Perímetro de seguridad doméstica: las empresas se centran en infraestructura y capacitación

(Para Ing. Carlo Mauceli)
14/10/19

El reciente decreto ley sobre el perímetro de seguridad cibernética es el resultado de nuevas reflexiones sobre la evolución de la amenaza cibernética, el contexto tecnológico y el marco regulatorio nacional e internacional y el hecho de que está compuesto por diferentes actores, públicos y privados, representa en sí mismo Un elemento positivo. Incluso los criterios para identificar a los actores son un elemento a favor del decreto, ya que establecen que:

  • El sujeto ejerce una función esencial del Estado, es decir, garantiza un servicio esencial para el mantenimiento de actividades civiles, sociales o económicas fundamentales para los intereses del Estado;
  • El ejercicio de esta función o la provisión de este servicio depende de las redes, los sistemas de información y los servicios de TI, y cuya falla, interrupción, incluso uso parcial o inadecuado, puede resultar en un perjuicio para la seguridad nacional.

Por otro lado, todavía hay grandes dudas sobre el momento para definir quién será parte del perímetro, dado que en el DL su identificación se delega en un decreto posterior (dentro de 4 meses a partir de la entrada en vigor de la ley de conversión) del Presidente del Consejo (art. 1 párrafo 2 letra a). Dado que, por defecto, un decreto delegado se pospone a las disposiciones posteriores que deben emitirse varios meses no especificados después de la entrada en vigor de la ley de conversión del DL. Por lo tanto, sería importante que estos tiempos fueran realmente respetados.

Además, es un decreto fuertemente desequilibrado hacia dos elementos:

  1. Las redes de comunicación y el tema de 5G
  2. El CVCN que:
    • Absorbe la mitad de los recursos financieros ya escasos;
    • Se arriesga a convertirse en un cuello de botella y, sobre todo, no está claro cómo surge, desde el punto de vista de las evaluaciones hacia los proveedores de la nube. En particular, en el párrafo 7 el punto c se dice "Elaboración y adopción de esquemas de certificación cibernética, donde, por razones de seguridad nacional y en convenciones de la CISR técnica, los esquemas de certificación existentes no se consideran adecuados para los requisitos de protección del perímetro de seguridad cibernética nacional." ¿Qué significa eso? Que incluso si las soluciones, ya sean HW o SW, cumplen con los estándares internacionales, ¿deben pasar por la certificación y validación CVCN? Esto es motivo de preocupación porque supondría un endurecimiento adicional así como un alargamiento inconmensurable de los tiempos.

Si bien apreciamos el esfuerzo por definir una estructura organizacional significativa, no vamos a la raíz de los problemas que afectan a nuestro país y surgen de una pregunta muy específica "¿Cómo es que nuestro país se encuentra entre los primeros en el mundo en cuanto a ataques como nunca antes nuestras compañías sufren ataques con técnicas que no son necesariamente modernas pero capaces, sin embargo, de atacar por igual?"

Los datos del último informe de Clusit son despiadados. El estudio se basa en una muestra que en 31 Diciembre 2018 consiste en 8.417 Los ataques conocidos de gravedad particular, o que han tenido un impacto significativo para las víctimas en términos de pérdidas económicas, daños a la reputación, la difusión de datos confidenciales (personales o de otro tipo), o que en cualquier caso presagian escenarios particularmente preocupantes, ocurrieron en el mundo ( incluyendo, por lo tanto, Italia) a partir del 1 de enero 2011, de los cuales 1.552 en el 2018 (+ 77,8% en comparación con 2014, + 37,7% en comparación con 2017) e 5.614 registrado entre 2014 y 2018.

