La NIS2 applicata con esempi pratici – Parte 2

Matteo Brandi : 26 Novembre 2024 07:15

A cura di Manuel Roccon e Matteo Brandi.

Di nuovo Lei (la maiuscola è dovuta), la NIS2.Se nella prima parte ti abbiamo emozionato…in questa ti stupiremo! Continuiamo ad analizzare la NIS2 e le misure efficaci di cybersicurezza…

Ti sei perso la prima parte? Eccola Qui.

Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza

Tutto bello fin qui, ma come valutare se quanto messo in campo è effettivamente efficace? C’è un libro che si intitola “sorvegliare e punire”. Non vogliamo essere così drastici. Per noi va bene un “controllare e testare”. 

Principalmente sono 2 le cose da fare: Audit e Test. Gli audit principalmente per il controllo di (attenzione lista non esaustiva):

1. policy di utilizzo dei dispositivi aziendali
2. verifica della presenza di una politica BYOD (che usi il tuo dispositivo personale di lavoro)
3. presenza e qualità del Disaster Recovery Plan e Responce Plan
4. sistema di backup 
5. policy per l’utilizzo degli account aziendali (per caso usi il tuo account aziendali per iscriverti a piattaforme per uso personale?!?!)
6. policy per la creazione ed il salvataggio delle password
7. stato di aggiornamento dei sistemi
8. qualità della formazione del personale 
9. modalità di utilizzo della messaggistica istantanea
10. policy per la comunicazione di informazioni aziendali a soggetti terzi

Per quanto riguarda i test parliamo di Vulnerability Assessment che realizzano scansioni della rete e dei sistemi alla ricerca di vulnerabilità fino ai mitici Penetration Test, un vero tentativo di intrusione informatica, ma volendo anche fisica. Un tempo qualcuno disse che “nessun piano sopravvive alla battaglia”. Non vogliamo essere così pessimisti ma finchè non testi seriamente le tue difese, queste rimarranno perfette, ma solo sulla carta.

Pratiche di igiene informatica di base e formazione in materia di cibersicurezza

Partiamo dalle basi…come esiste l’igiene che è un vero toccasana per il nostro corpo, esiste anche l’igiene informatica. Altrettanto un toccasana. Si può dividere in tre grandi settori: quello dell’igiene personale, dell’igiene casalingo (magari si lavora da casa) e dell’igiene aziendale.

Partiamo da quello personale:

Password che non siano “password123”: qui bisogna sforzarsi un po’. Basta password facili da indovinare. Anche se credi di essere furbo sostituendo la “a” con il “4” o la “i” con l'”1″, sappi che i criminali informatici non cascano in questi trucchetti. Una password di 16 caratteri o più rende la vita molto più difficile a chi tenta di decifrarla, si va ben oltre i 100 anni (almeno con i mezzi di oggi, per il quantum poi vediamo).  Esistono software appositi per conservare le password in modalità sicura ma, prima di utilizzare una password del tipo “sellallero” perchè la ricordi bene, piuttosto scrivile su carta ma se lo fai, fallo bene, niente post-it sullo schermo! Conservale in un posto sicuro e perchè no, cifrale con un semplice cifrario a sostituzione contro chi da una semplice sbirciatina fugace quando passa. Comunque sempre occhio alle spalle.. Come deve essere allora questa password??

• almeno 16 caratteri con lettere maiuscole e caratteri speciali
• unica per il servizio
• mai stata usata
• conservata in modo sicuro
• stai attento ad eventuali allarmi inviati dal gestore del servizio sugli accessi anomali

Autenticazione a più fattori: L’autenticazione a più fattori (MFA) è noiosa, sì, ma incredibilmente efficace. Aggiungere un ulteriore livello di sicurezza è fondamentale per tenere lontani i criminali informatici. Ma attenzione: fai sempre logout dai servizi online. Lasciare la sessione aperta è come lasciare la chiave di casa sotto lo zerbino. Se qualcuno ruba il tuo cookie di sessione, può bypassare completamente l’MFA e accedere ai tuoi account come se niente fosse.

Aggiornamenti? Sì, grazie!: Ignorarli è come lasciare il forno acceso mentre esci. Non rischiare di far danni! Ma sii sempre pronto per un rollback…

Attenzione alle email: Non cliccare su link sospetti! È come aprire la porta a uno sconosciuto che ti offre caramelle. Fai attenzione, perché le caramelle potrebbero nascondere un virus! (immagine trita lo sappiamo, però sempre incredibilmente efficace).

