La crescita degli attacchi informatici è evidente, anche a settori critici come la sanità, la finanza, la giustizia e l’industria. Un fenomeno che investe in maniera particolare il nostro Paese generando il blocco dei servizi e delle attività, la violazione di dati anche sensibili, estorsioni di denaro e perdite di fatturato.
Un fenomeno che come evidenziato nel recente studio di Banca d’Italia “La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione” sta interessando sempre di più anche il settore privato e scontrandosi con un’elevata consapevolezza delle aziende della possibilità concreta di subire una violazione ma non sempre con risposte organizzative e tecnologiche atte a contrastarle. Una dicotomia riscontrabile anche negli enti e strutture pubbliche.
Crescono le norme
Non stupisce quindi che in tutto il mondo sia cresciuto il dibattito sulla necessità di stabilire regole severe per la lotta a questi attacchi incluso, per esempio, l’obbligo di denunciare le violazioni e di essere autorizzati a pagare i riscatti per questo tipo estorsione, fino al divieto per le organizzazioni coinvolte in infrastrutture nazionali critiche di farlo in assoluto.
Lo scopo è quello di fare luce sui rischi informatici e ridurre la loro portata soprattutto nei servizi strategici e stimolare un approccio preventivo a queste minacce. Obiettivi che hanno ispirato anche il disegno di legge sulle “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” approvato recentemente dalla Camera dei Deputati e di prossima discussione al Senato. Ddl che prevede l’obbligo per “gli operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato” di segnalare gli attacchi entro 24 ore e per tutti gli enti della PA di dotarsi di un responsabile della cybersecurity.
I vincoli temporali sono sempre più stringenti
In termini generali, le nuove norme approvate o in corso di approvazione da parte dei diversi Governi prevedono requisiti temporali precisi e stringenti per la segnalazione delle violazioni informatiche. Obblighi presenti anche all’interno delle nuove normative della UE: il Digital Operational Resilience Act (DORA) – che si entrerà in vigore per il mondo finanziario il prossimo gennaio – e la più ampia Direttiva NIS-2 dedicata “alle organizzazioni che forniscono servizi essenziali o importanti per l’economia europea e la sua società” che dovrà essere recepita il prossimo ottobre.
Entrambe, nel caso di violazioni dei dati, stabiliscono obblighi e tempi molto precisi:
· Entro 24 ore, nel caso di sospetto di un incidente grave sia stato causato da atti illeciti o dolosi o possa avere implicazioni transfrontaliere, obbligo di lanciare un alert alle autorità competenti;
· Entro 72 ore, obbligo di aggiornare l’allarme con una valutazione iniziale della sua gravità e impatto, oltre che di coinvolgere il Cybersecurity Emergency Response Team (CERT) nazionale;
· A seguire, obbligo di aggiornare su richiesta di un CERT nazionale sullo stato di avanzamento della gestione dell’attacco ed entro un mese di presentare una relazione finale.
Come essere pronti?
Il rischio di attacchi informatici a discapito di servizi essenziali, dati sensibili e delle attività delle imprese continuerà ed è quindi prevedibile che saranno emanare nuove norme e regolamenti con l’obiettivo di rafforzare ulteriormente i livelli di sicurezza e di stimolare la resilienza informatica.
In questo contesto, un pre-requisito fondamentale sarà, per qualsiasi organizzazione, quello di poter contare sua una maggiore trasparenza e un controllo dei dati. Nel dettaglio il knowhow di Cohesitiy nelle soluzioni per la gestione dei dati ci permette di indicare alcuni passaggi essenziali:
– Comprendere i dati: le aziende e gli enti devono sapere esattamente di quali dati dispongono e che valore hanno. Solo allora potranno segnalare alle autorità quali dati sono stati danneggiati in un attacco. In particolare le aziende devono indicizzare e classificare i propri dati, inclusa la classificazione in base alla strategia di registrazione. Soluzioni di AI come Cohesity Gaia possono aiutare notevolmente questi processi, ad esempio, consentendo ai manager di porre domande dirette su dati specifici utilizzando il linguaggio naturale e ricevere automaticamente una risposta con anche un elenco di tutti i documenti interessati;
– Regolamentare gli accessi: una volta che i dati sono stati correttamente classificati, vanno stabilite regole e diritti che ne regolano l’accesso. Le piattaforme di gestione dei dati come Cohesity gestiscono tutto ciò automaticamente riducendo il rischio di errore umano e semplificando di molto tali operazioni. Un’organizzazione può imporre che determinate informazioni non vengano mai trasmesse a posizioni di archiviazione esterne o a moduli AI;
– Sopravvivere agli attacchi: affinché si possa segnalare le violazioni alle autorità, si deve rimanere in grado di agire. Nel peggiore dei casi, però, in caso di ransomware o di un attacco wiper non funziona nulla. Le aziende dovrebbero quindi dotarsi di una clean room con un set di emergenza di strumenti e dati di sistema e di produzione vitali per poter rispettare i vincoli di segnalazione e avviare una prima ed essenziale risposta all’attacco.
Le norme che regolano l’IT stanno diventando più dettagliate e severe perché la nostra dipendenza dalla tecnologia digitale è in aumento e con essa il rischio di danno per l’economia e la società. Se si vuole essere in grado di rispettare questi requisiti, è necessario controllare tutti i processi e i flussi di lavoro che gestiscono i dati. In questa direzione, piattaforme basate sull’intelligenza artificiale per la gestione dei dati come quella di Cohesity sono state sviluppate per garantire la massima resilienza informatica operativa possibile.
di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity