CTO del rischio umano

Il futuro della sicurezza informatica sarà definito dalle persone, non solo dalla tecnologia. Con l’evoluzione delle minacce, il rischio umano – le scelte, le abitudini e la cultura all’interno delle organizzazioni – darà forma alla resilienza più che mai.

In questa intervista, Andy Fielder analizza come i leader possono anticipare le sfide di domani e costruire una mentalità di sicurezza che duri nel tempo.

Quali sono, secondo te, le minacce informatiche più significative che le organizzazioni devono affrontare oggi?

Le minacce più significative non sono necessariamente cambiate, ma si sono evolute diventando più sofisticate e più difficili da difendere. Il ransomware rimane una delle principali preoccupazioni, ma ciò che colpisce è la sua professionalizzazione. Questi gruppi operano ormai come aziende SaaS legittime, con team tecnici, uffici di assistenza e operazioni strutturate. Questo livello di organizzazione ha reso più facile il coinvolgimento di più persone e l’incentivo finanziario è enorme. Secondo alcune stime, i ricavi della criminalità informatica, in tutti i suoi tipi, rivaleggiano con le dimensioni dell’economia russa. Con un ritorno del genere, non sorprende che la criminalità organizzata continui a investire pesantemente in questo settore.

Il furto di credenziali è un’altra grande minaccia. La maggior parte delle organizzazioni dispone di controlli tecnici ragionevoli per proteggersi dagli attacchi più comuni, quindi gli aggressori prendono sempre più di mira le credenziali degli utenti. Compromettendo le piattaforme non aziendali in cui le persone riutilizzano le password, possono raccogliere i dati di accesso e utilizzare i bot per convalidare quelli funzionanti. Queste credenziali vengono spesso memorizzate e utilizzate in seguito per attacchi mirati. Si tratta di un approccio metodico che aggira le difese tradizionali ed è molto efficace.

La terza area di preoccupazione è la compromissione dei fornitori. Le aziende non possono più pensare di essere entità isolate. Gli aggressori sanno che i fornitori hanno spesso posizioni di sicurezza più deboli e sfruttano questo gap di fiducia. Abbiamo visto casi di alto profilo nella vendita al dettaglio e nel settore automobilistico in cui le violazioni sono avvenute attraverso un fornitore, non attraverso l’azienda. Una volta entrati, gli aggressori si dirigono verso l’obiettivo principale. È un chiaro promemoria del fatto che la sicurezza informatica deve estendersi oltre l’organizzazione, all’intero ecosistema.

Come si sono evolute queste minacce negli ultimi anni e cosa sta determinando questo cambiamento?

Il cambiamento più importante è stata la professionalizzazione del crimine informatico. Una volta era qualcosa che la gente faceva per divertimento – un adolescente nella sua camera da letto che cercava di dimostrare di essere in grado di entrare. Questo succede ancora, ma ciò che è cambiato davvero è l’ascesa di operazioni strutturate e organizzate. Questi gruppi ora funzionano come vere e proprie aziende, con team, infrastrutture e obiettivi. Questo livello di organizzazione ha reso gli attacchi più scalabili, più mirati e molto più pericolosi.

Anche le attività condotte dagli Stati sono aumentate in modo significativo. La guerra cibernetica è diventata uno strumento riconosciuto per la distruzione economica e geopolitica, un modo per le nazioni di influenzare o causare danni senza un conflitto fisico. La minaccia che rappresenta è ora molto diversa. È strategica, ben finanziata e spesso finalizzata a minare le infrastrutture nazionali o le principali aziende.

Allo stesso tempo, i migliori controlli tecnici hanno costretto gli aggressori a cambiare tattica. È più difficile superare i firewall e le protezioni degli endpoint, quindi l’attenzione si è spostata sul comportamento umano. L’ingegneria sociale è diventata una delle vie d’accesso più semplici ed efficaci. Se un aggressore riesce a ingannare qualcuno per farsi consegnare le credenziali o a raccogliere informazioni personali sufficienti per impersonarlo, può aggirare le protezioni tecniche. Una volta entrato, sembra un utente legittimo e il rilevamento avviene solo quando inizia un’attività sospetta. Questo passaggio dai sistemi alle persone è una delle evoluzioni più significative che abbiamo visto.

