La iper-digitalizzazione ha reso molto più complesso definire ciò che è critico per il funzionamento e la stabilità di un Paese. Per anni si è parlato di infrastrutture critiche, ma oggi è più opportuno parlare di servizi considerati essenziali non solo dai governi, ma anche dai cittadini. Inoltre, stiamo passando da una difesa preventiva, finalizzata a prevenire gli attacchi, a una difesa dinamica e proattiva che si comporta in modo simile al sistema immunitario: si parla di resilienza, concetto molto noto in ambito finanziario, ma sempre più popolare anche nel dominio più ampio della difesa di nazioni, sistemi economici ed ecosistemi digitali.
Il livello di digitalizzazione che ci circonda ha creato una serie di correlazioni tra tecnologie, applicazioni e processi, che portano a forti dipendenze e quindi alla proliferazione di rischi condivisi. Nelle analisi delle supply chain, non si parla più di mettere in sicurezza solo le terze parti, ma addirittura di quarte, quinte e seste parti che, spesso e volentieri, sono molto lontane da quello che, fino a oggi, abbiamo definito infrastruttura critica. La transizione dalla definizione di infrastrutture critiche alla visione più ampia di servizi considerati essenziali è amplificata dal sempre maggiore uso di strumenti digitali avanzati, spesso sviluppati per scopi diversi. Inoltre, la totale interdipendenza tra servizi creata proprio da questa super maglia digitale che collega tutto e tutti mette in discussione l’opportunità e la fattibilità di individuare delle infrastrutture o delle componenti critiche. In gioco non c’è più solo la sicurezza nazionale e quella dei cittadini, ma anche il benessere e la prosperità di imprese e individui.
Prendiamo ad esempio i servizi di messaggistica istantanea, utilizzati dalla maggior parte della popolazione globale per comunicare. Immaginiamo che un servizio di questo genere sia utilizzato per comunicare con gli operatori di manutenzione di una centrale elettrica e che lo stesso servizio sia necessario per l’autenticazione a due fattori, best practice e ampiamente adottata per aggiungere un ulteriore livello di sicurezza nell’accedere a determinati sistemi. Sempre in una centrale elettrica, l’autenticazione a due fattori potrebbe essere usata per entrare in un pannello di controllo.
Se l’applicazione di messaggistica fosse soggetta a indisponibilità, come per esempio è successo a Whatsapp per sei ore nel 2021, lo sarebbero anche i servizi che ne dipendono. In caso di un’emergenza, la centrale elettrica non sarebbe in grado di accedere ai sistemi che ne permettono il funzionamento o a comunicare con un manutentore. Il tempo fermo della centrale potrebbe a sua volta avere gravi ripercussioni in una serie di altri ambiti – come i servizi sanitari e di emergenza – essenziali per il funzionamento di un Paese.
Un altro esempio sono i servizi di Global positioning system, comunemente conosciuti come Gps. Anche l’indisponibilità di un’applicazione come Google Maps potrebbe avere delle serie conseguenze nel mondo reale. Un altro tema da non sottovalutare è la possibilità che Google Maps veicoli informazioni sbagliate. Un artista tedesco, con un carretto a mano e 99 telefoni accesi, è riuscito a creare un ingorgo su uno dei ponti principali di New York, ingorgo che però esisteva solo su Google Maps. L’artista è stato in grado di rendere ‘rossa’ una strada ‘verde’, che ha guidato le auto su altro percorso per evitare di rimanere bloccate nel traffico. Questo dimostra che poter manipolare così facilmente Google Maps potrebbe portare a gravi conseguenze: ad esempio, basti pensare all’impatto che potrebbe avere dirottare e, dunque, rallentare la distribuzione di beni di prima necessità quali gli alimentari sull’economia di un paese. Inoltre, l’alterazione dell’assetto territoriale di una zona potrebbe creare le condizioni per un attacco fisico.
Emerge quindi che i servizi critici non sono più solo quelli percepiti come tali, ma anche quei servizi che abilitano – e che hanno il potenziale di alterare – ciò che riteniamo essere essenziale per il funzionamento della società. Tenendo a mente queste potenzialità, è promettente notare che si stia iniziando a parlare di questi concetti anche a livello normativo. Il Regolamento Ue 2022/2554, comunemente conosciuto come Digital Operational Resilience Act (DORA), è il nuovo regolamento per la resilienza delle entità finanziare dell’Unione Europea, disegnato per fare in modo che quest’ultime siano in grado di fronteggiare crescenti minacce.
