Di fronte a uno scenario in continua evoluzione delle minacce IT, tecniche tradizionali di protezione degli ambienti IT non sono più sufficienti. È l’intera organizzazione che deve strutturarsi per essere pronta ad affrontare nuovi rischi e a rispondere in modo adeguato agli attacchi. Per le imprese è il momento di pensare alla cyber resilience
È stata la parola che abbiamo utilizzato di più nei lunghi mesi del lockdown nel 2020: resilienza. Nel 2020 rappresentava la capacità delle imprese di resistere e rispondere all’impatto imprevisto della crisi pandemica e di tutte le altre avversità che si erano poi succedute (qualcuno ricorda la Ever Given incagliata nel Canale di Suez?).
Oggi di resilienza si torna a parlare, correlandola a un tema altrettanto cruciale per le imprese: la sicurezza. E lo si fa anche grazie al Cyber Resilience Act (CRA), un pacchetto di regole approvato (se pure ancora in via provvisoria) dal Parlamento Europeo e che introduce nuove regole di resilienza informatica per proteggere i prodotti digitali nel territorio dell’Unione.
Ecco, dunque, che accanto alla cybersecurity (qui la guida per capire cosa è la sicurezza informatica) è arrivato il momento di occuparsi anche di cyber resilience.
[1 Febbraio 2024 – dalle ore 14:00 alle ore 18:30 presso il MUSEO NAZIONALE SCIENZA E TECNOLOGIA LEONARDO DA VINCI – MILANO andrà in scena SHIFT. L’evento sulla Cyber Resilience firmato Commvault sta arrivando in Italia. Scopri come e perchè partecipare grazie all’intervista esclsuiva con Mauro Palmigiani]
Cosa è la Cyber resilience e in cosa differisce dalla cyber security?
Il primo passo per comprendere cosa davvero sia la cyber resilience è capire in cosa differisca dalla più tradizionale cybersecurity.
Se con la cyber security si prendono in considerazione misure tecniche, dagli antivirus ai firewall, dal controllo accessi ai sistemi di backup e ripristino, la cyber resilience ha un approccio più olistico alla sicurezza, e prende in esame anche tutti gli aspetti che riguardano la preparazione e la consapevolezza delle persone e dell’intera organizzazione.
Se dunque con la cybersecurity l’obiettivo è quello di proteggere e difendere dalle minacce in arrivo, al cuore della cyber resilience c’è la capacità dell’organizzazione di mitigare i danni dopo un attacco informatico.
Come si affronta la cyber resilience?
Il National Cyber Security Council (NCSC) statunitense ha definito un approccio alla cyber resilience in quattro fasi:
- Prepare: prepararsi, ovvero accettare l’eventualità di essere vittima di un attacco informatico e creare piani per il caso in cui ciò accada.
- Absorb: assorbire, essere cioè in grado di assorbire il problema e mantenere attive le funzioni aziendali critiche grazie a un attento lavoro di preparazione.
- Recover: recuperare, ovvero essere in grado di riprendersi dopo l’attacco
- Adapt: adattarsi, ovvero fare in modo che i sistemi, così come i team siano in grado di adattarsi alle costanti evoluzioni delle minacce e delle tipologie di attacco.
La cyber resilience è dunque più simile a un percorso, è un approccio a lungo termine che richiede alle imprese una preparazione continua e costante. Richiede una solida valutazione dei rischi informatici che l’azienda può correre. Questi includono sia le minacce interne, provenienti dalle persone all’interno dell’organizzazione, sia i rischi esterni come le violazioni dei dati e gli attacchi ransomware, sia ancora l’utilizzo di nuovi paradigmi, come l’intelligenza artificiale, per attacchi sempre più mirati.
Cyber security e cyber resilience: due facce della stessa medaglia
Cyber security e cyber resilience non si escludono a vicenda, anzi.
L’adozione di strumenti, soluzioni e tecnologie di sicurezza deve andare di pari passo con pratiche di resilienza informatica regolari ed efficienti, che vanno dai test di phishing alla threat detection, fino ad arrivare ai piani di continuità.
In questo caso, l’azienda deve sapere cosa fare in caso di attacco, come informare i dipendenti e come farlo con i clienti.
Ma deve anche sfruttare le “lesson learned”, ovvero l’esperienza fatta in caso di attacco per capire come adattare le proprie funzioni e le proprie capacità informatiche per diventare più resiliente.
La cyber security può essere considerata una delle componenti chiave di una corretta strategia di cyber resilience, che deve includere anche l’analisi e la gestione del rischio, al fine di identificare i rischi che potrebbero avere un impatto sull’ecosistema IT di un’organizzazione, la business continuity, il disaster recovery.
Il Cyber Resilience Act
Come accennato, oltre alla doverosa attenzione necessaria non solo sulla cyber security, ma anche sulla capacità di resilienza che le imprese devono avere di fronte agli attacchi informatici, c’è anche un nuovo impianto normativo europeo che riguarda la cyber resilience cui fare riferimento.
Lo scorso mese di novembre, è stato raggiunto infatti un accordo provvisorio tra gli eurodeputati e la Presidenza del Consiglio UE sul Cyber Resilience Act (CRA), che introduce nuove regole di resilienza informatica per proteggere i prodotti digitali nell’UE. L’accordo mira a garantire la sicurezza, la resistenza alle minacce cibernetiche e la fornitura di informazioni sulle caratteristiche e proprietà di sicurezza di dispositivi con funzionalità e componenti digitali.
A livello di prodotti, il CRA definisce l’ambito di applicazione: “tutti i prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”, e li classifica in due gruppi: il primo, ad altro rischio, include tutti i dispositivi per i quali si suppone un elevato livello di vulnerabilità e criticità informatica, come ad esempio sistemi operativi, hardware, smart card e microprocessori; il secondo, a rischio inferiore, include tutti quei dispositivi per i quali le criticità potenziali sono di livello più basso, come gestori di password, lettori biometrici…
Ma, al di là della classificazione dei prodotti, il CRA introduce una serie di obblighi sia per i costruttori, come la separazione degli aggiornamenti di sicurezza automatici separati da quelli funzionali per garantire una protezione continua, sia per le imprese, soprattutto per quanto attiene la segnalazione di incidenti gravi e l’identificazione di vulnerabilità sfruttabili, adeguandosi in questo caso a quanto previsto dalla direttiva NIS 2 (Network and Information Security).
È l’ora di un cambio di passo
Appare dunque chiaro che la cyber resilience richiede un importante cambio di passo, che coinvolge non solo i responsabili di sicurezza, ma l’intera struttura aziendale e riguarda l’effettiva capacità di una organizzazione di essere pronta ad affrontare un panorama in continua evoluzione, per la numerosità, la diversità e la severità dei possibili attacchi.
Ed è proprio di questo cambio di passo che si parlerà il prossimo 1° Febbraio, a Milano, presso il Museo Nazionale Scienza e Tecnologia Leonardo Da Vinci, nel corso dell’evento SHIFT, organizzato e promosso da Commvault per raccontare ed analizzare un nuovo approccio alla sicurezza e alla resilienza.
Un approccio che offre nuovi strumenti ai CISO e ai responsabili IT, ma che coinvolge positivamente anche le altre funzioni aziendali. Un approccio che tiene conto delle nuove minacce e che sa far leva sui nuovi paradigmi, a partire, come già accennato, dall’intelligenza artificiale.