En general, en comparación con el 2017, la cantidad de ataques graves que hemos recopilado de fuentes públicas para el 2018 aumenta en 37,7%. En términos absolutos, en 2018 las categorías "Cibercrimen" y "Ciberespionaje" registran el mayor número de ataques de los últimos años de 8. De la muestra se desprende claramente que, con la exclusión de las actividades referibles a los ataques de la categoría "Hacktivismo" que todavía disminuye significativamente (-22,8%) en comparación con el 2017, en el 2018 hay cada vez más ataques serios con el propósito de "Ciberdelincuencia"(+ 43,8%), así como los relacionados con actividades de "Ciber Espionaje"(+ 57,4%). Cabe destacar que, en comparación con el pasado, hoy es más difícil distinguir claramente entre "Cyber ​​Espionage" y "Information Warfare": agregando los ataques de ambas categorías, en el 2018 hay un aumento en 35,6% en comparación con el año anterior (259 contra 191)

Por lo tanto, a la luz de todo esto, creemos que el decreto también debería cubrir las áreas de sufrimiento en nuestro país que resumiría en estos puntos:

  • Soluciones de mejora de seguridad basadas en soluciones basadas en la nube. Los ataques avanzados, selectivos y evasivos de otra naturaleza hacen que sea extremadamente difícil para las empresas prevenir eficazmente las infracciones informáticas:
  1. Los ciberdelincuentes usan ataques avanzados para eludir antivirus, IPS y firewalls de próxima generación y se esconden en las empresas durante meses (días 320 en promedio en 2015, cuando se notifica externamente)
  2. Más allá del 68% del malware es específico de una empresa y el 80% de ese malware se usa solo una vez, por lo que las defensas basadas en firmas no son efectivas contra ataques dirigidos
  3. Más allá del 80% de las alertas generadas por los sistemas de seguridad basados ​​en criterios y firmas no son confiables y restan recursos del análisis de informes críticos

La transformación actual del negocio de TI, que amplía la superficie de ataque de la compañía, hace que este desafío sea aún más complejo:

  1. Según 2020, las aplicaciones en la nube pública representarán más de dos tercios del gasto empresarial. Las operaciones basadas en la nube aumentan el 40% del tráfico corporativo de Internet (y las posibles amenazas) dentro y fuera. Todo este tráfico debe ser controlado
  2. Hoy en día, los dispositivos que no son de Windows admitidos por el 96% de las empresas generalmente no están bien protegidos
  3. La adopción de conexiones directas a Internet por 40% de las sucursales aumenta su exposición a ataques fuera de la alta protección de la oficina central

Para minimizar el riesgo de costosas infracciones de TI, las empresas de todos los tamaños deben protegerse eficazmente de los ataques. Lo que hay que hacer se puede resumir en estos cuatro puntos:

  1. Detectar y bloquear amenazas que los productos de seguridad tradicionales no detectan
  2. Responda rápidamente y contenga el impacto de los accidentes.
  3. Adaptarse constantemente a la evolución de las amenazas.
  4. Escale y permanezca flexible cuando la empresa crezca o cambie el modo de prestación de servicios de TI

Las tecnologías que pueden garantizar el nivel de seguridad requerido, desde un punto de vista lógico, no pueden basarse en arquitecturas locales de estilo antiguo, sino en sistemas de aprendizaje automático y algoritmos de inteligencia artificial y ya no se basan en firmas que inspeccionen objetos sospechosos para identificar amenazas específicas, evasivas y desconocidas.