Il DORA introduce il concetto di rischio di concentrazione legato alle terze parti e infatti si applica non solo alle entità del settore finanziario, ma anche a quelle terze parti, considerate critiche, che forniscono servizi a queste entità, come per esempio fornitori cloud o di data analytics. Le terze parti critiche saranno designate come tali basandosi su logiche legate al potenziale impatto sistemico che un’interruzione del funzionamento di tali entità potrebbe avere sulla fornitura di servizi finanziari. In questo passaggio, quindi, emerge per la prima volta, a livello normativo, la necessità di avere una visione meno rigida e più fluida di ciò che effettivamente risulta critico per il funzionamento e il benessere di uno stato.
Secondo questo ragionamento, e tornando all’esempio presentato prima, i servizi di messaggistica istantanea o Gps, non sarebbero designati come critici a priori, ma sarebbero solo alcune componenti abilitanti ad essere considerate come tali, in base all’uso che ne può essere fatto e nei casi in cui potrebbero fornire servizi critici. Ad oggi, un’infrastruttura designata come critica è soggetta ad una serie di obblighi normativi che definiscono dei controlli aggiuntivi richiesti proprio per salvaguardare la natura critica della stessa. Tali obblighi si basano su una prospettiva di sicurezza basata sulla prevenzione degli attacchi. Ad esempio, per quanto possa sembrare una banalità, a chi opera una centrale elettrica potrebbe essere richiesto di cambiare le password degli operatori ogni mese, cosa che, per legge, non verrebbe invece richiesta ai dipendenti di un centro commerciale.
Tuttavia, le minacce sono in continua evoluzione, gli attacchi cibernetici possono partire da attori diversi, grandi gruppi hacker parastatali o singoli individui, in grado di causare piccoli o grandi danni, con un grado di sofisticatezza tale da renderli inevitabili. Diventa dunque necessario stabilire una nuova prospettiva sulla sicurezza, che si sposta dalla prevenzione alla resilienza.
Il tema centrale, per gli stati, le aziende e i singoli cittadini, dovrebbe concentrarsi non tanto su quali sono i controlli da implementare per prevenire l’attacco, ma piuttosto capire come riuscire a riprendersi il prima possibile e limitare impatti e conseguenze.
Per quanto gli obblighi normativi siano in continua evoluzione verso una maggiore sicurezza cibernetica per le infrastrutture critiche, appare evidente che l’esercizio di compliance, come ad esempio, cambiare le password mensilmente, da solo non sia più in grado di affrontare molte delle sfide che un’infrastruttura digitale più interoperabile e interconnessa comporta. Questo in particolare quando il panorama tecnologico e digitale si evolve più rapidamente degli aggiornamenti normativi.
Uno sguardo rivolto al domani ci spinge a sviluppare strategie e tattiche di difesa che abilitino nuovi approcci al rischio, dalle capacità di identificazione a quelle di gestione. Per sviluppare una resilienza operativa efficace, è necessario identificare scenari di minaccia basati su una profonda comprensione delle diverse tipologie di rischio a cui può essere soggetta un’entità o un intero settore.
Invece di essere valutato in silo, è di vitale importanza espandere la valutazione di rischio cibernetico per comprendere anche le intersezioni tra i diversi domini di rischio, come ad esempio quelli geopolitici, normativi, ambientali e sociali.
Per quanto si stia cercando di superare il concetto di prevenzione, resta comunque importante cercare di prevedere. A oggi, è molto probabile che le entità, considerate mature dal punto di vista cibernetico, abbiano una funzione di intelligence, ovvero di raccolta di informazioni utili per comprendere il panorama delle minacce e dei rischi a cui sono soggette. Però, è necessario promuovere anche una cultura che vada oltre la singola entità, e di condividere invece informazioni tattiche e strategiche all’interno di un settore.
Questo permetterebbe di abilitare quella che viene definita shared situational awareness, ovvero la capacità di un ecosistema di avere una visione olistica delle minacce e delle vulnerabilità quasi in tempo reale, migliorando così la preparazione prima, la capacità decisionale durante e l’attuazione di misure correttive dopo eventuali attacchi cibernetici e incidenti imprevisti.
Grazie alla shared situational awareness, si possono così condurre simulazioni e stress test cibernetici, basati sulle minacce reali, e permettere quindi alle aziende di capire in modo effettivo il loro livello di resilienza e di individuare in modo proattivo tutti i possibili rischi. Condurre questo tipo di esercizi a livello settoriale, coinvolgendo le diverse parti legate all’infrastruttura permetterebbe inoltre di identificare e ridurre in modo tempestivo vulnerabilità condivise – altrimenti ignote – che minacciano la stabilità di interi Stati. In questo, assicurare la resilienza cibernetica è il passo più importante per garantire l’opportunità di progresso tecnologico ed evoluzione tecnico-organizzativa.
* Cyber Risk Manager Deloitte UK
** Senior Consultant in Cyber Risk, Deloitte Italia
