Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ferrovie dello stato: chi è il colpevole dell’attacco informatico?

Massimiliano Brolli : 28 Marzo 2022 08:15

Autore: Massimiliano Brolli
Data Pubblicazione: 28/03/2022

Sembra brutto a dirlo, ma la sicurezza informatica è una materia altamente tecnica dove spesso solo i tecnici possono comprenderla a fondo.

Ma nello stesso tempo ci sono moltissime persone che criticano, infondono la verità dettata dal senso della “buona logica” e della “propria” conoscenza, senza mai essere state in prima linea o in trincea e averne assaporato l’odore della terra, della disfatta o della vittoria.

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Perché di guerra si tratta, dove le sorti di una battaglia vengono determinate dai soldati audaci.

    Questi ultimi, se guidati da buoni comandanti che erano a loro volta dei soldati, con una forte propensione alla “logica di squadra” e dal “buon esempio” possono fare la differenza e vincere qualsiasi battaglia.

    Il grande Bruce Schneier diversi anni fa disse:

    “Mi viene chiesto regolarmente cosa può fare l’utente medio di Internet per garantire la sua sicurezza. La mia prima risposta è di solito: Niente: sei fregato!”.

    E questo era riferito alla massa, nel periodo del DataGate, ma vista l’impennata e l’alta sofisticazione del crimine informatico di oggi, potrebbe essere esteso anche per le grandi organizzazioni.

    Violare una qualsiasi organizzazione oggi dipende unicamente da 3 fattori: motivazione, tempo e skill.

    Se un gruppo criminale è ben finanziato e ben motivato e ha forti competenze tecniche oltre che tempo, non avrai scampo. Nel raro caso le tue infrastrutture informatiche siano impenetrabili (cosa altamente improbabile), si procederà con l’ingegneria sociale e se anche questa strada risulterà poco percorribile, si procederà con un insider. Pertanto si colpirà in primo luogo il livello tecnologico per poi passare, se questo non basta, al livello più nevralgico e poco controllabile per sua natura, il livello umano.

    Quindi mettetevi tutti l’anima in pace. Il rischio zero non esiste e non esisterà mai e nel prossimo futuro tutti avranno la propria violazione sul giornale. Non c’è nulla da andarne fieri, ma se sei nel mirino del cybercrime o del gruppo APT di turno, non avrai scampo. Come disse Schneier “sei fregato”.

    L’unica cosa che puoi fare è non farti trovare impreparato alla sua gestione e dare sempre il massimo abbattendo costantemente il rischio, evitando di fare cose inutili, massimizzando l’effort a disposizione su cose concrete per limitare realmente l’avanzata della minaccia.

    Ma ritornando al titolo dell’articolo. Chi è il colpevole dietro l’attacco informatico alle Ferrovie dello Stato?

    Ancestralmente l’uomo è portato sempre a dover individuare un colpevole. Premesso che c’è sempre di meglio da fare rispetto a quello che si fa, e che le “lesson learned” sono d’obbligo dopo un incidente informatico di rilievo, andare alla ricerca per forza di una ingerenza del singolo potrebbe essere un paradosso e non portare l’azienda a focalizzare il punto di miglioramento fondamentale che ruota attorno alla sicurezza informatica: la collaborazione.

    Molti si sono chiesti come è stato possibile che un incidente tale sia successo proprio alle Ferrovie dello stato che investe costantemente sulla sicurezza informatica milioni di euro. Forse è stato il SOC che non ha saputo controllare? Forse è stato il comparto produzione che non ha saputo implementare una corretta sicurezza delle infrastrutture? Forse è stato il top management che non ha trovato i soldi per ridurre e controllare l’esposizione al rischio su internet? Forse è chi ha progettato i sistemi che non ha saputo realizzare una corretta protezione perimetrale? Le linee tecniche di cybersecurity? Di chi è la colpa? Vogliamo il colpevole!

    Probabilmente la colpa è di nessuno singolarmente. Ma di tutti quanti assieme.

    Una grande organizzazione ha migliaia di server, centinaia se non migliaia applicazioni, una superficie esposta enorme da controllare che ne aumenta la complessità di gestione, delle organizzazioni differenti con diversi management che hanno ruoli e scopi di business differenti, senza contare le lotte interne di potere.

    Dobbiamo inoltre considerare che più un’azienda è grande, più aumenta la sua complessità di esercizio, sia come infrastruttura, che soprattutto come processi che tendono all’estremo superiore della follia, sui quali agiscono una moltitudine di risorse umane con compiti differenti, dove la perdita del controllo spesso è dietro l’angolo. Questo accade in quanto nel tempo, nella lunga storia dell’organizzazione, si sono generati processi che vogliono rispondere a qualsiasi forma di domanda, spesso defocalizzando il flusso principale del processo e quindi, il reale problema da gestire.

    La cosa sulla quale occorre fare una riflessione oggi, è che sempre di più la sicurezza informatica è una responsabilità condivisa dove tutti devono remare nella giusta direzione per ottenere quel vantaggio strategico: la resilienza agli attacchi informatici.

    Infatti, basta che solo un ingranaggio del sistema si inceppi, perché non è ben oliato o deve essere sostituito, che tutto il meccanismo irrimediabilmente si blocca e questo, come abbiamo visto prima, risulta ancora più complesso da controllare nelle grandi organizzazioni, soprattutto in quelle nate da tempo che hanno una lunga storia alle loro spalle, sia di carattere tecnologico che di risorse umane, come è il caso delle Ferrovie dello Stato.

    Quindi il punto di miglioramento è la collaborazione e questa deve essere sempre incentivata nella sicurezza informatica di oggi e non badare solo al punto di vista tecnologico.

    Senza collaborazione tra le varie organizzazioni, senza la collaborazione soprattutto degli esercizi e delle linee di progettazione, nessuna linea di sicurezza informatica aziendale potrà assolvere al proprio compito.

    Quindi, il tempo ce lo dirà, ma con buona probabilità non ci sarà una sola responsabilità nell’incidente informatico del gruppo Ferrovie dello stato.

    Solo quando tutti riterranno la sicurezza informatica un fattore “abilitante” del proprio business, quando tutti faranno il massimo per essere resilienti al rischio informatico, quando tutti combatteranno in prima linea la propria guerra, si potrà competere sullo stesso livello con i criminali informatici.

    Prima di allora, purtroppo, “saremo fottuti”.

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
    Visita il sito web dell'autore