La cyber industry si incontra a Roma chiamata alla cyber resilience di fronte alla minaccia ibrida per difendere infrastrutture critiche, aziende corporate, PMI e tutto il Sistema Paese. Abbiamo intervistato il Trust Strategy Officer di Cisco
“Join forces” è la chiamata alla collaborazione ed alle partnership pubblico private emersa durante il Cybertech 2018, per smettere di essere target singoli in un mondo cyber di attaccanti e cominciare ad essere “cacciatori criminali informatici” ma anche difensori proattivi, con un diverso approccio mentale basato sulla capacità di restare operativi sotto attacco, e sulla proattività finalizzata alla deterrenza.
Non solo parole di approccio strategico, ma anche soluzioni pratiche per non subire più ma riprendere il controllo della dimensione digitale. Un diverso mindset fatto di azioni concrete. Ne abbiamo parlato con Anthony Grieco, Trust Strategy Officer in Cisco.
L’evento
I diversi keynote speaker si sono alternati per fornire la propria ricetta contro una minaccia invasiva e in crescita che può minacciare lo sviluppo economico del Bel Paese. Alessandro Profumo, Ceo di Leonardo ha suggerito alle aziende una trasformazione per adattarsi al contrasto della minaccia ibrida e in rapida evoluzione. Nel suo discorso ha ribadito ancora una volta l’esigenza di un partenariato pubblico-privato e lo sviluppo di partnership anche internazionali, che coinvolgano startup per una piena Open Innovation ma sotto il cappello abilitante e protettivo della sicurezza informatica.
Anche Angelo Tofalo Sottosegretario alla difesa, ha sottolineato come la minaccia sia reale e fisica e non intangibile solo perché si palesa nel mondo digitale. È necessario affrettare una formazione appropriata per le nuove generazioni che usano strumenti digitali senza una vera alfabetizzazione digitale a partire dalle scuole. È anche importante dal punto di vista militare, arrivare ad una forza armata cibernetica che dovrà proteggere la struttura della rete di difesa ma anche in grado di colpire, per rispondere alla NATO che sotto certe condizioni, può determinare l’invocazione dell’art. 5 per una risposta coordinata fra gli stati aderenti. Esiste ancora il problema di attribuzione, anche se si sta lavorando attivamente con la humint intelligence per la sua risoluzione. Per non rischiare un boomerang sulla crescita economica,ogni Stato deve investire in formazione e per rendere le proprie reti talmente sicure, che i costi per gli attaccanti siano così alti da scoraggiarli.
Oliver Honidi, Deputy Director-General della Commissione Europea, ha fornito una visuale in relazione allo sforzo europeo per aumentare la resilienza e la risposta efficace e permettere una immunizzazione dagli attacchi. Per chiudere progressivamente gli spazi per gli attaccanti si sta lavorando a standard per le aziende che devono lavorare insieme, ma anche ad un processo di certificazione della sicurezza applicata al rilascio di prodotti nuovi.
Focus sulle infrastrutture Critiche
L’intervento di Anthony Grieco durante il Cybertech è stato focalizzato sulle infrastrutture critiche. Se le città diventano smart, i governi e le aziende abbracciano la digitalizzazione e il Cybercrime è in continua crescita, si rende necessario rivedere la definizione di infrastruttura critica come qualcosa che vada oltre alla definizione espressa dalle normative attuali. Per proteggere queste entità critiche si deve agire su tre fronti: Trust, integrate e collaborate.
In relazione al trust, si deve aumentare la fiducia nella propria infrastruttura di rete che costituisce una ossatura per renderla sicura secondo le regole di base della sicurezza informatica, perché continui a rappresentare il sistema abilitante per l’infrastruttura digitale della propria realtà, sia essa pubblica o privata. Oggi è ulteriormente necessario farlo, in funzione della direttiva regolatoria espressa dalla direttiva NIS.
L’integrazione della sicurezza è il secondo tema importante, perché solitamente nei sistemi informatici esiste una costellazione di prodotti e ci sono gap di copertura di sicurezza fra le interfacce che possono rappresentare un problema. Non è più possibile pensare ad una sola soluzione di un solo partner tecnologico per tutte le operation o per tutte le soluzioni di sicurezza. Il terzo punto richiede di ripensare alla public private partnership, ovvero non si tratta più solo di fare infosharing condividendo gli IoC (Indici di compromissione n.d.r.), ma è necessario pensare insieme ad un approccio realistico di collaborazione, con persone processi policy e tecnologia. Una azione di gruppo che non può prescindere naturalmente dal training per innalzare gli skill nella cyber. A livello istituzionale non ci si deve fermare in nessuna direzione: educare le persone, formare le nuove generazioni, condividere le best practices, innovare nella tecnologia, introdurre la resilienza ovunque ed estendere le policy di security correlandole alle politiche economiche per la cybersecurity per consentire investimenti specifici.
L’intervista
L’accezione che si conferisce al termine di “infrastruttura critica” è ancora solo legata alla definizione espressa nella direttiva 114/2008 o oggi significa qualcosa in piu’?
Certamente si parte dalla definizione formale legata alla erogazione dei servizi essenziali ma è necessario estendere la definizione e su questo c’è un confronto esteso fra gli stakeholder coinvolti, sulla caratterizzazione di “infrastruttura critica” anche per altri tipi di servizi alla popolazione che dovrebbero essere considerati critici perché abilitanti per le nostre società. Penso ad esempio ai servizi della pubblica amministrazione centrale e locale, senza i quali le città possono paralizzarsi. Inoltre se si considera il sistema industriale, commerciale di aziende corporate, piccole e medie, ecco che i loro sistemi informatici costituiscono per loro una infrastruttura abilitante e quindi critica da salvaguardare.
Chi sono quindi gli Stakeholder con cui discutere?
Chiunque sia coinvolto come addetto ai lavori per istituzioni, università, industria, aziende. Certo prima di parlare di un tema che richiede qualche conoscenza di tipo tecnico è necessario formare alla cybersecurity, educando le persone al ruolo da assolvere in tema di sicurezza informatica e protezione di sistemi.
Cosa significa oggi proteggere una infrastruttura critica?
Tradizionalmente proteggere le infrastrutture critiche era una prassi limitata alla SCADA Security ovvero alla protezione dei sistemi SCADA (Supervisory Control And Data Acquisition n.d.r.), sistemi controllo di supervisione e acquisizione dati e quindi si faceva riferimento a sistemi di controllo industriale, di catena di montaggio, di produzione energia e in generale sistemi di processo. Oggi invece dal punto di vista della digitalizzazione, proteggere una infrastruttura critica non significa più proteggere solo la rete (network), ma allargare lo sguardo e la protezione alle funzioni di business, per qualunque ambito (finanza, energia, acque, sanità etc), senza dimenticare di considerare l’organizzazione, i processi e la tecnologia che ruota intorno alla parte SCADA. Insomma, si dovrebbe considerare come infrastruttura critica tutta l’organizzazione in ogni suo ambito, naturalmente, ricomprendendo il fattore umano.
Come proteggere anche la supply chain alla infrastruttura critica per evitare un attacco da questo versante?
La protezione della supply chain é pure un tema critico. È necessario avere un approccio olistico considerando inizialmente le dipendenze critiche della infrastruttura centrale, definirne il rischio intrinseco e quello correlato agli attori che agiscono nella supply chain, disegnare una architettura di protezione appropriata, compresa e condivisa con tutti gli attori coinvolti e infine testare quanto realizzato per verificare le aspettative di mitigazione attese.