La cybersecurity è la pratica di implementare persone, politiche, processi e tecnologie per proteggere le organizzazioni, i loro sistemi critici e le informazioni sensibili dagli attacchi digitali (Gartner, 2024).
Cybersecurity: la missione nel cyberspazio
Le azioni nemiche da combattere nella cybersecurity sono gli attacchi informatici: un tentativo deliberato e non autorizzato di violare un sistema informatico, una rete o un dispositivo per rubare, danneggiare, distruggere o alterare informazioni, causare interruzioni di servizio o ottenere un accesso non autorizzato.
Gli attacchi informatici vengono compiuti da varie tipologie di bande criminali organizzate e ben strutturate (ognuna con un obiettivo diverso):
- Cyber crime
- Hacktivism
- Espionage / Sabotage
- Information walfare
Per i gruppi di cyber crime, che rappresentano l’88% degli attaccanti in Italia (Rapporto Clusit, 2024), l’obiettivo principale è quello di fare soldi con i tuoi soldi. Si tratta di un'azione che mira a compromettere la confidenzialità, l'integrità e la disponibilità (CIA triad) dei dati e dei sistemi informatici aziendali e pubblici (Walkowski, 2019).
- Confidenzialità: proteggere le informazioni da accessi non autorizzati
- Integrità: garantire l'accuratezza e la completezza dei dati, evitando modifiche non autorizzate
- Disponibilità: assicurare l'accesso ai dati e ai servizi informatici quando necessario.
.jpg?width=1540&height=787&name=Infografica%20sito%20Cyberoo%20(2).jpg)
Fig. 1 - Rappresentazione del CIA Triad
Cybersecurity: tre componenti
La cybersecurity rappresenta un pilastro fondamentale nella protezione dei dati e della reputazione aziendale. Vediamo quali sono le tre componenti principali:
- Persone: Il fattore umano è un elemento cruciale nella sicurezza informatica. La consapevolezza degli utenti, la formazione continua e la gestione delle identità rappresentano i pilastri fondamentali per mitigare i rischi derivanti da azioni involontarie o malevole.
- Processi: L'insieme delle attività e delle procedure organizzative volte a garantire la sicurezza informatica. La valutazione dei rischi, la gestione degli incidenti, la conformità alle normative e la continuità operativa sono elementi chiave di un solido framework di sicurezza.
- Tecnologia: La cybersecurity non è una destinazione statica, ma un processo continuo attraverso un panorama tecnologico in costante mutamento. Le minacce si evolvono rapidamente, richiedendo l'implementazione di soluzioni tecnologiche proattive sempre più sofisticate.
Perché la cybersecurity è una priorità
Per spiegare l'importanza della cybersecurity facciamo un salto indietro. Siamo nella società romana, i cittadini consideravano la propria dimora un luogo sicuro, protetto dal resto del mondo. Nel mentre aumentavano i furti, scassinamenti e intrusioni. Inizialmente come eventi rari e sporadici, tanto da non essere considerati una minaccia, successivamente come una costante quotidiana. Il problema divenne così importante tanto da essere normato nelle Leggi delle XII tavole del 450 a.C., le prime leggi scritte del diritto romano.
Questo ha comportato un cambiamento sociale radicale nella popolazione tanto da iniziare a proteggere le proprie abitazioni, inizialmente in maniera superficiale, successivamente in maniera articolata, adattando le difese ai nuovi strumenti tecnologici, fino ad arrivare agli ormai comuni sistemi di allarme avanzati, telecamere di sorveglianza, porte blindate e serrature di sicurezza del giorno d'oggi.
Siamo nel 2025, stiamo assistendo alla stessa, identica, dinamica. Questa volta nel cyberspazio e in un contesto imprenditoriale e istituzionale.
Fino a 20 anni fa la sicurezza informatica non era vista come una forte minaccia, non richiedeva importanti investimenti e non aveva una giurisdizione a riguardo. Oggi non è più così. Con oltre 273 attacchi al mese noti che avvengono solo in Italia (Rapporto Clusit, 2024) difendere le proprie infrastrutture aziendali è una priorità assoluta. Una priorità che non può più essere considerata una responsabilità del reparto IT ma una responsabilità del consiglio direttivo che merita una propria allocazione nel budget annuale.
