“Giornata di pesanti disservizi per i clienti di tutta Italia: impossibile accedere alle funzioni di home banking. Impossibile prelevare il contante agli sportelli e dai bancomat”.“Una pioggia di segnalazioni ha inondato gli account Twitter di una nota società che vende sistemi di tracciamento per gli sportivi: impossibile registrare gli acquisti e accedere alle mappe”.“Gli studenti non hanno potuto registrare gli esami svolti a distanza a causa di un malfunzionamento della rete universitaria”.
Tre esempi anonimi per banche, aziende e scuole, solo per ricordarci come l’innovazione abbia un prezzo. Il prezzo dell’insicurezza generato da una cattiva gestione dell’innovazione secondo alcune stime vale 6 trilioni di dollari, più del fatturato di Apple, Amazon e WalMart messi insieme.
Attacchi DDoS, attacchi ransomware, phishing sono la nuova normalità. Le cronache sono piene di questi esempi. E con l’evolvere della tecnologia le cose si faranno più complicate.
Sebbene l’innovazione sia oggi più che mai indispensabile a tutte le organizzazioni per garantirsi sostenibilità e crescita, l’adozione di tecnologie emergenti come l’Intelligenza Artificiale, i computer quantistici, il 5G, la Realtà Virtuale obbliga a un significativo cambio di paradigma in termini di sicurezza informatica.
Il paradosso, a cui ha fatto riferimento anche la ministra Pisano durante Cybertech Europe 2020 è, come attesta la ricerca Accenture “Innovating at speed at scale with implicit security”, che le aziende che investono di più in innovazione stanno sottovalutando il livello di rischio che le tecnologie emergenti portano con sé. Solo il 55% dei Chief Security Officer intervistati ritiene utile adottare politiche di sicurezza per la protezione delle tecnologie di Artificial Intelligence adottate e la percentuale scende al 36% degli intervistati per il 5G, al 32% per l’Extended Reality e al 29% per il Quantum Computing.
Forse l’errore parte da qui. E allora non sorprende che secondo una ricerca di Immuniweb il 97% delle principali società di cybersecurity è esposta sul Dark Web, dove in media ci sono oltre 4.000 credenziali rubate per ciascuna società di sicurezza informatica considerata. L’analisi è stata condotta su 398 aziende in tutto il mondo.
È così che con i suoi sistemi di machine learning, Immuniweb ha trovato nel Dark Web 631.512 incidenti di sicurezza verificati, di cui oltre il 25% sono classificati di livello critico perché contenenti informazioni altamente sensibili come credenziali in chiaro o informazioni personali, inclusi dati finanziari. Ma sono stati scoperti anche 1 milione di incidenti non verificati.
La ricerca ha rivelato che il 29% delle password rubate è debole, con meno di otto caratteri o senza lettere maiuscole, numeri o altri caratteri speciali e che i dipendenti di 162 aziende (circa 40) utilizzavano password identiche all’interno di diverse violazioni dei dati. Ciò aumenta il rischio di attacchi di riutilizzo delle password da parte di criminali informatici.
Figuriamoci poi che le email professionali rinvenute sono state utilizzate su siti di incontri porno e per adulti: ImmuniWeb ha rilevato 5.121 credenziali che erano state rubate da siti web pornografici compromessi.
Il 63% dei siti web delle società di sicurezza informatica inoltre non è conforme ai requisiti PCI DSS, il che significa che utilizza software vulnerabile o obsoleto e non dispone di Web Application Firewall. Il rispetto dello standard PCI DSS è un requisito per tutti gli operatori che archiviano, elaborano o trasmettono dati di carte di credito e stabilisce le misure atte a garantire la protezione dei dati e processi di sicurezza coerenti per tutte le transazioni finanziarie online.
Il 48% dei siti web delle società di sicurezza informatica non è conforme ai requisiti GDPR, a causa del software vulnerabile, dell'assenza di una politica sulla privacy ben visibile o di una dichiarazione di non responsabilità sui cookie mancante quando i cookie contengono PII o identificatori tracciabili.
Per Giampaolo Dedola, del Global Research and Analysis Team di Kaspersky, questi dati si spiegano con il fatto che “La sicurezza al 100% è un’utopia. Gli incidenti informatici interessano tutti i tipi di organizzazione. Le società di sicurezza non fanno eccezione ed anzi spesso vengono colpite da attacchi estremamente sofisticati proprio perché ricoprono un ruolo critico nella gestione della sicurezza delle informazioni”. E aggiunge: “Gli incidenti ci saranno sempre, ma la capacità di reazione determina se si è in grado di mitigare le eventuali conseguenze di un attacco e se l’infrastruttura di sicurezza è in grado d’impedire la compromissioni di dati critici”.
Secondo lo studio 91 aziende avevano vulnerabilità di sicurezza dei siti web sfruttabili da un attaccante, il 26% delle quali ancora prive di patch - una scoperta individuata da ImmuniWeb grazie ai dati disponibili sul progetto Open Bug Bounty.
Non c’è da stupirsi allora se la scorsa settimana il CISA, l’agenzia americana per la sicurezza delle infrastrutture, ha emesso una direttiva che richiede a enti pubblici e governativi di evitare azioni legali contro i ricercatori di cybersecurity che agiscono in buona fede, consentono ai partecipanti di inviare segnalazioni di vulnerabilità in modo anonimo per proteggere i servizi accessibili da Internet. Insomma, anche i funzionari federali cominciano a chiedere aiuto agli hacker etici, quelli dal cappello bianco.