La due giorni della decima edizione romana di Security Summit ha riunito rappresentanti delle istituzioni, accademici ed esperti che hanno sottolineato le nuove minacce costituite da attacchi ad impatto sempre più elevato utilizzando algoritmi di Intelligenza Artificiale
Affluenza importante di pubblico all’evento romano Security Summit, organizzato dal Clusit per ascoltare la divulgazione degli ultimi aggiornamenti sulle minacce contenuti nell’ultimo rapporto Clusit e per ascoltare i dibattiti sulle soluzioni e azioni di prevenzione e contrasto.
Evoluzione della minaccia
La situazione internazionale e nazionale dello scenario della minaccia è stata esposta al Security Summit secondo le risultanze ed analisi contenute nell’ultimo rapporto Clusit già presentato a Milano nella prima tappa del roadshow italiano.
Aumentano gli attacchi perpetrati con finalità di Cybercrime, con l’obiettivo di sottrarre informazioni e denaro, con il 76% degli attacchi complessivi, in crescita del 14% rispetto al 2016, crescono anche gli attacchi di Information Warfare, la guerra delle informazioni, che nel 2017 ha segnato un più 24% rispetto al 2016 e sale anche il livello del Cyber Espionage, lo spionaggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale, in crescita del 46%.
La categoria più colpita da quanto è emerso nel Security Summit nel 2017 è risultata quella dei “Multiple Targets”, ovvero delle organizzazioni appartenenti a settori differenti e geograficamente distribuite; gli attacchi ad essa rivolti sono aumentati del 353% rispetto al 2016, a conferma del fatto che nessuno può più ritenersi escluso dall’essere un obiettivo.
Gli algoritmi di intelligenza artificiale usati da cybercriminali
Le analisi della minaccia in quel del Security Summit hanno anche evidenziato l’utilizzo di algoritmi di Intelligenza Artificiale, in un crescendo di utilizzo da parte dei criminali. Proprio il tema dell’utilizzo dell’intelligenza artificiale e del machine learning è stato al centro di una apposita tavola rotonda fra esperti del Clusit e rappresentanti delle istituzioni e del mondo accademico, al termine della quale Věra Jourová, Commissario europeo per la giustizia, la tutela dei consumatori e l’uguaglianza di genere, ha annunciato la costituzione di un team di esperti nel contesto della Comunità Europea, per definire entro la fine del 2018, le linee guida a cui i programmatori dovranno adeguarsi per garantire trasparenza, responsabilità etica e assenza di discriminazioni in tema di Intelligenza Artificiale.
Per Andrea Zapparoli Manzoni del Clusit, “la possibilità di utilizzare IA come strumenti offensivi sta già portando a una vera e propria corsa agli armamenti da parte di Governi e attori non statuali, con il pericolo di scatenare un inedito tipo di guerra iperveloce nello spazio cibernetico. Questi strumenti devono essere immediatamente regolamentati da una conferenza internazionale o meglio proibiti perché eccessivamente rischiosi (in analogia alle armi batteriologiche, chimiche o nucleari n.d.r.). Dobbiamo evitare scenari oggi non più soltanto ipotetici, in cui il fattore umano sia destinato ad essere estromesso, in quanto troppo lento nel prendere decisioni”.
Tavola rotonda della sessione plenaria
I risultati del Rapporto Clusit sono stati discussi nella sessione plenaria di apertura del Summit, con Gastone, Nencini di Trend Micro, Alessandro Vallega Oracle Italia e Stefano Volpi Symantec. Dal confronto sono emerse alcuni ulteriori punti di attenzione: non esiste un settore merceologico che non sia colpito, la capacità di monetizzare gli attacchi fa si che gli attaccanti riportino in voga anche attacchi di “vecchio stampo”, le minacce operano su canali e vettori di attacco variegati, come se esistesse una divisione marketing e sviluppo degli attaccanti molto sviluppata.
In aggiunta è stato fatto notare (G. nencini Trend Micro) come sebbene i dati del rapporto siano campionati ogni 6 mesi e la fotografia offerta possa risentire degli ultimi 6 mesi di azione della minaccia che non accenna ad arrestarsi, uno dei problemi principali sia collegato ai server non patchati, sui vecchi sistemi operativi non aggiornati, e alla cronica e ancora troppo bassa capacità di spesa sulla security da parte delle aziende.
La survey sul GDPR
Certamente il tema del GDPR sta avendo e avrà ancora molte conseguenze ed è stato oggetto di dibattito al Security Summit, ma per il momento non tutte le aziende sono reattive ai dettami del regolamento se non per gli aspetti di compliance, mentre si stanno ancora predisponendo misure di governo e tutela dei dati per arrivare ad una vera e reale postura di sicurezza. Secondo i numeri di una survey sul GDPR del Clusit solo il 15% delle aziende italiane si dichiarano compliant alla versione 0.1 che prevede 5 classi di analisi, (A. Vallega Oracle Italia).