In ballo c'è il futuro della propria azienda e un eventuale danno reputazione, produttivo ed economico stimato in oltre 4,70 milioni di euro per ogni attacco (Cost of a Data Breach Report 2024, IBM). Quindi, non siamo più davanti a una necessità meramente tecnica ma anche legale, obbligatoria per legge e normata da specifiche Direttive Europee. Per questo, in un contesto in cui la digitalizzazione è il motore dell'innovazione, la cybersecurity non è più un optional ma rappresenta un obbligo fondamentale per garantire la continuità operativa, la protezione dei dati e la fiducia dei clienti.
Cybersecurity in Italia: quadro normativo
Trattandosi di uno scenario in continua evoluzione e che si evolve al passo con l’innovazione tecnologica il panorama normativo nazionale è in costante aggiornamento e si integra con il corpus normativo europeo. Una forte accelerazione sulla normativa italiana in ambito cybersecurity l'abbiamo avuta con la Direttiva NIS2 (Network and Information Systems Directive), entrata in vigore il 17 ottobre 2024. La Direttiva introduce obblighi stringenti in termini di cybersecurity per un ampio spettro di settori aziendali (ACN, 2024). In Italia, altre importanti giurisdizioni sono:
- GDPR (General Data Protection Regulation): svolge un ruolo fondamentale nella tutela dei dati personali, imponendo obblighi specifici in materia di sicurezza informatica
- Cybersecurity Act: normativa europea che introduce regole comuni per proteggere le infrastrutture critiche e le informazioni sensibili, imponendo alle organizzazioni di adottare misure di sicurezza adeguate e di segnalare tempestivamente gli incidenti cibernetici. Questa direttiva è stata recepita dagli Stati membri con leggi nazionali, come la legge 138/2024 in Italia.
- Direttiva DORA (Digital Operational Resilience Act): mira a rafforzare la resilienza operativa dei servizi finanziari digitali, introducendo requisiti rigorosi per la gestione dei rischi informatici nel settore bancario e finanziario.
- AI Act: pur focalizzato sull'intelligenza artificiale, contiene disposizioni rilevanti per la cybersecurity, in quanto l'utilizzo di sistemi di intelligenza artificiale può introdurre nuovi rischi e vulnerabilità. La sua piena applicazione sarà dal 2 agosto 2026 (EU AI Act, 2024).
Questo complesso intreccio di normative nazionali ed europee definisce un quadro normativo sfidante ma necessario per proteggere le infrastrutture critiche, i dati personali e i servizi digitali essenziali per la società e l'economia.
Attacchi informatici: una sfida per la cybersecurity
Dall’AI Generativa al quantum computing, i gruppi di cyber criminali sono in costante aggiornamento sfruttando a loro favore l’innovazione tecnologica.
Per questo, le aziende devono affrontare una varietà di minacce multiforme. I sistemi di protezione che fino a qualche anno fa erano efficaci oggi potrebbero non esserlo più. La capacità di adattarsi rapidamente a queste nuove minacce è fondamentale per mantenere la sicurezza. Vediamo nel dettaglio quali sono i tipi di attacchi informatici più comuni e rilevanti:
Ransomware
Questo tipo di malware infetta i sistemi di un'organizzazione, limitando l'accesso ai dati o ai sistemi crittografati fino al pagamento di un riscatto agli attaccanti. In alcuni casi, gli aggressori minacciano di divulgare i dati sensibili se il riscatto non viene corrisposto. Disporre di sistemi di monitoraggio e risposta H24, soluzioni antimalware, aggiornare regolarmente i software, consente di prevenire queste tipologie di attacchi.
