Il pericolo corre in internet

08/02/2008 09:00

La sicurezza informatica è ancora sottovalutata, gli utenti sono fiduciosi, mentre cambia la mappa del cyber-crimine

Le aziende italiane spesso non attribuiscono al tema della sicurezza informatica la giusta rilevanza. Lo afferma  l’Osservatorio Infomation Security Management, creato dalla School of Management del Politecnico di Milano e dal Cefriel, in collaborazione con Reed Exhibitions Italia, presentando la sua prima ricerca sul tema nel corso di un convegno. Lo studio è basato su un’analisi empirica consistente in oltre 30 casi di studio di grandi imprese operanti in diversi settori, cui ha fatto seguito una survey inviata a un campione di oltre 300 Chief Information Officer (Cio). “Nonostante il tema dell’Information Security sia da anni al centro di un ampio dibattito a livello nazionale e internazionale - ha commentato Paolo Maccarrone, responsabile scientifico dell’Osservatorio Information Security Management -, a esso spesso non viene ancora attribuita la giusta rilevanza all’interno delle imprese, anche perché in molti casi viene vissuto come un problema esclusivamente tecnico, sottovalutando i risvolti strategici e la pervasività dell’Ict”.

Per quanto riguarda  il processo che porta all’elaborazione del piano strategico dell’Ict Security, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell’impresa. Spesso vengono coinvolti appositi comitati di sicurezza. Solo una minoranza delle imprese analizzate ha dichiarato di elaborare un piano con orizzonte pluriennale. E’ più frequente l’elaborazione di un piano annuale, eccezion fatta per le “grandi” decisioni di investimento, che sono normalmente gestite ricorrendo a task force o comitati ad hoc. Anche le metodologie di analisi latitano: il ricorso alla risk analysis in molti casi non è ancora sistematico e spesso non rappresenta il punto di partenza per l’individuazione delle iniziative da inserire nel piano.

La ricerca rivela che esiste “un certo scollamento tra le analisi svolte in quest’ambito e quelle condotte per valutare il profilo di rischio complessivo dell’impresa (tipiche dell’unità risk management), scollamento che, oltre a confermare la scarsa integrazione tra l’Ict Security e la strategia complessiva dell’impresa, appare ancor più critico alla luce dei recenti accordi di Basilea2”. Inoltre, il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici e nell’obbligatorietà dell’investimento che rende non necessaria, almeno apparentemente, tale analisi. Secondo lo studio questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell’Ict Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management. Poco diffusi anche gli strumenti di controllo strategico.

“Il quadro di sintesi che emerge dall’analisi condotta - evidenzia Luca Marzegalli, anch’egli responsabile scientifico dell’Osservatorio - vede quindi le (grandi) imprese dei settori finance e telco, da sempre attente ai rischi potenziali insiti nell’utilizzo delle tecnologie Ict, ancora in una posizione di leadership, sia per ciò che concerne il dimensionamento delle risorse dedicate all’Ict Security, che per qualità dei sistemi di gestione, anche se in alcune aree sussistono ancora ampi margini di miglioramento. Meno positiva, seppur con qualche significativa eccezione, appare la situazione negli altri settori, in cui l’importanza strategica dell’Ict Security, e i rischi connessi all’adozione di sistemi di gestione non adeguati non sembrano essere stati ancora pienamente compresi”.

Nell’ambito dell’analisi è stato anche verificato con le aziende quali fossero le priorità strategiche e le aree di investimento previste per il prossimo futuro. Anche in questo caso i risultati risentono, almeno parzialmente, di fattori specifici del settore, che a loro volta sono legati al diverso livello di maturità raggiunto dai sistemi di gestione dell’Ict Security. L’attenzione delle imprese, spiega la ricerca, “sembra concentrarsi sulle problematiche di Identity Access Management, di Business Continuity e al Disaster Recovery, nonché sulle soluzioni tecnico-organizzative finalizzate a più efficace monitoraggio degli eventi di security”.

Gli esperti dei Laboratori di Ricerca F-Secure hanno tracciato un profilo aggiornato dell’evoluzione del cybercrimine dal 1986 ai nostri giorni. Attualmente la maggior parte dei cyber criminali opera in Russia, Cina e Sud America. Secondo le previsioni degli esperti di sicurezza di F- Secure, nei prossimi cinque anni ci sarà un incremento degli attacchi provenienti dall’America Centrale, India, Cina e Africa con  uno spostamento da Europa e Nord America verso i mercati emergenti.

Nel periodo 1986-2003 gli hacker operavano principalmente da Europa, Stati Uniti, Australia e India ed erano soprattutto persone che cercavano di mettere alla prova la loro abilità. Nel periodo successivo gli attacchi mirati e professionali prendono il posto di quelli di massa e l’hacker si trasforma in un vero e proprio cybercriminale. Gli attacchi provengono soprattutto dai Paesi dell’Ex Unione Sovietica (Russia, Bielorussia, Ucraina, Kazakistan, Lituania, Lettonia), ma anche da Brasile e Cina. Il futuro vede nuovi gruppi di cybercriminali in Messico e Africa.  Il crimine informatico diventa sempre più sofisticato e basato su attacchi mirati.

Secondo F-Secure questo è “il risultato di un allineamento tra la penetrazione della banda larga e fattori socio-economici, come lo sviluppo di alcuni Paesi emergenti e la concomitante mancanza di opportunità d’impiego nell’It”. Per Mikko Hypponen, direttore dei laboratori di ricerca di F-Secure, la creazione di ‘centri del malware’ è favorita da cause socio-economiche, in modo particolare dalla carenza di opportunità di lavoro. “Negli ultimi cinque anni la crescita di internet nei mercati emergenti è stata sorprendente. Ad esempio, il Brasile ha raggiunto i due milioni di utenti internet e dal 2003 il cyber crimine è decollato, così come in Cina e nei Paesi dell’area sovietica”. Hypponen prevede inoltre che  “il trend continuerà e si diffonderà ad esempio in Africa, India e America Centrale. Questo perché molte persone stanno sviluppando competenze nell’utilizzo del computer e di internet, ma hanno poche possibilità di trarne profitto attraverso vie legali”.

Gli utenti internet sono ancora ingenui per quanto riguarda l’utilizzo e la sicurezza di internet. Lo afferma il sondaggio annuale del colosso informatico Cisco Systems. Per la maggior parte degli internauti del mondo internet è “più sicuro”. Fanno eccezione i più sospettosi italiani, tedeschi e giapponesi. Su mille navigatori intervistati in dieci paesi, il 56% ha dichiarato che nel 2007 la rete è stata “più sicura”, l’8% in più rispetto all’anno prima. I più fiduciosi sono i francesi (72%) e i brasiliani (71%), seguiti dai cinesi (64%) e dagli statunitensi (60%). Per il 57% dei tedeschi, il 4% in più rispetto al 2006, internet è “meno sicuro”. Seguono gli italiani con il 54% (+17%) e i giapponesi con il 58%. “La maggiore fiducia nel web è ingiustificata - sostiene il rapporto - nel 2007 le segnalazioni di virus sono aumentate del 253% rispetto all’anno precedente”.