Con Aldo di Mattia di Fortinet discutiamo di cybersecurity, fra Secure security edge access, scenari e il nodo delle competenze
Come ogni anno, a marzo è stato presentato durante il Security Summit il nuovo report Clusit sullo stato della cybersecurity. Un corposo tomo nel quale gli esperti di sicurezza informatica del Clusit fanno il punto sugli attacchi informatici che hanno caratterizzato il precedente anno, in questo caso il 2023. Un rapporto come si concentra solamente sugli attacchi informatici effettivamente andati a segno e di pubblico dominio. Un documento che rende difficile essere ottimisti: il numero di attacchi aumenta ogni anno, e il 2023 non fa eccezione, facendo segnare un +12% di incidenti rilevati a livello globale. Colpisce in maniera particolare la situazione dell’Italia: un Paese relativamente piccolo, che però rappresenta l’11% di tutti gli attacchi, e che rispetto allo scorso anno ha visto una crescita del numero di incidenti del 65%.
La maggior parte di questi attacchi, come già visto nei precedenti anni, ricade nella categoria del cybercrime. Ransomware, insomma, tramite i quali i criminali informatici cercano di monetizzare estorcendo denaro alle vittime, bloccando i loro sistemi o minacciando di divulgare i dati esfiltrati. Un dato contro tendenza, invece, è l’incremento (+36%) degli attacchi con finalità di hactkivism, dove l’obiettivo non è ottenere denaro, ma compiere azioni di protesta. Considerata la situazione geopolitica estremamente complessa e delicata, però, questo dato non stupisce più di tanto. Anche se fa riflettere sulle capacità delle aziende e degli Enti Pubblici di difendere il loro perimetro IT.
In occasione del Security Summit abbiamo avuto modo di sentire il parere degli esperti, in particolare di Aldo di Mattia, senior manager systems engineering di Fortinet.
Come cambia il panorama della cybersecurity: il punto di vista di Fortinet
Nel 2023, i settori più colpiti a livello globale sono stati la sanità, gli enti governativi e quelli militari. L’Italia rappresenta un’eccezione, dal momento che il settore più preso di mira è il manifatturiero. “È un rapporto particolare quello di quest’anno, e ci sono molti dati che devono essere ancora analizzati”, afferma di Mattia. “Quello che emerge è che siamo più appetibili”. Il fatto è che l’Italia è un Paese a forte vocazione manifatturiera, ma la maggior parte delle imprese che operano in questo ambito sono pmi, “che evidentemente stanno avendo più difficoltà a difendersi”. Rispetto alle grandi imprese, infatti, le piccole realtà manifatturiere non hanno potuto accedere ai fondi del Pnrr e “probabilmente non hanno la forza finanziaria per andare ad adeguare le loro infrastrutture di sicurezza”.
Di Mattia sottolinea come in passato un’azienda aveva mediamente due o tre soluzioni di sicurezza in azienda, ma oggi la situazione è ben differente. “In azienda ci sono 20 o 30 soluzioni per difendere il perimetro, e diventa sempre più complicato gestirle”. Che fare dunque? Fortinet suggerisce un approccio di tipo Sase (Secure security edge access). “Un meccanismo con una logica un po’ differente, che sposta la sicurezza in modalità servizio”. Attenzione, però, perché non è la soluzione di tutti i mali, anche se “nella piccola e media impresa può aiutare, perché permette di affittare un’infrastruttura allo stato dell’arte che offre maggiori possibilità di bloccare gli attacchi”.
Uno dei vantaggi è che permette di spostare i costi dal Capex all’Opex, e si sposa bene con le mutate esigenze del lavoro. Oggi viviamo in un mondo ibrido, e i lavoratori vanno difesi ovunque si trovino: in azienda, a casa loro, anche quando si collegano in viaggio. Un vantaggio notevole dal punto di vista dell’organizzazione del lavoro e della soddisfazione dei dipendenti, ma che impone alle imprese di rivedere le loro politiche di sicurezza informatica, adottando un approccio di tipo Ztna, Zero trust network access. “Il Sase è una forma differente di Ztna, ma va opportunamente configurata”, sottolinea Di Mattia. “Devo sapere dove sono i miei dati, che devono essere classificati. Ed è necessario scrivere policy che consentano di svolgere le proprie mansioni efficacemente”. Il rischio principale dell’adozione del Sase è la sensazione di falsa sicurezza che può offrire. È un mattone fondamentale nelle strategie di cybersecurity, ma non è l’unico elemento di un buon piano di cyberresilienza.
Il nodo delle competenze
Il Sase, nonostante sia un servizio gestito, non può insomma prescindere dalle competenze interne, utili a capire cosa andare a proteggere, come e qual è il modo migliore per farlo. “Oggi non mancano soluzioni per difendersi e molte imprese le hanno acquistate e adottate. Ci sono tantissimi investimenti” che però non stanno funzionando bene, come dimostrano i numerosi attacchi. Dovuti, almeno in alcuni casi, a configurazioni errate.
A volte, poi, non è la mancanza di competenze specifiche sull’argomento il problema, ma le difficoltà organizzative. “In Fortinet vediamo spesso che in molte aziende ci sono poche persone che si occupano di moltissimi aspetti. E questo impone a chi si occupa di sicurezza di essere pratico nel gestire le emergenze. Perché la lotta è impari. Chi attacca i sistemi ha un solo obiettivo: trovare delle vulnerabilità. Chi li difende ha invece mille cose da fare: proteggere, analizzare gli incidenti, configurare i sistemi. Ci sono troppe cose da fare, e questo impedisce agli esperti ci concentrarsi adeguatamente su una serie di aspetti. Ed è proprio su questo che si concentrano i criminali informatici”.
Tornando ai fondi, il Pnrr destina cifre molto importanti alla digitalizzazione e, di conseguenza, anche alla protezione degli asset digitali. In teoria, almeno per le grandi imprese e la Pubblica Amministrazione, non esiste più la scusa del budget limitato. Ma questo non basta. “La Pubblica Amministrazione non ha la capacità di assumere velocemente esperti di sicurezza. Che peraltro sono difficili da reperire. E non è pensabile mettere la sicurezza di grandi aziende, PA o infrastrutture critiche in mano a neolaureati”. Insomma, è evidente che vengano investire maggior risorse nella formazione. “Dobbiamo perfezionare la cultura della sicurezza, appassionare maggiormente le persone”. E i margini di miglioramento non mancherebbero: il mercato ha bisogno di esperti di sicurezza, ed è disposto a pagarli anche molto bene. Eppure, nonostante in Italia non sia facile trovare lavori ben remunerati, non si riesce a fare appassionare i giovani a materie, che garantiscono ottimi sbocchi professionali. Spesso, ancora prima di aver ottenuto la laurea, perché le aziende fanno scouting nelle Università. Che fare dunque? Il manager di Fortinet lancia una provocazione (ma nemmeno troppo: “insegnare la cybersecurity alle elementari”.
