Le sfide per le aziende tra sicurezza, normative e infrastrutture IT che invecchiano: ne parliamo con Kristin Lovejoy di Kyndryl

"La dimensione complessiva del mercato del cybercrimine ha di recente superato la vendita delle droghe illegali in tutti i Paesi del mondo: il mercato del cybercrimine è di circa 1.500 miliardi di dollari, il che significa che il cybercrimine paga. Dobbiamo dunque rimanere consci del fatto che continueremo a vedere attacchi significativi, perché c'è un ritorno finanziario." Così ci dice Kristin Lovejoy, Global Practice Leader, Security & Resiliency in Kyndryl, all'indomani della pubblicazione dell'IT Readiness Report di Kyndryl, indagine che ha fatto luce sul grado di preparazione delle aziende a fronteggiare le sfide del panorama informatico di oggi.

Il crimine paga, ed è sempre più facile

"Gli attacchi sono molto lucrativi, e la barriera d'ingresso è molto bassa. Chiunque con un computer può eseguirne uno e, per via della facilità con cui è possibile acquistare gli strumenti (e in particolare gli strumenti basati su IA) che consentono di perpetrare cybercrimini, questo fenomeno continuerà." Questo è il quadro dipinto da Lovejoy (in foto qui sotto) nel parlare del panorama della cybersicurezza odierno: c'è un forte incentivo finanziario per i criminali e, dunque, continueremo a vedere attacchi. "E la ragione per cui è possibile che le organizzazioni vengano colpite è perché c'è qualcuno, da qualche parte nella catena, che ha commesso un errore."

La difesa deve dunque concentrarsi su due punti: il primo è la necessità di formare le persone, qualunque sia il loro ruolo, affinché agiscano in modo da ridurre al minimo i possibili errori. Il secondo punto sposta l'attenzione dagli individui alle organizzazioni: sono le aziende che devono migliorare i controlli e i processi. Parliamo dunque di migliorare la gestione delle patch, delle vulnerabilità, dello stato dei sistemi. "Tante organizzazioni hanno investito molto negli strumenti, in particolare sul fronte della sicurezza, ma non hanno investito nell'architettura fondamentale che è richiesta per mantenere la resilienza dell'infrastruttura sottostante. E se andiamo a vedere ciò che i cirminali sfruttano, è l'infrastruttura sottostante che è spesso senza patch e non configurata correttamente, e la causa principale di ciò è che il sistema è vecchio, a fine vita", ci dice Lovejoy. "Nella nostra indagine abbiamo rilevato che il 44% delle infrastrutture critiche che gestiamo per i nostri clienti è a fine supporto. Ciò rappresenta un bottino in attesa di essere razziato per i criminali."

Lovejoy fa notare come le aziende siano convinte di poter investire per tenere i criminali fuori dai propri sistemi, ma come ciò non sia possibile proprio in virtù del fatto che tali sistemi sono sempre più complessi e vecchi. Bisogna dunque pensare a cosa succede quando (e non "se") i criminali penetrano le difese e Lovejoy fa notare come spesso il processo di disaster recovery non sia gestito assieme alla sicurezza e, dunque, spesso sia vittima dei ransomware perché i diversi responsabili non hanno collaborato per proteggere i backup.

Un altro punto interessante menzionato da Lovejoy è come spesso sia difficile gestire l'infrastruttura IT e il suo ciclo di vita perché l'infrastruttura è monolitica, ma i bisogni dell'azienda non lo sono: ci sono infatti spesso applicazioni con esigenze diverse e ottimizzare l'infrastruttura per una può portare a peggioramenti per le altre. Ciò porta a rallentamenti negli aggiornamenti perché i vari responsabili sono preoccupati dell'impatto che potrebbero avere dei cambiamenti sulla propria linea di business. Dall'altro lato, ci sono aziende che ottimizzano l'infrastruttura per ciascuna linea di business, ma così si crea forte duplicazione al suo interno.

L'arrivo di DORA e NIS2: le aziende devono recuperare il tempo perduto?

DORA e NIS2 sono direttive emanate dall'Unione Europea per regolamentare l'approccio alla cybersicurezza, in particolare per alcuni settori come quello finanziario. Di fatto si tratta di standard minimi che vanno a mettere ordine in un ambito delicato, a valle delle esperienze accumulate negli anni e dei moltissimi problemi causati da una mancanza d'investimenti e di visione strategica da parte delle aziende per quanto riguarda la cybersicurezza. Ma quanto sono efficaci e servono davvero norme e direttive come queste?

"Sono trent'anni che sono in questo settore e, all'inizio della mia carriera, se non ero contraria alla regolamentazione pensavo davvero, e in maniera un po' ingenua, che un approccio basato sul rischio per la gestione della sicurezza fosse sufficiente, una volta descritti i rischi e le perdite potenziali alla dirigenza, per gestire la cybersicurezza in base agli interessi di business", ci dice Lovejoy. "Da allora ho fatto un'inversione a U e le mie esperienze pratiche mi dicono che ci sono tre ragioni per cui la gente investe in sicurezza. La prima sono le leggi; la seconda è perché c'è stata una falla, come un attacco ransomware, e le aziende non ne vogliono un'altra e quindi investono; la terza è che qualcuno, tra la dirigenza o nel consiglio d'amministrazione, è andato a una conferenza o ha incontrato qualcuno a un matrimonio la cui nipote è nel campo della sicurezza e si è spaventato a dovere."