Fai il logout dalle applicazioni web: il tuo home banking lo farà per normativa, ma altre applicazioni no. Aprire un social network sul web e trovarsi già dentro è comodissimo ma pericoloso. Il cookie di sessione potrebbe essere rubato e bye bye autenticazione a due fattori. Fatti un favore: fai il logout.

Social Network: qual è l’ultima che hai controllato le impostazioni di privacy dei tuoi social network? Magari pensavi che quella foto la potessero vedere solo i tuoi contatti o amici ed invece la vedono tutti. A volte può essere l’inizio di un disastro. Se le impostazioni di privacy sono ok…sicuro di postare quella foto? Sicuro di voler divulgare quelle informazioni? Ricorda che qualcuno potrebbe fare OSINT (Open Source INTelligence) e tu non puoi saperlo. Basta mettere quella foto su Google e conoscere con buona approssimazione dove sei stato. 

WiFi pubblici…mmh…anche no: oggi abbiamo bundle di Giga che avanzano sul telefono, devi proprio collegarti a quel WiFi pubblico? Non puoi sapere chi c’è su quella rete che sta osservando…

Le App sul telefono, se non le usi, toglile: occupano spazio (poi si dice che nel telefono i Giga di memoria non bastano mai) e non vengono aggiornate. Sono un rischio inutile, cancellale.

Non hai un hai un EDR sul PC…ma hai sempre un firewall: nessuno ti ha installato un sistema di Endpoint Detection and Response, ma tutti i sistemi operativi hanno un firewall. Chiudi tutte le connessioni sia in ingresso che in uscita e poi crea le regole solo per i software che usi, nel caso entri un malware, almeno che non sia così sofisticato da annullare queste regole (o tu stia usando l’utente amministratore), non riuscirà a rubarti i dati.

Se magari lavori da casa, non tenere la polvere sotto il tappeto!

Cambia il nome del WiFi: il nome del wifi spesso porta il nome della compagnia telefonica, sapendo quello si può indovinare la marca del modem che hai perchè le compagnie forniscono quello a tutti. Consiglio da Pro: dopo che hai settato il WiFi in tutti i dispositivi, attiva l’opzione che nasconde il nome. Nessuno saprà che esiste.

Attiva il firewall del router: gli apparecchi forniti dagli internet service provider un minimo di firewall lo hanno. Meglio che niente…

Rete WiFi Guest attiva: viene tuo cugino (si nomina così spesso che anche qui ci va) e ti chiede di connettersi al WiFi di casa. Gli dici di no? Ma come è la sua igiene informatica? Non è che potrebbe portare qualche pestilenza? Attiva la rete Guest (ospiti) che è una rete separata dalla tua, così sarai al sicuro e mai scortese.

Segmenta la rete: se lavori da casa, avrai un PC dedicato al lavoro e vorresti connetterlo nella stessa rete dove c’è la console o il PC dei tuoi figli? Certo che no…Con una spesa di 30 euro circa ed un minimo di sbatti, puoi acquistare uno switch gestito e fare un sezione di rete isolata dedicata esclusivamente alla macchina aziendale.

In azienda invece, per la NIS2 quali misure efficaci di cybersicurezza nella prassi di igiene?

Privilegio Minimo: non è per scarsa fiducia nei dipendenti, ma se un account viene compromesso ed ha i privilegi minimi indispensabili per lavorare..il danno sarà contenuto. Avere utenti con privilegi eccessivi rispetto alle mansioni svolte è solo un rischio inutile. 

Segmentazione della rete: hai presente un castello medioevale? Perché pensi che abbia più cinte murarie e più porte? Erano poco intelligenti? No, erano previdenti. Oppure pensa ad un nave con le camere stagne. Compatibilmente con le necessità del business, avere una rete divisa in segmenti non comunicanti permette di ridurre il danno in caso di intromissione.

Firewall di rete: “ogni dì voglio sapere chi viene e chi va” diceva la canzone. E aveva ragione. Non avere un filtro all’ingresso della propria rete è veramente una pessima idea. 