Le misure meno diffuse sono proprie quelle di sicurezza nei sistemi informativi, che dovrebbero concorre alla garanzia di corretta gestione e governo dei dati rispetto ai diritti degli interessati, non solo per la protezione dei dati stessi da attacchi esterni, ma anche per la potenziale alterazione della RID (Riservatezza integrità e disponibilità) dei dati causati da motivi interni aziendali. I dati infatti, possono essere alterati non solo da attacchi esterni, ma anche da errori di gestione interni che provocano incidenti informatici causati per lacune riguardanti: la tenuta sotto controllo dei sistemi hardware e software, le procedure associate di patching, manutenzionw, back up, ripristino e business continuity solo per citare alcuni esempi.
I CEO “capiscono” il GDPR per via delle sanzioni ad esso associate e quindi è auspicabile una maggiore responsabilizzazione dall’alto della catena decisionale con un committment più forte sugli interventi operativi.
Il passaggio dalla network security alla software security richiede una maggiore concentrazione sul dato ed un cambio di approccio (Stefano Volpi i Symantec) veicolato spesso dall’ultimo prodotto di sicurezza e di moda, ma è importante che le tecnologie scelte possano dialogare fra loro, che siano in grado di includere anche il Cloud e che permettano una ottimale modalità di tenuta sotto controllo delle molteplici consolle di sicurezza per unificarle e garantire una supervsione appropriata da un numero ottimale di risorse preposte.
Anche se il tema può sembrare scontato, la pratica di basarsi solo sull’attivazione di warning orientati alla detection, dovrebbe essere sostituita dall’adozione di appropriati analisti in grado di prevenire situazioni di rischio.
Per questo motivo, rispetto alla mole dei dati da gestire, tenendo conto delle esigenze generali di semplificazione, bisogna porsi in una gestione equilibrata, tanto nelle installazioni on premise, quanto su quelle in cloud. “l’Unico KPI della security si misura in Euro” sottolinea Alessio Pennasilico esperto Clusit, proprio per evidenziare questa esigenza di equilibrio fra le misure di protezione e i rischi potenziali.
Infine una annotazione doverosa sulla preparazione del personale di security, sulla formazione continua, che non deve avvenire solo nelle grandi città, ma ha bisogno di essere curata anche nella provincia e nei piccoli comuni, proprio dove risiedono la maggior parte delle PMI italiane che rappresentano una quota determinante del PIL italiano, ma anche uno dei maggiori target di attacco.
L’intervista
Per comprendere come il Clusit operi da diversi anni per la cultura della sicurezza abbiamo intervistato Corrado Giustozzi membro del Consiglio direttivo del Clusit.
Dopo tutte le attività di divulgazione mediante il Rapporto Clusit e i roadshow di eventi in italia che tipo di feedback avete, in termini di comprensione del messaggio e azioni da riportare a casa?
Tutti gli eventi hanno come obiettivo un aumento responsabile della awareness, senza suscitare fenomeni di paranoia, tanto che il rapporto Clusit sta avendo una sempre maggiore importanza diventando anno dopo anno, una pubblicazione di riferimento per CISO e addetti ai lavori. Ad ulteriore riprova della validità del nostro lavoro, il Clusit è anche coinvolto in tante attività verticali con le aziende, come ad esempio i seminari interni.
Fra le tante possibili trend, interventi e soluzioni su cosa concentrarsi?
In realtà non si deve porre la questione in modo così ampio, bensì è necessario concentrarsi sulla analisi del rischio, su interventi per la crescita culturale della sicurezza, su processi e procedure di gestione. La svolta paradigmatica introdotta dal GDPR e dalla direttiva NIS è un cambio epocale nel modello del legislatore europeo dove non c’è più l’intervento ex ante che dà le regola e vigila per poi intervenire laddove la compliance non sia aderente alle regole. Il regolatore interviene ex post. Ovvero deve esistere una analisi del rischio a casa dell’azienda per sè stessa, si deve effettuare autovigilanza e il regolatore interviene solo ex post con le sanzioni. Quindi non si tratta piu’ di un modello reattivo ma preventivo anche dal punto di vista regolatorio: ci si deve dare da soli le regole e poi rispettarle. Si tratta di una responsabilizzazione importante che comporta come conseguenza, una gestione del rischio non più scaricata ai soli reparti IT, ma ricompresa a tutta l’organizzazione nella sua totalità. Lecito è casomai, domandarsi se ce la faremo, ma certamente il processo è iniziato.
Approfondimenti
Gli atti del security summit dell’edizione di Roma sono disponibili sul sito del Security Summit mentre la galleria fotografica e’ divisa fra la giornata del 6 e 7 Giugno