"Quindi sì, credo nella regolamentazione, ma c'è un pericolo insito in essa: la nazionalizzazione delle implementazioni. L'obiettivo di DORA e NIS2 è di anticipare, proteggersi da, superare e riprendersi da qualsiasi evento legato alla cybersicurezza. Il rischio è che se l'implementazione diventa specifica per uno Stato nazionale e ciascuno di questi dà un'implementazione diversa, le aziende che operano in tali Stati saranno obbligate a implementare [le direttive] in modi diversi per tali mercati differenti. Ciò aumenta il costo e la complessità per le aziende che aderiscono a tali norme, il che significa che le organizzazioni più piccole vengono limitate nella propria capacità di sviluppare, produrre, vendere e così via i propri beni in Stati diversi per via del costo. Dall'altro lato, le aziende più grosse possono permettersi le misure di sicurezza e resilienza per competere in tali mercati. Quindi c'è il rischio che, a meno che non ci sia un'armonizzazione normativa, ciò che stiamo creando è uno squilibrio economico tra le organizzazioni più grandi e quelle più piccole, e magari anche facendo sì che alcune delle organizzazioni più grandi si ritirino da certi mercati dove offrono dei servizi."

Bisogna dunque trovare il giusto equilibrio e, in particolare, creare un ambito normativo coerente tra tutti gli Stati europei, cosicché le aziende abbiano un solo insieme di regole a cui fare riferimento per operare nell'Unione Europea. Il rischio, come afferma Lovejoy, non è solo quello di un danno economico diretto alle aziende, ma anche di una minore competizione e, quindi, di un danno diretto per i cittadini.

DORA e NIS2 portano le aziende a fare quegli investimenti che non avevano fatto prima e, dunque, la preoccupazione che c'è ora per le spese da affrontare è dovuta, in parte, anche al fatto che le aziende non hanno investito correttamente in passato. I rischi elencati da Lovejoy, però, sono reali e richiederanno un'attentissima valutazione da parte dei legislatori nazionali per evitare problemi.

C'è poi anche un altro aspetto, ed è quello della responsabilità della sicurezza all'interno dell'azienda. "Finora la responsabilità era del dipartimento dedicato, o addirittura di una singola persona, che forniva delle metriche alle persone non tecniche - che, onestamente, non le capiscono, ma vedono che nel pannello è tutto verde e pensano vada tutto bene. Non c'è nessun obbligo per loro di capire davvero cosa vogliono dire quelle cose e non ne hanno la responsabilità. Possono scaricarla su altri. Quindi penso, ed è un concetto di cui sono sostenitrice, che una parte dei miglioramenti legati alle norme è che portano a maggiore discussione. I membri dei consigli d'amministrazione ora hanno l'obbligo di assicurarsi che ci sia un processo di gestione dei rischi e che esista la giusta struttura di gestione, così che vengano identificati i rischi di business e quelli cyber, che vengano implementati e misurati i controlli e che le variazioni vengano riportate al consiglio in un modo tale per cui questo può proattivamente asserire che l'ambiente di controllo è adeguato per il rischio di business che è stato definito. Che è un modo lungo per dire che ora i membri della dirigenza e del consiglio d'amministrazione sono responsabili per il problema [della cybersicurezza], e che finché continuiamo a rendere solo la persona che si occupa di sicurezza responsabile, non ci muoveremo di un millimetro. Il cambiamento deve iniziare dall'alto."

Secondo Lovejoy, un cambiamento che sta avvenendo è legato al fatto che le aziende stanno creando nuove divisioni per la sicurezza che si trovano a metà tra l'IT e il resto dell'azienda, e fanno così da ponte tra le necessità tecniche e normative e quelle delle persone non tecniche che gestiscono l'azienda. Un enorme problema, infatti, è proprio quello di una mancanza di comunicazione efficace tra i tecnici e i non tecnici, che porta spesso a incomprensioni e al non rispetto delle norme - non per malizia o per negligenza, ma per semplice mancanza di competenze specifiche. "Ci vorrebbe un traduttore universale fatto con l'IA generativa che traduca da IT a managerese!", scherza Lovejoy.

Tirando le fila, Kyndryl vede il perdurare di una situazione che è nota da tempo, ma che sta finalmente cambiando grazie alle nuove norme. Non mancano i rischi legati a queste ultime, ma i vantaggi potenziali sono notevoli. E ciò vale anche per la modernizzazione dell'IT: per affrontare meglio il cambiamento e le sfide che arriveranno in futuro, le aziende dovranno smettere di intendere l'IT come un qualcosa di accessorio o da cui ottenere un ROI immediato, e dovranno invece cominciare a considerarlo come il "costo di fare business".