Monitoraggio della sicurezza: un SIEM (Security Information and Event Management) è il minimo sindacale. Un software che collezioni ed analizzi i log e gli eventi in modo da allertare in caso di anomalie. 

Patching: mantenere i sistemi aggiornati. Un minimo di rischio c’è quando si aggiorna (ma qui dovrebbe intervenire la business continuity), ma subire un furto di dati perché i sistemi sono obsoleti, è decisamente peggio.

Raccogli i log e…controllali: i log andrebbero raccolti in macchine dedicate, molto sorvegliate (perchè se il criminale li trova e te li cancella, non saprai mai come ha fatto) ma soprattutto andrebbero controllati. Per questo sono molto utili software come i SIEM (ne esistono anche di gratuiti) sono molto utili: consentono di raccogliere ed analizzare i log con un minimo sforzo.

Niente dispositivi  personali: quella di mischiare i dati aziendali consentendo l’uso di dispositivi personali è veramente una pessima prassi. Veramente pessima. Sul dispositivo personale non puoi mettere le mani e non sai come è gestito. Fornisci quanto serve per lavorare e configurali in maniera opportuna. 

WiFi per i clienti…usa la rete Guest: un cliente a cui non puoi dire di no ti chiede una connessione? Non c’è bisogno di essere scortesi, c’è la connessione WiFi Guest che è separata dalla tua rete.

Non utilizzare l’account amministratore sui PC: per il lavoro quotidiano evita di utilizzare l’account amministratore. Un eventuale malware che riuscisse a penetrare le tue difese, si troverebbe ad avere i pieni poteri sulla macchina. Crea un ulteriore utente senza questi diritti ed utilizza quello.

Blocco del PC quando lasci la scrivania: durante il lavoro, è salutare alzarsi ogni tanto per sgranchirsi le gambe, ma bisogna bloccare il PC per evitare che altri in nostra assenza possano metterci le mani

Scrivania pulita: si intende senza documenti…lasciare documenti sparsi per la scrivania non è affatto una buona pratica. Non sai mai chi potrebbe leggere. Quando hai finito di usarli, riponili e non lasciarli in giro.

Formazione del personale: la maggior parte delle volte gli incidenti avvengono per errori umani. Forma il tuo personale a riconoscere le minacce. La sicurezza ne gioverà.

Politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura

In azienda , usare la crittografia non è più solo un “consiglio” di quelli particolarmente fissati con la sicurezza: oggi diventa  un requisito di legge. La direttiva europea NIS2 con le sue misure efficaci di cybersicurezza nel comma h dell’art.21, impone di usare la crittografia per proteggere i dati aziendali. Ma cosa significa questo nella pratica? Spoiler: non basta impostare la password del WiFi e sperare per il meglio. Che si tratti di messaggi scambiati sulle app, di database con informazioni sensibili o di documenti archiviati su un portatile, la crittografia può rappresentare l’unica barriera tra un criminale informatico e i tuoi dati. Vediamo le cose in pratica, come piace a noi.

Messaggistica Istantanea

In genere oggi la messaggistica istantanea gioca un ruolo centrale nelle comunicazioni aziendali e quando si dice messaggistica istantanea…dici WhatsApp. 

Ti senti al sicuro, vero? Tanto c’è la “cifratura end-to-end”. Quindi nessuno può leggere le tue chat, giusto? Immagina: sei distratto, ti strappano il telefono di mano mentre è sbloccato – voilà, tutte le tue chat a portata di chiunque. Vuoi un’altra scena? Una persona disperata ti chiede di fare una telefonata urgente, il suo cellulare è scarico. Glielo presti. La persona apre WhatsApp Web, fotografa il QR code con il tuo account e in pochi secondi ha accesso a tutte le tue conversazioni, direttamente sul suo dispositivo. Bye-bye sicurezza! Se vuoi non rendere la tua azienda un reality show dovresti attivare il blocco della app. Come? 

Impostazioni > Controllo della Privacy e qui troverai un utilissimo Tour guidato.