Attacchi basati su phishing e social engineering
Questi attacchi, ora potenziati anche dagli strumenti di intelligenza artificiale generativa, sfruttano tecniche di inganno psicologico per indurre gli utenti legittimi, in possesso di credenziali di accesso valide, a compiere azioni che facilitano l'accesso non autorizzato ai sistemi come cliccare link infetti o fornire dati riservati. Una tattica che sta andando oltre il mondo digitale, con la recente diffusione di QR Code cartacei fraudolenti. Tali azioni possono portare all'esfiltrazione di questi dati, ovvero al trasferimento illecito di informazioni sensibili verso entità esterne.
Rischi associati ai servizi esposti su Internet
Queste minacce derivano dall'incapacità delle aziende, dei partner e dei fornitori di implementare misure di sicurezza adeguate per proteggere i servizi cloud o altri servizi esposti su Internet da minacce conosciute. Un esempio sono i browser web, i quali potrebbero essere vulnerabili ad attacchi informatici se non protetti adeguatamente, per questo è importante non salvare le proprie password nel browser.
Compromissione degli account tramite password
Restando in tema di password, gli attaccanti spesso utilizzano software specializzati o altre tecniche di hacking per individuare password comuni o riutilizzate, che possono essere sfruttate per ottenere accesso non autorizzato a sistemi, dati o risorse riservate. Per questa ragione, bisogna utilizzare password complesse, non meno di 8 caratteri, con una combinazione di caratteri speciali, maiuscole, minuscole, numeri. È necessario usare password univoche per ogni account, cambiarle ogni tre mesi e utilizzare l'autenticazione a più fattori (MFA) per un doppio controllo di sicurezza.
Uso improprio delle informazioni
Gli utenti autorizzati possono, intenzionalmente o accidentalmente, divulgare o utilizzare in modo inappropriato le informazioni o i dati a cui hanno accesso legittimo, compromettendo così la sicurezza delle informazioni. Per le aziende è fondamentale creare una cultura della sicurezza, implementare politiche di accesso e controlli rigorosi per mitigare il rischio di incidenti legati alla divulgazione non autorizzata di dati sensibili.
Attacchi alla rete e man-in-the-middle
In questi scenari, i cyber criminali possono intercettare il traffico di rete non protetto o manipolare il flusso di dati, approfittando della mancanza di crittografia dei messaggi sia all'interno che all'esterno del firewall dell'organizzazione. Per prevenire questa tipologia di attacchi è importante usare connessioni crittografate come HTTPS, evitare reti Wi-Fi non sicure, verificare l'autenticità dei siti e delle app e usare strumenti come la VPN. Oltre ad aggiornare regolarmente software e dispositivi per ridurre le vulnerabilità.
.jpg?width=1540&height=787&name=Infografica%20sito%20Cyberoo%20(4).jpg)
Fig. 2 - Rappresentazione attacco man-in-the-middle
Attacchi alla supply chain (catena di fornitura)
Questi attacchi coinvolgono la compromissione di partner, fornitori o altre risorse o sistemi di terze parti, creando un vettore attraverso il quale è possibile attaccare o esfiltrare informazioni dai sistemi aziendali. Oggi è imprescindibile richiedere ai fornitori la conformità agli standard di sicurezza, implementare controlli rigorosi, adottare misure come audit periodici, valutazioni di rischio dettagliate e integrare clausole di sicurezza nei contratti.
Attacchi Denial-of-Service (DoS)
Gli attaccanti sovraccaricano i sistemi aziendali, causando un'interruzione o un rallentamento temporaneo delle operazioni. Gli attacchi Distributed Denial-of-Service (DDoS) amplificano questo effetto utilizzando una rete di dispositivi compromessi per inondare i sistemi bersaglio. La mitigazione degli attacchi DDoS richiede un approccio proattivo, multistrato e in continua evoluzione, che tenga conto delle nuove tattiche degli attaccanti e delle specifiche esigenze di ogni organizzazione..jpg?width=1540&height=787&name=Infografica%20sito%20Cyberoo%20(3).jpg)
Fig. 3 - Esempio di un attacco DDoS conosciuto come "Smurf Attack"
Il lato oscuro del Deep e Dark Web
Il Deep e Dark Web rappresentano un mercato fiorente per attività illegali, inclusa la vendita di dati rubati e strumenti di hacking. Queste aree del web, difficili da monitorare e regolamentare, offrono un rifugio sicuro per criminali informatici e organizzazioni malintenzionate. Per le aziende è fondamentale disporre di strumenti di Cyber Threat Intelligence per identificare potenziali minacce, analizzare i comportamenti degli attaccanti e anticipare le loro mosse.
