Un’analisi a ritroso di che cosa non ha funzionato in seguito a un attacco informatico, dove il punto non è escogitare nuove misure di sicurezza, ma applicare con metodo quelle che già si possiedono: è il contenuto dello studio dei ricercatori del Computer Science and Artificial Intelligence Laboratory del MIT, che ha portato allo sviluppo di una nuova piattaforma di aggregazione dati che aiuta le aziende a "quantificare" le proprie vulnerabilità.
I cyber attack continuano a registrare picchi di crescita nel nostro Paese (nel 2019, +91,2% rispetto al 2014 e +7% rispetto al 2018, secondo il Rapporto 2020 del Clusit – Associazione Italiana per la Sicurezza Informatica) e nel mondo (144,91 milioni di nuovi tipi di malware nel 2019 in ben 76 Stati, con quasi il 50% dei pc aziendali infettati almeno una volta, in base allo studio della società Comparitech). E il CRO Forum – nella sua recente analisi dei rischi emergenti – colloca il cyber risk tra i rischi che maggiormente preoccupano imprese e compagnie assicurative.
Secondo alcuni ricercatori del MIT CSAIL – Computer Science and Artificial Intelligence Laboratory, Istituto di ricerca presso il Massachusetts Institute of Technology (MIT), uno dei motivi è che non impariamo, non traiamo insegnamenti dagli attacchi di cui siamo vittime, non capiamo (e non analizziamo) perché si sono verificati. E continuiamo a ripetere gli stessi errori.
Sono, poi, numerose le aziende che, temendo di offuscare la propria immagine, non rendono pubblico il cybercrime subìto. E anche quelle che lo fanno, non ne condividono i dettagli. Il motivo? Credono che i concorrenti possano, in questo modo, acquisire informazioni sulle loro policy interne di cyber security. Al riguardo, la battuta di Taylor Reynolds, direttore delle politiche tecnologiche presso l’Internet Policy Research Initiative del MIT, dice tutto:
“È un bel regalo che facciamo ai cybercriminali. In un mondo ideale, questi attacchi non si verificherebbero più e più volte, perché le aziende sarebbero in grado di ricavarne informazioni e dati utili per poi effettuare analisi quantitative dei rischi e prevenire tali incidenti in futuro”
Gli attacchi informatici che causano le perdite finanziarie più gravi
In un’economia in cui la maggior parte delle imprese sta stringendo la cinghia, il fatto di ignorare quali siano i cyber attack che causano le perdite finanziarie più gravi, porta inevitabilmente a non sapere come utilizzare al meglio le scarse risorse aziendali in fatto di sicurezza.
È la violazione dei dati dei dipendenti a rappresentare, ad oggi, il cybercrime più duro da sopportare per le aziende: nel corso del 2019, l’80% di questa tipologia di attacco ha portato all’esposizione di informazioni e di dati personali dei clienti, causando costi ingenti per le aziende, come si legge nel report “Cost of a Data Breach 2020”, realizzato da Ponemon Institute per conto di IBM Security attraverso 3.200 interviste a responsabili della sicurezza di tutto il mondo che hanno subito una violazione di dati nel corso dell’ultimo anno.
Il furto delle credenziali è un’altra fonte di spesa elevata: le aziende che, durante il 2019, hanno subìto questo attacco informatico hanno speso quasi 1 milione di dollari in più rispetto alla media globale, raggiungendo i 4,77 milioni di dollari per violazione. Segue, poi, lo sfruttamento delle vulnerabilità di terze parti, con 4,5 milioni di dollari.
La piattaforma di Secure Cyber Risk Aggregation and Measurement del MIT
In risposta ai cyber attack in continua crescita, i ricercatori del Computer Science and Artificial Intelligence Laboratory del MIT – Massachusetts Institute of Technology, hanno sviluppato una nuova piattaforma di aggregazione dati denominata SCRAM, acronimo di Secure Cyber Risk Aggregation and Measurement, in grado di aiutare le aziende a:
- definire, quantificandolo, il loro livello di sicurezza
- confrontare le proprie policy di sicurezza con quelle delle aziende concorrenti
- valutare se stanno investendo correttamente in security o se, invece, è il caso di rivedere le priorità aziendali
Nello specifico, il team di ricerca, durante i lavori, è entrato in possesso dei dati interni appartenenti a sette grandi aziende USA, con una media di 50.000 dipendenti e un fatturato annuo di 24 miliardi di dollari.
Aggregando cinquanta diversi cyber attack di cui tali aziende sono rimaste vittime, i ricercatori sono riusciti di identificare le misure di sicurezza che non sono state adottate per prevenire tali violazioni.
Ne è emerso un quadro puntuale, che ha messo in evidenza alcuni nodi nella gestione della sicurezza che, all’interno delle aziende prese in esame, incidevano maggiormente sul bilancio, dando così indicazioni precise ai Chief Information Security Officer – CISO su quali obiettivi specifici focalizzarsi.
Cyber attack e prevenzione: tre ambiti da monitorare e gli errori da non ripetere
Il lungo lavoro di analisi dei ricercatori del MIT ha permesso di fare luce, in particolare, su tre ambiti della sicurezza in cui l’attenzione e le misure adottate dalle aziende in questione sono risultate carenti o, in alcuni casi, errate. Si tratta di vere e proprie falle nelle strategie di security, le quali aprono le porte a rischi concreti di attacchi informatici, ciascuno dei quali – nei tre casi specifici – è causa di perdite per oltre un milione di dollari. Vediamo quali sono.
Protezione dai malware
Gli attacchi malware, seguiti da richieste di riscatto in denaro per sbloccare il sistema infettato, continuano a rappresentare un metodo collaudato – e diffuso – per i cybercriminali. Taylor Reynolds, direttore delle politiche tecnologiche presso l’Internet Policy Research Initiative del MIT, afferma che, un errore diffuso – da non ripetere – è quello di non inserire il backup regolare dei propri dati tra le misure di sicurezza quotidiane, oltre a quello di non vigilare sulla policy interna che prevede, per dipendenti e collaboratori, una serie di regole atte a proteggere la propria corrispondenza, in particolare invitando a non aprire le email sospette. Si tratta di provvedimenti semplici, ma proprio perché tali, spesso trascurati dalle aziende.
Blocco dell’accesso alle porte non autorizzate
Durante l’analisi, il team di ricerca ha scoperto che, pur affermando di avere implementato la misura di sicurezza che prevede il blocco dell’accesso a porte non autorizzate, le aziende sono state vittime gli attacchi informatici che hanno comportato proprio l’accesso a queste porte, violando i dati custoditi, con conseguenti elevate perdite in termini di denaro. Il consiglio è quello di rafforzare continuamente le difese esistenti e di verificarne puntualmente l’efficacia.
Gestione delle attività dei sistemi informatici
Le aziende oggetto dell’analisi hanno affermato di compilare quotidianamente i registri sulle attività dei propri sistemi informatici e di consultarli, dopo un cyber attack, per verificare l’accaduto. Reynolds, a tale proposito, sottolinea l’utilità di utilizzare strumenti quali Machine Learning e Intelligenza Artificiale per comprendere e analizzare in profondità lo stato dei propri sistemi ma, soprattutto, di farlo sistematicamente, non solo ad attacco informatico avvenuto.