Se ti strapperanno il telefono di mano sbloccato, a meno che ti stia proprio usando Whatsapp (ma allora è sfiga nera)  o qualcuno ti chiederà la cortesia di utilizzare il telefono e non vuoi essere scortese,  per accedere alla app, ci sarà il blocco a salvare i tuoi dati. Ma puoi fare ancora di più: una funzionalità rilasciata a Maggio 2023, è il lucchetto della chat. Chat con dati particolarmente riservati possono essere protetti con una ulteriore password o dati biometrici. Per attivarla basta andare sulla chat e scorrere tra le opzioni. Di WhatsApp sai che devi fare il backup se non vuoi perdere i dati in caso di cambio telefono (eh no, non stanno sui server di Meta), ma c’è un enorme rischio che potrebbe vanificare tutto quello che hai fatto fino adesso: il backup deve essere crittografato! Come attivarlo dici?

1. vai su Impostazioni > Chat > Backup delle chat
2. tocca Backup crittografato end-to-end
3. tocca Attiva

quindi segui le indicazioni.

Check delle sessioni: il controllo paranoico è d’obbligo. Sai quanti dispositivi sono collegati al tuo account? Ci pensi mai? Mentre usi WhatsApp Web o Telegram da più dispositivi, qualcuno potrebbe star spiando ogni messaggio, senza che tu lo sappia. Dai un’occhiata alle sessioni attive nelle impostazioni di WhatsApp e Telegram. Controlla, elimina i dispositivi sospetti e dormi sonni tranquilli (forse). Se invece usi altri software di messaggistica, dovresti sincerarti che abbiano questi elementi di sicurezza oltre che avere una crittografia end-to-end.

Email

La posta elettronica è sicuramente lo strumento aziendale più usato, ma anche quello più abusato.

Due sono gli obiettivi principali che devi raggiungere: 

1. rendere il tuo server di invio della posta certificato
2. proteggere le tue email sul server con la cifratura

Certifica il tuo server di invio 

Certificare il proprio server di invio della posta elettronica, previene le truffe che possono sfruttare gli indirizzi email aziendali. Un veloce ripasso delle principali tecniche per portare a termine una truffa via email:

• Typosquatting: cambiare una sola lettera nel dominio.
• Omografismi: sostituire una lettera del dominio con un’altra molto simile all’originale graficamente, ma appartenente ad un altro alfabeto, rendendo molto difficile notare la differenza.

Un’email che sembra provenire dal CEO o da un fornitore fidato potrebbe chiederti di pagare una fattura urgente o di trasferire fondi verso un nuovo conto bancario. Per certificare il proprio server è necessario il trittico della salvezza:

1. SPF (Sender Policy Framework): il server che invia le email a nome del dominio della tua azienda è autorizzato a farlo
2. DKIM (DomainKeys Identified Mail): conferma che non sono stati fatti cambiamenti nel contenuto o nelle informazioni del mittente mentre il messaggio era in transito grazie alla firma del server
3. DMARC (Domain-based Message Authentication, Reporting and Conformance): contrasta le mail contraffatte avvisando i destinatari di queste attività fraudolente

se ne vuoi sapere di più su SPF, DKIM e DMARC, c’è l’articolo di Manuel Qui. Se vuoi saperne di più sulle truffe che utilizzano la posta elettronica aziendale, c’è l’articolo di Matteo Qui.

Proteggi il contenuto della posta sul server

Sai cosa succede alla tua email quando la invii? Di solito finisce su un server di posta come Dovecot o Postfix, che – attenzione, attenzione – in genere non salvano in formato criptato. Risultato: i tuoi dati sono come un libro aperto. Ecco due dritte per tappare questa falla:

1. Dovecot: usa mail-encrypt-plugin per crittografare i messaggi direttamente sul server
2. Per Postfix: attiva il TLS e aggiungi plugin di crittografia 

così nessuno può fare sbirciatine (a meno che non ti rubino proprio le credenziali della posta elettronica…ma non avevi messo l’autenticazione a più fattori?!?).

Hai scelto un provider per gestire le email? Meglio chiedere subito se sono conservate in modo cifrato sul server e che tipo di crittografia usano, perché se non lo sono, un dipendente infedele del provider o un criminale informatico che riuscisse ad entrare, potrebbe farsi un “cinemino” con le tue informazioni riservate. Chiedi se tengono tutto criptato e quali accessi sono concessi ai dipendenti, altrimenti… Ma puoi andare anche oltre.