Nonostante sia un argomento molto discusso, queste aree del web vengono spesso confuse tra di loro. Vediamo nel dettaglio quali sono le principali differenze.
Deep Web
Il deep web, invisible web o hidden web è una parte del World Wide Web i cui contenuti non sono indicizzati dai programmi standard dei motori di ricerca web. Questo è in contrasto con il surface web, che è accessibile a chiunque utilizzi Internet. All'informatico Michael K. Bergman si attribuisce il merito di aver inventato il termine nel 2001 come termine di ricerca-indicizzazione.
I siti del deep web sono accessibili tramite un URL diretto o un indirizzo IP, ma possono richiedere l'inserimento di una password o di altre informazioni di sicurezza per accedere al contenuto effettivo. Tali siti sono utilizzati come web mail, online banking, cloud storage, pagine e profili di social media ad accesso limitato, alcuni forum e linguaggi in codice che richiedono la registrazione per visualizzare i contenuti. Comprendono anche servizi a pagamento come i video on demand e alcune riviste e giornali online.
Dark Web
Il dark web è il contenuto del World Wide Web che esiste sulle darknet: reti che utilizzano Internet ma che richiedono software, configurazioni o autorizzazioni specifiche per l'accesso. Attraverso il dark web, le reti di computer privati possono comunicare e condurre affari in modo anonimo senza divulgare informazioni identificative, come la posizione di un utente. Il dark web costituisce una piccola parte del deep web, la parte del Web non indicizzata dai motori di ricerca, anche se a volte il termine deep web viene erroneamente utilizzato per riferirsi specificamente al dark web.
Dark Net
Le darknet che costituiscono il dark web includono piccole reti peer-to-peer tra amici, così come grandi reti popolari come Tor, Freenet, I2P e Riffle gestite da organizzazioni pubbliche e da singoli individui. Gli utenti del dark web si riferiscono al web normale come Clearnet per la sua natura non criptata. Il dark web Tor o onionland utilizza la tecnica di anonimizzazione del traffico dell'onion routing con il suffisso del dominio di primo livello della rete .onion.
10 falsi miti sulla cybersecurity
Sfatiamo alcuni dei miti sulla cybersecurity che nella nostra esperienza in CYBEROO abbiamo spesso sentito dire.
- La cybersecurity è un processo, non un prodotto: non esiste una soluzione unica che possa garantire la sicurezza totale. La cybersecurity è un processo continuo che richiede aggiornamenti e miglioramenti costanti. Le minacce evolvono, e così anche la strategia di difesa.
- Il rischio zero non esiste: il rischio di un attacco informatico non può mai essere completamente eliminato. L'obiettivo è ridurre al minimo il rischio, bilanciando sicurezza e operatività.
- La cybersecurity non è un costo ma un investimento: la cybersecurity è un investimento strategico che protegge la continuità del business e la reputazione aziendale. Come il salvavita che blocca il flusso di corrente evitando l'incendio, si tratta di una spesa operativa necessaria per gestire un'impresa: previene le perdite devastanti derivanti da un attacco informatico, dall’interruzione della continuità operativa e dalla perdita di reputazione e fiducia da parte dei clienti.
- Non basta il firewall per essere protetti dalle minacce: un firewall è solo una parte della strategia di difesa. È necessario un approccio multilivello che includa diverse tecnologie e pratiche, come la segmentazione della rete e l'analisi comportamentale.
- “Sì, ma tanto a me non succederà”: nessuna azienda è immune. Gli attacchi informatici possono colpire organizzazioni di qualsiasi dimensione e settore. La mentalità del non succederà a me può portare a gravi conseguenze.