Alla luce di questi cambiamenti, in che modo le organizzazioni hanno dovuto ripensare il loro approccio alla difesa informatica?

Ora c’è una vera e propria enfasi sulla catena di fornitura. Le aziende si rendono conto che la loro sicurezza è pari a quella dei fornitori e dei partner a cui si affidano. Ciò significa capire chi sono i fornitori, come gestiscono la loro sicurezza e come li ritengono responsabili. La compromissione dei fornitori è oggi uno dei punti di ingresso più probabili per un attacco e questo cambiamento ha costretto le aziende ad ampliare la loro ottica difensiva al di là delle proprie mura.

Allo stesso tempo, c’è stato un cambiamento di mentalità riguardo ai controlli tecnici. In passato, se si disponeva di solidi firewall, di un buon centro operativo di sicurezza (SOC) e degli strumenti giusti, ci si sentiva ragionevolmente sicuri. Ma gli aggressori si sono adattati. Vanno a caccia di credenziali, il che significa che possono aggirare tutti questi livelli di protezione. La maggior parte delle violazioni oggi deriva da un errore umano: qualcuno clicca sul link sbagliato, condivide il dettaglio sbagliato o riutilizza una password.

A differenza dei controlli tecnici, che si comportano in modo coerente, le persone sono imprevedibili. Tutti noi abbiamo abitudini e propensione al rischio diverse e questa variabilità è difficile da gestire. Questo ha portato a un riconoscimento più ampio del fatto che la cybersicurezza non è più solo un problema tecnico, ma umano. La sicurezza non è più una responsabilità esclusiva dell’IT, ma è un compito di tutti. Questo passaggio dall’attenzione per la tecnologia a quella per le persone è uno dei cambiamenti più importanti a cui abbiamo assistito.

Guardando avanti di 3-5 anni, quali minacce emergenti credi che rappresenteranno la sfida più grande?

L’intelligenza artificiale sta già cambiando il gioco da entrambe le parti. A livello difensivo, possiamo utilizzare l’intelligenza artificiale per identificare modelli, rilevare comportamenti anomali e tagliare il rumore per evidenziare le minacce reali. Ma i criminali stanno utilizzando la stessa tecnologia per rendere i loro attacchi più convincenti ed efficaci.

Prendiamo il phishing. Un tempo era facile da individuare a causa delle carenze ortografiche e grammaticali. Ora l’intelligenza artificiale è in grado di creare messaggi che sembrano del tutto legittimi, rendendoli molto più difficili da identificare. E questo non potrà che diventare sempre più sofisticato. È sempre più importante che le persone capiscano come appaiono queste minacce per evitare di essere scoperti.

In prospettiva (da 5 a 15 anni), l’informatica quantistica cambierà le carte in tavola. Infrangerà i metodi di crittografia che attualmente proteggono le banche, le criptovalute e altro ancora. Si tratta di una prospettiva scoraggiante perché gran parte di ciò su cui facciamo affidamento per la fiducia digitale potrebbe essere compromessa. Sebbene sia ancora lontana, è una minaccia che prima o poi dovremo affrontare.

Stanno emergendo standard PQC (Post-Quantum Cryptography) che aiuteranno a proteggere in un mondo quantistico. Le aziende devono iniziare a comprendere la loro impronta crittografica e a pianificare la transizione alla PQC per essere pronte.

Quali sono le misure pratiche che le organizzazioni possono adottare per essere a prova di futuro contro l’evoluzione dei rischi?

La chiave è la resilienza, ovvero la consapevolezza che un incidente si verificherà e la preparazione di conseguenza. Ciò significa disporre di strumenti di rilevamento solidi, come le piattaforme SIEM che aggregano i log dei sistemi e utilizzano l’intelligenza artificiale e l’analisi umana per individuare tempestivamente le minacce.