Certifica ogni account email con le chiavi pubblica e privata o S/MIME

Vuoi certificare l’identità di ciascun account di posta aziendale? Due modi per farlo:

• acquistare certificati S/MIME (quindi a pagamento)
• implementare una coppia di chiavi pubblica e privata (con un minimo “sbatti” ma gratuito)

Sul primo modo…ci sono molti fornitori e ciascuno ha le istruzioni per renderli operativi dopo l’acquisto. Sul secondo, i software client di posta Open Source come Thunderbird, offrono queste funzionalità con qualche passaggio. Grazie a questa coppia di chiavi, che saranno sotto la responsabilità di ogni singolo utente, ogni account email potrà sia firmare che cifrare il contenuto delle email inviate.

Archiviazione dei dati e crittografia: due parole, una missione

Dati archiviati e password, devono essere crittografati. Se un dispositivo viene perso o rubato, la crittografia è l’unico scudo tra i tuoi dati e un criminale informatico. Se un database subisce un breach, un archivio cifrato garantisce che i dati non possano essere utilizzati. Per password e credenziali, utilizza un gestore che implementi la crittografia AES-256, il massimo in termini di sicurezza. 

Per i dati nei database aziendali? Anche qui, cifra i dati con un algoritmo noto e pubblico come AES con chiave a 256 bit. 

Documenti su PC portatili? Se vuoi cifrare tutto il disco con la politica “nel più ci sta il meno” per Windows versione enterprise c’è BitLocker mentre per MacOS c’è FileVault. Ricorda che la tua macchina potrebbe risentirne nelle prestazioni ed i ripristini del sistema operativo sono un po’ più macchinosi.

Per cifrare solo le cartelle necessarie, quelle dove si trovano i dati più sensibili e da difendere e mantenere la tua macchina scattante, ci sono soluzioni per tutti i sistemi (distro Linux comprese!) come VeraCrypt o Cryptomator. Scomodi da utilizzare? Non più di un casco da moto. Metteresti in discussione l’uso del casco per la moto perché scomodo? Quindi…

Virtual Machine e crittografia: un abbinamento necessario

Quasi tutte le organizzazioni utilizzano sistemi di virtualizzazione per ottimizzare la computazione sui sistemi. Di recente sono anche uscite delle CVE nei visualizzatori che permettono agli aggressori di eseguire del codice remoto e comprometterle. Da lì è un attimo recuperare i dischi virtuali delle macchine e i dati al loro interno. La crittografia quindi non può mancare.

Password Manager

Salviamo le credenziali su file excel, notepad o quant’altro? Come i famosi post it, è la cosa più sbagliata che ci sia. Un eventuale compromissione dei dati di un dispositivo potrebbe portare ad un’ulteriore escalation e possibili movimenti laterali su altri sistemi nel caso password e accessi vengano sottratti in chiaro. Meglio optare per un password manager dove i dati contenuti al suo interno siano cifrati.

Dati nel cloud? Mettili sotto chiave con la crittografia

Non è che perché sono nel cloud, tutto va bene! A meno che il tuo fornitore ti dia solide garanzie sul fatto che i dati sono cifrati e solo tu possiedi la chiave, dovresti salvarli in forma cifrata con soluzioni come Cryptomator prima di trasferirli tra le nuvole (nel cloud si intende). La sicurezza ringrazia.

Devi collegare i sistemi informativi di più sedi? Usa una VPN!

Per un criminale informatico, avere più sedi connesse senza protezione è come trovare un buffet gratuito. Ogni sede diventa un possibile punto d’ingresso, una breccia aperta per accedere al cuore della tua azienda. Con la VPN, però, metti un bel lucchetto digitale tra lui e i tuoi dati, crittografando tutto. Anche se uno di questi dovesse “sentire” qualcosa, si troverebbe davanti solo numeri incomprensibili. Risultato? Tenta altrove. Quindi, se hai più sedi e vuoi evitare disastri, la VPN non è una scelta: è l’unico scudo tra te e chi vuole i tuoi dati. Non tutte le VPN sono uguali, però. Deve essere sicura e robusta. Puntare su una VPN aziendale con crittografia avanzata (OpenVPN o IPsec) e autenticazione a due fattori, è la scelta più saggia.

Kerberos? RC4 non basta.

In azienda usi il protocollo di autenticazione kerberos? Devi passare all’algoritmo di cifratura AES, RC4 ormai è troppo debole.