- “Gli aggiornamenti di sicurezza non sono così urgenti”: gli aggiornamenti e le patch sono rilasciate per correggere falle di sicurezza che, se non risolte, possono essere sfruttate dagli attaccanti per ottenere accesso non autorizzato ai sistemi o ai dati sensibili. Pertanto, aggiornare i sistemi è una componente critica della strategia di difesa informatica di qualsiasi azienda.
- Cybersecurity e Information Security non sono la stessa cosa: la cybersecurity si concentra sulla protezione delle infrastrutture digitali, mentre l'information security riguarda la protezione delle informazioni in tutte le loro forme, comprese quelle fisiche.
- Cybersecurity Specialist e IT Manager non sono la stessa persona: il Cybersecurity Specialist protegge dalle minacce informatiche, mentre l'IT Manager gestisce l'infrastruttura IT e le operazioni aziendali, bilanciando sicurezza ed efficienza. Per questo non possono essere la stessa persona, è come scambiare il medico con il veterinario.
- Minaccia, vulnerabilità e rischio non sono sinonimi: una minaccia è un potenziale evento dannoso, una vulnerabilità è una debolezza che può essere sfruttata, e il rischio è la probabilità che una minaccia sfrutti una vulnerabilità causando un impatto negativo. Comprendere queste differenze è fondamentale per sviluppare strategie di mitigazione efficaci.
- Non c'è bisogno di allarmarsi per i rischi nella supply chain: gli attacchi ai fornitori di terze parti possono introdurre vulnerabilità critiche nei sistemi aziendali. Ignorarli espone a rischi elevati, compromettendo sicurezza e integrità dei dati e delle operazioni.
Best practice per prevenire gli attacchi informatici
Per prevenire gli attacchi informatici e salvaguardare il proprio business, tutte le aziende devono adottare processi di prevenzione e difesa proattiva. Vediamo nel dettaglio le principali best practice per gestire al meglio il rischio cyber.
1. Strategia di Cybersecurity e Incident Response
Innanzitutto, elaborare una strategia di cybersecurity efficace è alla base per proteggersi dagli attacchi informatici. Un aspetto fondamentale di questa strategia è lo sviluppo di processi di sicurezza proattivi, che consentano di individuare potenziali vulnerabilità prima che possano essere sfruttate. Come si fa per il piano di emergenza ed evacuazione aziendale, è necessario disporre in anticipo di un piano di Incident Response dettagliato, che includa procedure per la rapida rilevazione degli incidenti, il loro contenimento, l'eliminazione delle minacce e il ripristino delle normali operazioni. Questi piani devono essere regolarmente testati e aggiornati per tenere conto delle nuove minacce e delle evoluzioni tecnologiche. Tutto questo processo è coordinato dalla figura del Security Advisor Manager (SAM).
2. Monitoraggio e risposta 24/7
L'adozione di sistemi di monitoraggio e risposta attivi, operativi 24/7, assicura una protezione continua e proattiva delle infrastrutture digitali. Questi sistemi combinano tecnologie avanzate di intelligenza artificiale e machine learning con l'esperienza di un team I-SOC sempre operativo per analizzare i flussi di dati in tempo reale, identificando anomalie indicative di attività malevole. La capacità di rispondere immediatamente consente di mitigare le minacce rapidamente, riducendo il tempo di esposizione e limitando i potenziali danni. L'efficacia di tali sistemi si basa sulla loro abilità di adattarsi dinamicamente a nuove tipologie di attacchi, grazie ad aggiornamenti costanti basati su threat intelligence.
3. Gestione del rischio con la Threat Intelligence
Non si può ritenere sicura un'infrastruttura senza monitorare costantemente le minacce emergenti nel Deep e Dark Web. La gestione del rischio informatico si avvale della cyber threat intelligence per anticipare e mitigare le minacce. La raccolta e l'analisi dei dati sulle minacce permettono alle organizzazioni di individuare potenziali vulnerabilità e adottare misure preventive. Integrare la threat intelligence nei processi decisionali strategici consente di sviluppare un approccio proattivo alla sicurezza, migliorando la capacità di risposta agli incidenti e ottimizzando l'allocazione delle risorse di sicurezza. Questo approccio sistemico alla gestione del rischio è cruciale per affrontare efficacemente il panorama delle minacce in continua evoluzione.
