Cybersecurity services: un mercato in crescita trainato dall’outsourcing
Oggi, le aziende sono costantemente sotto attacco da parte dei cyber criminali, che seguono una precisa kill chain. Inizialmente, tentano di entrare all'interno del sistema sfruttando le vulnerabilità dell’azienda stessa. Poi, quando sono all’interno, attraverso una serie di movimenti laterali o di escalation, studiano il modo di trasformare l'attacco in incidente causando un danno. I sistemi di sicurezza di base, come l’antivirus o il firewall, sono sempre fondamentali, ma non sono più sufficienti per creare un valido sistema di protezione. Nel panorama attuale, servono sistemi molto più strutturati, capaci di identificare gli attacchi all'interno dell'infrastruttura aziendale.
Attualmente, il mercato della cyber security cresce a tassi importanti, di circa il 10% l’anno. I servizi più evoluti toccano cifre di crescita che arrivano anche a un CARG del 16-17%. Questo, nel 2021, ha portato il giro d’affari in Italia a superare 1,5 miliardi di euro. Crescono soprattutto i servizi di outsourcing, perché per proteggersi efficacemente serve un team di persone che monitori l’infrastruttura H24. Si tratta, però, di un’attività molto onerosa per un'organizzazione, assolutamente fuori budget rispetto al core business e, per questo, si cerca aiuto all’esterno. Tanto che Gartner afferma che addirittura il 50% delle midsize Enterprise nel mondo utilizzerà un servizio gestito per affrontare il tema della cybersecurity.
L’approccio democratico dei cyber criminali
Il cyber crime è molto “democratico”. Ha interessi trasversali in tutti i settori e in tutte le dimensioni aziendali: nessuno è esente dagli attacchi. Però, pur essendo di stampo criminale, l'azienda cyber crime si muove come tutte le organizzazioni, andando alla ricerca del profitto secondo una semplice logica: i benefici devono essere maggiori dei costi. Ai criminal hacker piacciono molto le aziende che non si proteggono. Perciò, indipendentemente dalla dimensione o dal settore, meno ci si protegge più è facile essere attaccati. La discriminante è, quindi, il livello di protezione: si è protetti fino al punto in cui al criminal hacker non conviene più attaccare.
Questo è un po’ il concetto di cyber resilienza. Gli attacchi sono continui, ma più si è resilienti meno per il criminal hacker è conveniente attaccare perché si riduce il rapporto benefici/costi.
La cyber resilienza non è, però, costante, varia nel tempo perché le aziende cambiano, si ristrutturano, aggiungono filiali, installano nuovi software o cambiano le persone. L'azienda è mutevole per definizione e quindi lo è anche la cyber resilienza. La sfida è riuscire a mantenere nel tempo una cyber resilienza sufficientemente strutturata per far sì che agli hacker non convenga attaccarla.
Il ruolo fondamentale della supply chain
La cyber security è un lavoro di squadra, perché un’azienda proteggendo sé stessa protegge anche la sua filiera in quanto ha meno probabilità di essere il vettore dell'attacco a un’altra organizzazione (eventualità che si verifica in tantissimi casi).
Va detto che sono molto utili in questo senso tutte le certificazioni tipo ISO 27.001. Per esempio, il mondo dell'automotive oggi lavora soprattutto per logiche di just in time, senza magazzino; quindi, se un’azienda della supply chain subisse un attacco ransomware si bloccherebbe tutta la filiera produttiva. Per questo, quello dell'automotive è stato uno dei primi settori ad adottare una certificazione di cybersecurity, la Tisax. È una sorta di ISO 27.001 specifica per il settore, che prevede il controllo dei fornitori da Tier uno a Tier quattro.
All’interno della catena di fornitura bisogna essere certificati, il che vuol dire avere una solida procedura di cybersecurity. È ovvio che la certificazione non deve essere presa solo per ottenere un certificato su carta stampata, ma se si sono fatte le cose per bene, si è stati obbligati a rivedere i processi nell'ottica della cybersecurity. Questo fa sì che il livello di tutta la filiera aumenti notevolmente.
A ogni settore il suo attacco
L'attacco principe rimane il ransomware. Secondo il World Economic Forum è aumentato a livello globale del 151% nel 2021. Tuttavia, ogni settore ha un po’ il suo attacco preferenziale. Al mondo della produzione arreca grandi danni il ransomware perché blocca tutto il processo produttivo. A chi lavora invece nei servizi - quindi tratta i dati delle persone - magari dati sensibili come nel mondo bancario o finanziario, fa importanti danni il data breach. Quindi possiamo dire che esistono due grandi macrocategorie di attacchi.
Per sferrare un attacco, poi, ci sono davvero tanti modi. Sicuramente le persone rimangono uno dei principali fattori scatenanti: cliccano il link sbagliato, perdono la password o non la cambiano sufficientemente spesso. Però, ci sono anche tanti attacchi che sfruttano le vulnerabilità dei sistemi o la supply chain. Più il sistema diventa complesso, più aumenta i suoi punti di vulnerabilità. Bisognerebbe che le aziende eseguissero dei risk assessment per conoscere le loro vulnerabilità e quindi poterle mitigare o, se non è possibile, almeno governare.
Rispetto al 2018 e 2019 vediamo crescere sempre più la consapevolezza nei confronti della cybersecurity. Quindi, se prima del 2018 si doveva subire un attacco per muoversi, oggi si tende ad agire in anticipo e diventa sempre più una questione di budget. Sarebbe bene che il governo intervenisse e, in effetti, un po’ con il PNRR (Piano Nazionale di Ripresa e Resilienza) lo sta facendo.
La nuova frontiera per la protezione, l’MDR
In termini di metodi di protezione, si va verso strumenti come l’MDR. Oggi, serve una tecnologia che controlli a 360° il perimetro logico dell'azienda e che siano disponibili H24 persone in grado di comprendere i pattern di attacco e offrire una remediation che mitighi il problema. Questo è l'indirizzo e l’MDR H24 è la risposta - così come il pronto soccorso è H24 e la polizia è H24. Non si scherza né con la salute, né con la protezione delle aziende. Tutto quello che non è H24 è una cyber security fatta a metà.