Backup

Un esempio scontato è la cifratura dei backup. Questo per 2 motivi. Il primo è fisico: facciamo backup su dispositivo rimovibile? Bene, ma se qualunque persona riuscisse a venire in possesso di questo backup potrebbe in un solo colpo ripristinare tutta l’infrastruttura.

Cyber: Il backup è sempre stato un asset ghiotto per i criminali informatici, sia per l’obiettivo di cifrarlo sia per esfiltrazione dei dati. Esportare un backup di un solo file è molto più rapido che esfiltrare milioni di file in un colpo solo.

Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi

I membri dell’organo di gestione e tutti i dipendenti e collaboratori devono obbligatoriamente frequentare corsi cybersecurity e corsi di sicurezza informatica periodici al fine di acquisire conoscenze e competenze specifiche per l’individuazione del rischio informatico, per la gestione della cybersicurezza e per la valutazione di impatto sui prodotti e servizi aziendali offerti. Senza l’adeguata formazione è impossibile combattere e mitigare le minacce informatiche, questo è rivolto sia alle figure tecniche che si occupano di IT sia ai dipendenti bersagliati dalle continue mail di spam. Parliamo di corsi su come riconoscere le minacce, non diventare esperti in cybersecurity, altrimenti noi qui che ci stiamo a fare?

Da cosa ci dobbiamo difendere? I reparti tecnologici devono obbligatoriamente conoscere le principali minacce informatiche che potrebbero colpirli  in modo da adottare le corrette misure tecnologiche e di processo.  Non essere aggiornati sulle minacce esistenti e come operano, limitandosi ad installare i soliti sistemi di sicurezza, non è sufficiente.

I dipendenti devono essere formati sia per capirle, con i classici corsi di awareness, sia per contrastarle tramite esercitazioni/simulazioni, con l’obiettivo di far riconoscere i segnali per cui una minaccia potrebbe coinvolgerli. Questi ultimi sono molto importanti: permettono di affinare i giusti “riflessi” per cui un dipendente non finisca nella trappola, in particolare nelle situazioni di stress. Le simulazioni inoltre, offrono una duplice funzione. Oltre a formare e mantenere alta l’attenzione sulle email, forniscono a che le fa dei feedback globali su dove l’organizzazione è più debole, così da intraprendere delle remediation mirate.

Segnalare Segnalare Segnalare

Un altro punto è istruire i dipendenti a segnalare. Sappiamo che i dispositivi tecnologici non sono infallibili e le poche email che passano possono essere micidiali, senza tale segnalazioni i reparti IT sono ciechi e potrebbero prendere azioni di mitigazioni troppo in ritardo.

Uso di soluzioni di autenticazione a più fattori o di autenticazione continua

Continuiamo con la NIS2 e le misure efficaci di cybersicurezza. L’autenticazione a due fattori è ormai un must. Il sistema di accesso con password che utilizziamo oggi non è cambiato da quando fu inventato nel 1968 dall’ingegnere del MIT Fernando Corbatò. Quando le credenziali vengono violate e finiscono nei famosi leak site, questa autenticazione doppia permette di non far evolvere ulteriormente attacco informatico. Una mail a cui non diamo abbastanza importanza, con all’interno un documento. Lo apri e non c’è niente di speciale. Ma in questo attimo un infostealer all’interno ha già completato il proprio lavoro, quello di averti sottratto tutti gli accessi che sono presenti nel tuo dispositivo, come nel portachiavi di ogni browser.

In questo caso sei ancora ignaro del possibile effetto, ma in tutti gli account hai inserito MFA (grande!). Per cui l’ aggressore non riuscirà ad accedere ai tuoi profili social, personali o di lavoro limitando enormemente il danno. Potrebbero arrivarti anche segnalazioni di richiesta MFA che ti faranno insospettire.

Un esempio? quello successo di recente ad un noto rivenditore online : l’aggressore è riuscito dalle credenziali rilevate ad infiltrarsi nell’account del sito di recensioni impossessandosi della pagina e li ha inserito vario contenuto, impattando sulla reputazione del brand.

Pensiamo invece ad accessi in mano a fornitori: dopo averli recuperati, gli attaccanti, cominceranno a muoversi verso i fornitori stessi compromettendoli a loro volta. Qual’è il problema che abbiamo con le password anche se sono protette da MFA? Il fatto di averne tante e magari averle già utilizzate. Ora il passo successivo è il IAM.