4. Procedure di Remediation e aggiornamento vulnerabilità
Le aziende devono implementare sistemi di Detection che identificano le vulnerabilità e le patch di sicurezza che le correggono. Bisogna considerare, però, che basarsi solo sui servizi di Detection non è sufficiente per difendersi dagli attacchi informatici. Il vero elemento critico nella gestione degli incidenti di sicurezza è la fase di Remediation: l'azione concreta per correggere le debolezze individuate durante la Detection. Questo processo comprende l'identificazione delle vulnerabilità sfruttate, l'applicazione di patch correttive e la revisione delle policy di sicurezza per prevenire future violazioni. L'approccio alla remediation, supportato da una catena del soccorso certificata, non solo mitiga gli effetti immediati di un attacco, ma contribuisce anche al miglioramento continuo del framework di sicurezza dell'organizzazione.
.jpg?width=1540&height=787&name=Infografica%20sito%20Cyberoo%20(5).jpg)
Fig. 4 - Processo di difesa dei servizi Managed Detection and Response
5. Creare una cultura della sicurezza
La creazione di una cultura della sicurezza (Security Awareness) all'interno di un'organizzazione è un processo complesso e di lungo termine, che richiede un impegno costante in termini di formazione e sensibilizzazione. La security awareness deve essere integrata in tutti i livelli aziendali, promuovendo una comprensione approfondita delle minacce informatiche e delle pratiche di sicurezza tra i dipendenti. Programmi di formazione regolari, simulazioni di attacchi e aggiornamenti sulle ultime tendenze di minaccia sono strumenti fondamentali per sviluppare una mentalità orientata alla sicurezza. Solo attraverso un cambiamento culturale radicato è possibile ottenere una difesa proattiva e resiliente contro le minacce informatiche.
Cyberoo e l’approccio proattivo
CYBEROO sottolinea l'importanza di un processo proattivo e olistico, che supera la semplice implementazione tecnologica, promuovendo l'outsourcing come elemento cruciale per una gestione efficace della sicurezza informatica. Attraverso il servizio MDR (Managed Detection & Response), offre un team I-SOC operativo 24/7, dedicato al monitoraggio continuo, all'analisi e alla risposta alle minacce, garantendo una protezione continua.
Questo processo integra avanzati meccanismi di Cyber Threat Intelligence con interventi tempestivi su eventuali anomalie, eliminando qualsiasi zona d'ombra nella difesa delle infrastrutture digitali. In tal modo, le aziende possono focalizzarsi sulle loro attività principali, mentre il team CYBEROO si occupa della loro protezione giorno e notte, tutto l'anno, utilizzando tecnologia all'avanguardia e competenze specialistiche.
Risorse
- Attacchi di ultima generazione richiedono strumenti all’altezza: ecco quali e come sceglierli
- Quanto ti costa un attacco informatico? Gioca d'anticipo grazie all'Intelligenza Artificiale
- Le strategie che tutelano l’azienda e garantiscono la business continuity
- Come l’MDR rivoluziona la gestione della sicurezza in azienda
- Incident response plan: come funziona il salvavita per gli attacchi andati a segno
Servizi correlati
- Cyber Security Suite - Suite completa di cybersecurity
- Cypeer (Managed Detection and Response) - Sicurezza interna
- CSI (Cyber Security Intelligence) - Sicurezza esterna
Sitografia
- “Cybersecurity”, Gartner Glossary
- "Rapporto Clusit ottobre 2024", Clusit
- “What Is Cybersecurity?”, Gartner, 2024
- “What Is the CIA Triad?”, Debbie Walkowski, F5 Labs, 2019
- "Cost of a Data Breach Report 2024", IBM
- "NIS", Agenzia per la cybersicurezza nazionale
- "The EU Artificial Intelligence Act", EU AI Act, 2024