Si tratta anche di testare i piani di disaster recovery e di risposta agli incidenti in modo che tutti conoscano il proprio ruolo. Come isolerai i sistemi interessati? Chi comunicherà con le parti interessate? Hai degli specialisti forensi a disposizione?

Un’organizzazione ben preparata è in grado di rilevare, contenere e recuperare rapidamente e di comunicare in modo trasparente. Questo crea fiducia, perché i clienti capiscono che nessuno è immune ai cyberattacchi.

Un altro principio chiave è lo “spostamento a sinistra”, che significa incorporare la sicurezza fin dall’inizio della progettazione del prodotto o dello sviluppo del sistema, anziché aggiungerla in un secondo momento. Costruire in modo sicuro fin dalla progettazione è molto più efficace.

Ci sono normative recenti o imminenti che potrebbero rimodellare il modo in cui le organizzazioni gestiscono il rischio di cybersecurity?

Sì, in particolare dall’UE. Il Digital Operational Resilience Act (DORA) sta avendo un impatto significativo. Pone un forte accento sulla gestione del rischio dei fornitori, responsabilizzando le terze parti e assicurando che le organizzazioni comprendano l’intera posizione di sicurezza della loro catena di fornitura.

Il Cyber Resilience Act (CRA) dell’UE si concentra sul software e sui dispositivi IoT, garantendo che i prodotti digitali siano sicuri per progettazione durante tutto il loro ciclo di vita. La legge prevede sanzioni importanti in caso di non conformità: 15 milioni di euro o il 2,5% del fatturato globale. Questo provvedimento sarà probabilmente applicato a partire dal 2027, quindi i fornitori SaaS devono iniziare a prepararsi fin da ora.

In che modo l’intelligenza artificiale sta trasformando il panorama della gestione del rischio?

L’intelligenza artificiale sta trasformando la gestione del rischio sia in senso difensivo che offensivo.

Dal punto di vista difensivo, analizza l’enorme quantità di dati generati dai nostri sistemi, rilevando anomalie, evidenziando i rischi e automatizzando il triage in modo che gli analisti umani possano concentrarsi sul contenimento.

Sul fronte offensivo, i criminali utilizzano l’intelligenza artificiale per testare i sistemi, generare deepfakes e condurre sofisticate campagne di phishing, smishing e social engineering. Ecco perché l’educazione è essenziale. Le persone devono imparare quanto possano essere realistiche queste minacce, sperimentare simulazioni e verificare le fonti piuttosto che fidarsi di ciò che vedono online. La consapevolezza e la convalida sono fondamentali.

L’automazione potrà mai sostituire completamente il giudizio umano nella risposta agli incidenti informatici?

No. L’automazione accelera il rilevamento e fa emergere le informazioni giuste, ma il giudizio umano è essenziale.

Ogni organizzazione ha una propensione al rischio e contesti diversi. Ciò che è fondamentale per una banca può non esserlo per un rivenditore al dettaglio. L’automazione supporta il processo decisionale, ma non può replicare la comprensione sfumata che gli esseri umani apportano.

L’approccio migliore combina l’automazione e l’intuizione umana: una non può sostituire l’altra.

In che modo le organizzazioni possono dare ai propri dipendenti la possibilità di essere la prima linea di difesa?

Inizia con la cultura. La sicurezza deve essere una responsabilità di tutti, non solo di un team specifico. Quando i dipendenti si sentono coinvolti nella protezione dell’organizzazione e di loro stessi, l’intero sistema migliora.

L’educazione e gli strumenti giusti sono fondamentali, ma è la cultura a guidare il comportamento. È molto più efficace abbandonare gli approcci punitivi e premiare invece le buone abitudini in materia di sicurezza. Non vuoi una cultura della paura, ma una cultura della responsabilità condivisa e della consapevolezza.

In definitiva, mettere le persone in grado di proteggere l’organizzazione significa anche metterle in grado di proteggere se stesse nella loro vita personale.

I rischi informatici non stanno fermi. E non dovresti farlo nemmeno tu. Scopri di più sul blog di MetaCompliance.