IAM

L’autenticazione continua avviene ogni volta che un utente accede a una nuova applicazione o risorsa, al contrario dell’autenticazione binaria che fornisce una decisione unica “sì/no” valida per un unico accesso a una sola applicazione.

Sicurezza IAM e Zero Trust

IAM è una base fondamentale per la creazione di un’architettura Zero Trust. In breve, Zero Trust, è un modello di sicurezza che sostiene una rigorosa gestione delle identità e presuppone che ogni connessione, dispositivo e utente rappresenti una potenziale minaccia. Ciò è in contrasto con i modelli di sicurezza tradizionali, che si basano sulla fiducia implicita. Esistono tre principi fondamentali per la sicurezza Zero Trust:

1. Autenticazione continua: le organizzazioni devono garantire un accesso sicuro in base a numerosi fattori di rischio, che vengono continuamente controllati durante una determinata sessione. In altre parole, devono verificare le entità in base a identità, posizione, dispositivo, servizio e così via.
2. Limita il raggio dell’esplosione: i team devono sempre presumere che si verificherà una violazione dei dati e massimizzare la visibilità sull’attività degli utenti e sul traffico di rete, individuando così anomalie e minacce.
3. Accesso secondo il privilegio minimo: le entità dovrebbero avere solo il permesso necessario per svolgere il proprio ruolo o la propria funzione. Ad esempio, i dipendenti non dovrebbero essere in grado di accedere a database sensibili se non riguardano le loro responsabilità lavorative.

Uso di comunicazioni vocali, video e testuali protette

Una sola parola: crittografia. Per proteggere le proprie comunicazioni serve una cifratura robusta. That’s it. Quando si usano sistemi di terzi, per esempio nella messaggistica o nelle videochiamate ma anche nella posta elettronica, la forma più sicura è la crittografia end-to-end dove la chiave crittografica è nei dispositivi e non in mano al fornitore del servizio. Verifica che i servizi che usi dichiarino di averla e sincerati che sia di default oppure di averla attivata. Nelle email, con i certificati S/MIME o la coppia di chiavi crittografiche, potrai ulteriormente cifrare i dati con una chiave che hai solo tu nei tuoi dispositivi e non risiede sul server, aumentando la sicurezza.

Uso di e di sistemi di comunicazione di emergenza protetti

Immagina: sei nel bel mezzo di un’emergenza e proprio allora scopri che le tue comunicazioni sono alla mercé di chiunque. L’art. 21 della NIS2 lo dice chiaramente: proteggi quei canali come se fossero oro puro. Se un criminale informatico può intercettare le tue comunicazioni d’emergenza, la tua sicurezza (e quella di molti altri) può andare a rotoli.

Qui un solo consiglio si staglia all’orizzonte: cambia canale! Se l’infrastruttura informatica è stata compromessa:

1. non usare telefoni voip
2. non usare email

quindi affidati ai telefoni fissi e cellulari ma se ritieni che anche questi (gli smartphone si intende) possano essere stati compromessi, comprane di nuovi e visto che esistono ancora , noi sceglieremmo quelli “vecchio stile” che telefonano e basta al grido di: “poca spesa tanta resa!”.Certo potresti usare esclusivamente le chat di messaggistica, ma se nel  telefono fosse presente un key logger? Prenderebbe tutti i tasti che digiti. Fa un po’ film? Ci sta, ma lo riteniamo efficace.

Conclusioni

Il viaggio nella NIS2 e le misure efficaci di cybersicurezza finisce qui. Il momento è giusto per revisionare i sistemi di sicurezza informatica in azienda se la tua ricade nel perimetro o sei fornitore di una azienda che vi ricade. Ma anche se non ci ricadesse, è un’ottima linea guida per rafforzare o creare da zero la propria cybersecurity. 

Ovviamente non è tutto, ci sono tutti gli aspetti legali, le iscrizioni ai portali, le tempistiche nel caso di incidente etc. etc. Abbiamo voluto dare una nostra interpretazione pratica di quello che secondo noi andrebbe fatto. Speriamo ti sia utile, la volontà è quella di aiutare. Dimenticavamo…cerchi un corso sull’argomento? Su RHC c’è, clicca Qui.