del CISO non è affatto semplice, semmai il contrario. Da un lato ci sono le aspettative sempre più elevate del management d'impresa e dello stesso CIO, i quali si aspettano che il CISO porti (anche) valore al business oltre che sicurezza. Dall'altro ci sono le mille cose da fare, tanto che oggi - spiega Forrester - i CISO europei stanno ancora cercando di implementare le priorità del 2023, messi tra l'altro di fronte a un complesso di normative da soddisfare che è sempre meno chiaro.

Così i CISO si muovono per priorità. Puntando in questo momento principalmente su cloud security (è la priorità per il 23% di un campione di CISO europei analizzato da Forrester), componenti di detection/response (ancora 23%), IAM (22%), social engineering (ancora 22%). Queste sono le priorità definite strategiche, ma quando si chiede ai CISO quali sono quelle "tattiche" si percepisce subito la necessità di agire più alla base, migliorando la sicurezza dei prodotti e dei servizi che già si hanno, comprese la parte di threat intelligence e l'efficacia in generale della cybersecurity aziendale.

Non stupisce quindi che la cybersecurity si approcci sempre meno attraverso l'acquisto di prodotti o servizi mirati - che sono percepiti sempre come di maggiore qualità, ma che richiedono tempo e risorse per essere esaminati, selezionati e implementati - e sempre più con contratti di outsourcing (li predilige il 34% dei CISO) o nell'ambito di accordi con il proprio cloud service provider (31%).

"C'è una idea generale comune di cosa possa essere una buona cybersecurity - evidenzia nel complesso Olafon - ma non è chiaro come arrivarci". Così alla fine molti CISO adottano un approccio "a compliance", concentrandosi sull'implmentazione di standard operativi, best practice ed elenchi di requisiti normativi (che comunque andrebbero rispettati). Un approccio che per Forrester è poco utile, perché la cyber security non è un elenco di caselle da smarcare.

"La compliance - spiega Olafon - non può essere un punto di partenza. Deve essere quasi un effetto collaterale, la conseguenza naturale delle politiche e delle misure di sicurezza che si mettono in atto. Concentrarsi solo su standard, requisiti e best practice non basta, anche solo perché i threat actor li conoscono bene quanto le aziende".

Molto meglio, secondo gli analisti, usare la threat intelligence come base per prendere decisioni sia strategiche, sia tattiche ed operative. La threat intelligence in questo senso va vista come una trasversale raccolta di informazioni utili da tutta la propria supply chain, intendendo anche questo termine nel suo senso più ampio. Una raccolta di informazioni che vanno poi valutate in base alla propria specificità di azienda europea, considerando cioè ad esempio che la threat intelligence fornita dai vendor statunitensi potrebbe non essere la più efficace, da sola, per lo scenario del Vecchio Continente.

Threat intelligence significa anche imparare meglio come si muovono i threat actor, e non solo concentrarsi sulle singole vulnerabilità e minacce. "Dobbiamo iniziare a guardare con oiù attenzione a cosa fanno gli attaccanti perché sta funzionando - sottolinea Olafon - e anche imparare da loro, perché quello che stiamo facendo al momento, come difesa, funziona molto meno".

Prepararsi al futuro

Il consiglio che dà Forrester ai CISO è guardare in maniera pragmatica a uno scenario tecnologico che comunque continua e continuerà a muoversi velocemente, troppo per considerarlo in maniera reattiva. Anche la GenAI, per fare un esempio legato all'hype del momento, lato cybersecurity va considerata come una questione già attuale, e prepararsi di conseguenza sui problemi che può presentare. "L'AI è vulnerabile, alla fine - spiega Olafon - in quanto basata su infrastrutture IT potenzialmente vulnerabili a loro volta, e gestite da persone che possono commettere errori".

Per questo scenario, e per tutti quelli potenzialmente problematici che qualsiasi nuova tecnologia presenterà, la formazione è essenziale. L'obiettivo per i CISO deve essere anche creare, per le tecnologie emergenti, ciò che Forrester chiama "skills inventory": un "deposito di competenze" che permetta di affrontare in maniera ragionevolmente adeguata qualsiasi innovazione. Questo dà il tempo e le spalle abbastanza larghe per approcciare le nuove tecnologie prima che diventino un problema lato cybersecurity. Il che - particolare non da poco - aiuta anche a posizionare la sicurezza IT come un elemento che contribuisce a raggiungere gli obiettivi aziendali e non, invece, a frenarli.