Cyber Immunity

Morten Lehn, norvegese di nascita, a luglio 2014 è stato nominato General Manager Italy di Kaspersky, divenendo il punto di riferimento dell’azienda per il mercato italiano. Kaspersky Lab è una multinazionale russa che si occupa di cybersecurity ed è produttrice di uno dei più diffusi antivirus al mondo. Lehn spiega come i cyber attacchi alle industrie possano fermare impianti per giorni. Fondamentale, in questo senso è la prevenzione, attraverso il raggiungimento della cosiddetta Cyber Immunity.

Iniziamo da quello che è sotto agli occhi di tutti: leggiamo ormai quasi ogni giorno notizie su data breach e richieste di riscatto che coinvolgono aziende o enti pubblici. La cyber (in) security non sembra certo diminuire. Che cosa registrate dal vostro osservatorio?

Come può immaginare, noi vediamo molto di più di quello che si legge sui giornali e che arriva al grande pubblico. Siamo molto contenti che questo fenomeno, grazie anche agli obblighi di notifica introdotti dalla normativa recente, sia sempre più conosciuto. Questo aiuta a costruire un livello di awareness rispetto alle minacce informatiche che fino ad oggi ha fatto fatica ad affermarsi. Dal nostro punto di vista noi vediamo
un numero di attacchi crescente, in media nel 2020 se ne sono registrati il 5% in più rispetto al 2019. Ogni giorno affrontiamo circa 360.000 attacchi. Un numero impressionante, se ci pensa.

Già. Come li affrontate?

Ci basiamo ovviamente sull’automazione: machine learning applicata sui nostri database di attacchi registrati in passato. Questo ci consente di trovare delle soluzioni nella grande maggioranza dei casi. Quando questo non basta, mettiamo al lavoro in nostri ricercatori.

Nel settore privato, il target principale dei criminali informatici sembra essersi concentrato in passato in ambito finanziario. Sarà ancora così in futuro?

Ovviamente il settore finanziario è un ambito in cui da tanto tempo è maturata la consapevolezza di quanto siano importanti i rischi connessi alla cybersecurity e il settore ha negli anni costruito le risorse e le competenze necessarie ad affrontare questi rischi. Non è purtroppo così nel caso dell’industria, dove la conoscenza del fenomeno è molto più acerba, ma dove si stanno concentrando e si concentreranno in futuro sempre di più le minacce.

IoT e connettività delle reti industriali hanno giocato un ruolo, immagino.

L’ambiente “fabbrica” è stato tradizionalmente un sistema “chiuso”. Oggi non è più così perché le nuove tecnologie hanno reso la fabbrica connessa. Il mondo della produzione e degli impianti si è “aperto”, tuttavia, senza al contempo compiere i passi base in tema di cybersecurity per rendere questa apertura sicura. Non è ovviamente sempre così, ma molto spesso la connettività degli impianti non si è accompagnata all’aggiornamento nei sistemi informatici, per cui non sono stati adottati i necessari patch ai sistemi per renderli meno soggetti ad ingressi esterni ostili. Si pensi solo ai sistemi SCADA (“Supervisory Control And Data Acquisition”, cioè “controllo di supervisione e acquisizione dati” nda), molto spesso datati e diversi anche all’interno della stessa azienda: ogni stabilimento ha il proprio SCADA e questo provoca, soprattutto in caso di produzioni su impianti in diversi paesi esteri, una grande varietà di approcci e una difesa più difficile.

In questo contesto, pensando alle PMI, quali sono le sfide?

Sfide molto importanti. In generale, il mondo PMI ha una fragilità maggiore rispetto alle grandi aziende, e spesso è oggetto di attacchi che rendono impossibile il recupero dei dati. E questo per le aziende significa ripartire da zero. Parlando di filiere di fornitura, sarebbe Importantissimo avere uno standard di sicurezza condiviso lungo l’intera supply chain. Vediamo infatti spesso che i target dei cyber attack sono proprio i supplier, i fornitori lungo la filiera. Per queste aziende, in larga prevalenza PMI, i problemi sono di fatto gli stessi rispetto ai capifila, ma le risorse a disposizione, anche in termini di competenze, sono molto inferiori. In poche parole, i rischi lungo la catena di fornitura sono molto elevati e non sempre concentrati nella grande azienda capofila. Serve proteggere l’intera catena, per salvaguardare i dati.

“La sicurezza resterà una priorità anche dopo la pandemia.”

Che cosa dovrebbero fare le aziende?

Da un lato la difficoltà del mondo industriale è comprensibile: è difficile fermare o rallentare un impianto che funziona per consentire interventi finalizzati ad aumentarne la sicurezza informatica. Tuttavia, nella situazione attuale i cyber criminal trovano ingressi purtroppo “facili” su impianti e critical infrastructure. Lo scorso anno abbiamo visto un aumento importante di casi di attacco agli ambienti di produzione, impianti e industria. Siamo spesso dovuti intervenire “sul campo” impiegando i primi due giorni dal fermo impianto solo per capire come organizzare l’intervento, perché di fatto l’azienda è nella maggior parte dei casi priva di un
piano di intervento a fronte di attacchi informatici. E così si perdono i giorni più importanti per minimizzare i danni dell’attacco stesso. Purtroppo è un mondo complesso, e spesso la sicurezza dell’ambiente fabbrica è scavalcata da altre priorità. Lo scorso anno ad esempio la priorità numero uno è stata lo smart working: anche qui in pochissimo tempo le aziende hanno dovuto mettere in piedi un sistema che consentisse alle  persone di lavorare da remoto senza che vi fosse un piano per farlo in sicurezza.

