Indice dell'articolo

Nonostante i miliardi di dollari versati ogni anno nella cybersecurity da parte di investitori, organizzazioni, università e governo, una sicurezza informatica adeguata e affidabile rimane un obiettivo sempre sfuggente. La complessità tecnologica e la crescente superficie d’attacco, insieme a una serie sempre più ampia di soggetti minacciosi e all’aumento dell’interconnettività, rendono infatti la sicurezza dei sistemi e delle risorse digitali un traguardo sempre più difficile da raggiungere.

La sfida principale per i responsabili delle decisioni e gli esperti è semplicemente quella di identificare e comprendere i rischi della società in materia di sicurezza informatica. Il think tank Bipartisan Policy Center con sede a Washington ha convocato un gruppo di lavoro composto da esperti dell’industria, del governo e della società civile con lo scopo di “identificare i principali rischi di cybersicurezza della nazione in modo che i politici e le aziende possano intraprendere azioni pragmatiche e investire nelle contromisure più adatte”.

Il gruppo di lavoro ha prodotto il report Top Risks in Cybersecurity 2023, che distingue le valutazioni degli esperti in otto rischi “macro” e in altri rischi non necessariamente specifici del 2023. Il report indica i principali rischi che le organizzazioni statunitensi dovrebbero essere pronte ad affrontare perché rappresentano i pericoli più probabili e di maggiore impatto che ci attendono. “Una delle sfide più grandi che spesso affrontiamo è quella di avere una discussione strategica e una comprensione di quello che è il panorama dei rischi” spiega Jamil Farshchi, vicepresidente esecutivo e CISO di Equifax e uno dei co-presidenti del gruppo di lavoro.

ransomware-mondo-attacco

Le principali macro sfide per la sicurezza

Gli otto principali rischi da tenere d’occhio nel 2023 evidenziati nel rapporto includono:

  • Evoluzione dell’ambiente geopolitico: La guerra lanciata dalla Russia in Ucraina è emblematica di questo primo rischio, che comprende fattori chiave come le inibizioni per i cyberattacchi, gli attacchi digitali alle infrastrutture critiche, le campagne di disinformazione e gli approcci protezionistici al commercio, che possono rendere ancora più vulnerabili le aziende che hanno acquistato prodotti tecnologici dall’estero
  • Accelerazione della corsa agli armamenti informatici: Mentre gli aggressori intensificano i loro assalti alle organizzazioni assediate, i difensori devono tenere il passo in un ambiente che favorisce in modo sproporzionato gli attori malintenzionati, che utilizzano strumenti di stampo consumer e trucchi comunemente disponibili per raggiungere i loro scopi, prendendo di mira anche i beni della sicurezza nazionale
  • Venti contrari all’economia globale: La volatilità del mercato azionario e l’inflazione rappresentano un rischio per tutto il settore della cybersicurezza, minacciando le supply chain, costringendo le aziende a prendere decisioni difficili sull’allocazione delle risorse e danneggiando l’innovazione, dato che le startup si trovano ad affrontare un mercato di approvvigionamento di capitali indebolito
  • Regolamenti sovrapposti, contrastanti e soggettivi: Le aziende statunitensi si trovano ad affrontare un “complesso mosaico di normative sulla cybersecurity, sulla sicurezza dei dati e sulla privacy implementate da autorità nazionali, statali e locali, con requisiti prescrittivi variabili”, tra cui la balcanizzazione delle leggi sulla privacy e sulla divulgazione delle violazioni, il rapido innalzamento dei requisiti di controllo della sicurezza e una regolamentazione unica
  • Ritardo nella governance aziendale: Sebbene negli ultimi anni si siano registrati miglioramenti significativi nella priorità che le organizzazioni attribuiscono alla cybersecurity, molte aziende non hanno ancora inserito specialisti di cybersecurity in posizioni di leadership, escludono i CISO e i CSO dalla C-suite e dai consigli di amministrazione e tengono la cybersecurity separata dagli obiettivi organizzativi
  • Mancanza di investimenti, preparazione e resilienza: Sia il settore pubblico che quello privato non sono ancora sufficientemente preparati ad affrontare un disastro di cybersecurity a causa di dati incompleti e imperfetti, mancanza di preparazione alle crisi, disaster recovery e pianificazione della continuità operativa, mancata esecuzione di esercitazioni e pianificazione delle crisi, concentrazione del rischio dei fornitori e insufficienti capacità di garanzia da parte di terzi, aumento dei costi delle assicurazioni cyber e scarsa igiene informatica cronica e consapevolezza della sicurezza da parte del pubblico in generale.
  • Infrastrutture vulnerabili: Le infrastrutture critiche rimangono vulnerabili in quanto le organizzazioni “si affidano pesantemente ad agenzie statali e locali e a fornitori di terze e quarte parti che potrebbero non integrare i necessari controlli di cybersecurity”, in particolare nei settori della finanza, delle utilities e dei servizi governativi, che spesso si basano su codici non patchati e obsoleti e su sistemi legacy
  • Scarsità di talenti: La continua carenza di personale qualificato nel campo della sicurezza continua a esporre le organizzazioni ai rischi informatici, resi ancora più evidenti dall’insufficiente automazione delle attività necessarie per eseguire una buona sicurezza informatica.

cybersecurity

Le organizzazioni devono personalizzare le proprie soluzioni di sicurezza

Il report non contiene alcuna soluzione esplicita a questi e altri problemi. “Non abbiamo voluto inserire soluzioni esplicite in questo documento perché riteniamo che ogni organizzazione avrà un proprio set di controlli su misura”, afferma Farshchi. A tal proposito un membro del gruppo di lavoro, Chris Painter, ex leader della sicurezza informatica presso il Dipartimento di Stato, il Dipartimento di Giustizia e la Casa Bianca e attualmente presidente della Global Forum on Cyber Expertise Foundation, spiega che troppo spesso i report governativi illustrano soluzioni che non si applicano a tutti. “Credo che le persone si chiedano giustamente perché indichiamo le sfide senza offrire soluzioni. Penso che la logica sia che ci sono molte soluzioni diverse a seconda di chi è l’attore e di quale sia la regione. Quindi, non c’è una soluzione unica che vada bene per tutti”.

Anche se alcuni aspetti, come i rischi geopolitici, sfuggono al controllo della maggior parte delle organizzazioni, il rapporto può comunque aiutarle a prendere decisioni strategiche. “Non si può cambiare il comportamento della Russia o della Cina da un giorno all’altro, ma credo che ci siano cose che si possono fare per essere consapevoli dei rischi che si corrono”.

Secondo Painter, il vero valore del report è la sua capacità di raggiungere un pubblico non tecnico. “Abbiamo scelto uno stile di scrittura il più semplice possibile, il che è utile perché a volte queste cose sono rivolte a un pubblico tecnico o sono troppo difficili da comprendere. Penso che sia un documento che chi opera nelle C-suite delle aziende, i manager e i non esperti di informatica possono usare per farsi un’idea del panorama della sicurezza che ci attende”.