Avete avuto evidenza di cambi nel modo di operare dei cyber-criminali, collegato al fenomeno dello smart e remote working?

Sì, il mondo è cambiato in pochi mesi. L’urgenza di lavorare da remoto ha fatto sì che si utilizzassero connessioni non sicure. In Kaspersky abbiamo visto crescere di quattro volte in un anno gli attacchi ai protocolli di connessione. Solo in Italia abbiamo registrato quasi 200 milioni di attacchi nel 2020. In un certo senso, lo spazio che l’azienda oggi deve proteggere è più ampio: non si deve proteggere solo la propria rete, ma anche le connessioni alla propria rete. E certamente le aziende non erano attrezzate per questo. Trovare soluzioni adeguate alla sicurezza in regime di remote working resterà una priorità anche dopo la fine della pandemia, secondo noi. L’organizzazione delle aziende andrà verso forme ibride di lavoro, con un mix di lavoro onsite ed online, che chiederà investimenti specifici nella sicurezza delle infrastrutture IT.

Ci saranno secondo lei settori o segmenti maggiormente esposti ai cyber risk, oltre a questo? Avete insomma dei “sorvegliati speciali”?

Certamente, come abbiamo già detto, l’ambiente della produzione, l’industria. Gli attacchi a questo settore sono destinati a crescere in maniera importante. Guardando ad altri settori, purtroppo abbiamo visto e ci attendiamo in futuro un’intensificazione di attacchi al mondo sanitario e farmaceutico. Si sono verificati odiosi attacchi ad ospedali che sono riusciti a fermarne alcune attività ed hanno provocato molti danni, e verso le aziende farmaceutiche che stanno sviluppando vaccini e cure per la pandemia. Certamente un settore sempre molto “caldo” resta quello dei servizi finanziari online, dove non serve purtroppo essere criminali esperti
per sferrare attacchi di successo ai danni dei consumatori e delle famiglie.

Il mercato della cybersecurity è atteso crescere da oggi al 2027 di circa il 10% all’anno. Una crescita importante, ma certo non disruptive. È corretto secondo lei affermare che sebbene la sicurezza resti ai primi posti nell’agenda dei CEO, l’investimento in soluzioni per aumentarne il livello non è proporzionale?

Innanzitutto bisogna fare un distinguo. È vero che il mercato della cybersecurity cresce in media del 10%. Ma questo numero medio nasconde differenze anche importanti in segmenti diversi. In particolare, le aree più tradizionali e le fasce basse del mercato, come ad esempio il segmento dei firewall, cresce a ritmo contenuto perché ormai tutti (spero!) li hanno adottati. Tutte le aree nuove, come ad esempio – guardando in Kaspersky – le vendite dei nuovi servizi di sicurezza, raddoppiano ogni anno. Purtroppo è vero che i budget destinati alla cybersecurity non sono ancora sufficienti a proteggere in maniera adeguata molte realtà. Una forte spinta sarà certamente offerta dalla normativa: le regole sulla compliance spingeranno sempre di più CEO e amministratori a investire in sicurezza.

Security by-design

Il vostro CEO Eugene Kaspersky da tempo parla di Cyber Immunity: ci spiega cosa si intende?

Segnaliamo da molti anni la necessità di investire in risorse focalizzate per la cybersecurity. E da molto tempo portiamo avanti il concetto di un mondo “immune”, ovvero protetto by design dai rischi di sicurezza
informatica. Un concetto che si applica molto bene ad esempio ai dispositivi IoT, in ambito industriale e non. L’idea è piuttosto semplice: costruire sistemi operativi per dispositivi IoT che rendano così difficile attaccarli, che il costo di ciascun attacco si riveli in ultima analisi troppo elevato rispetto ai ricavi che potrebbero derivarne per i responsabili degli attacchi. In sostanza, si tratta di rendere gli attacchi non convenienti per chi li sferra. È una sfida che ci vede a fianco ed in sinergia con i fornitori di dispositivi IoT, naturalmente. Kaspersky ha attivato molte partnership con tali fornitori, in campo non solo industriale. Un settore molto importante è quello dei trasporti. Un esempio: il mondo delle connected car, in cui integriamo i nostri componenti per renderne sicuri i dispositivi. Questa è una sfida molto importante soprattutto in vista dell’arrivo del 5G che comporterà un massiccio aumento dei rischi in tutti gli ambiti in cui si utilizzino dispositivi IoT.

Un vaccino quindi, più che una medicina, come contro i virus?

Possiamo dire così. Purtroppo per le persone è molto più complicato. Per le macchine è certamente più facile.