  • Inversiones para capacitación. En el lejano 2015, el profesor Baldoni, escribió en el Libro Blanco de la Ciberseguridad lo siguiente: "Las figuras profesionales relacionadas con la seguridad tienen un mercado mundial y, a menudo, en Italia nos encontramos compitiendo con realidades que, por otro lado, ofrecen mejores condiciones salariales. El número de figuras profesionales relacionadas con la seguridad cibernética producidas por nuestras universidades todavía es demasiado bajo, también debido a los pocos maestros presentes en Italia en este sector específico. Esta es una de las causas que, de hecho, impide la activación de nuevos cursos de tres años y de maestría en muchas universidades italianas: cursos de grado que desafortunadamente en este momento se cuentan con la punta de los dedos. Debido al propósito combinado de un escape de Italia para aprovechar oportunidades salariales importantes y una escasa creación de figuras profesionales adecuadas a la necesidad, es necesario y urgente desarrollar estrategias de retención cerebral que hagan que trabajar en temas de seguridad sea más atractivo TI en nuestro país. Israel, por ejemplo, ha logrado frenar la hemorragia mediante la creación de un ecosistema Industria-Universidad-Gobierno basado en parques tecnológicos y políticas de incentivos para las escisiones, logrando así transformar una debilidad endémica en un factor de crecimiento . Además de estos programas, necesitamos crear las condiciones para traer nuestros mejores cerebros a la ciencia y el espíritu empresarial en el sector de la seguridad de regreso a Italia. La movilidad del mercado laboral es un problema endémico en este sector que no solo afecta a Italia: algunos países grandes se están moviendo, por un lado, para tener disponible, en pocos años, la mano de obra necesaria y, por otro lado, para crear las condiciones para mantenerlo dentro de sus fronteras. Esto va, a modo de ejemplo, a las políticas de préstamos de honor para estudiantes: por ejemplo, políticas ya aplicadas por Francia y Alemania y que también podrían tenerse en cuenta en nuestro país para mantener a los nuevos graduados en nuestras estructuras gubernamentales, en el AP y en el sistema industrial nacional. Si no se implementan políticas adecuadas, la situación se deteriorará significativamente en los próximos años. Tenga en cuenta, a este respecto, que países como Alemania están aplicando políticas muy agresivas para atraer no solo a científicos y emprendedores, sino también a estudiantes extranjeros simples para obtener títulos en sus universidades.". Han pasado cuatro años y poco ha cambiado, pero el hecho de que en algunas universidades como el Politecnico di Milano, La Sapienza, Tor Vergata, Cagliari, se hayan establecido cursos de maestría en ciberseguridad, pero no existe un plan nacional para crear figuras profesionales adecuadas y en consecuencia, sigue careciendo de la cultura necesaria para cambiar la sensibilidad hacia un problema que se ha convertido en uno de los más importantes del planeta.
  • Inversiones para la eliminación de obsolescencia tecnológica. Los ataques que sufre Italia dependen no tanto de la capacidad de los atacantes para usar nuevas técnicas, algo que sucede en casos precisos y con campañas específicas (APT), sino de infraestructuras y aplicaciones obsoletas que, precisamente debido a la falta de desgravación fiscal para Las empresas privadas, en su mayoría PYME, y las inversiones para las públicas, no pueden actualizar y proteger sus plataformas.
  • Fortalecimiento del CERT. Si echamos un vistazo a la escena internacional en términos de organización de unidades de seguridad, encontramos varios modelos. Precisamente debido a nuestra experiencia y nuestra colaboración con los gobiernos de otros países (Reino Unido, Dinamarca, Francia, Alemania, República Checa, solo por nombrar algunos), creemos que es necesario establecer una Unidad de Crisis permanente en el CERT Presidencia nacional o del Consejo, compuesta por técnicos del sector público y privado que trabajan en interés del país. Una unidad central de Ciberseguridad que funciona como una célula siempre activa para responder de manera unificada a los ataques contra la Administración Pública y las infraestructuras críticas de interés nacional, encargada de la capacitación y la sensibilización dentro del Estado y, finalmente, capaz de responder rápidamente a un amenaza cibernética en sinergia absoluta con el DIS y los departamentos de policía y correos encargados de contrastar y suprimir el fenómeno. De hecho, una célula central cuya fortaleza reside en el conjunto de habilidades de investigación que provienen de la policía y las que están más estrictamente informatizadas, que son características de quienes trabajan en empresas que hacen de la seguridad un elemento distintivo. Esta iniciativa está en línea con el sentido de emergencia y la respuesta efectiva requerida por la directiva de la UE sobre Ciberseguridad (NIS) que pronto será aprobada por el Parlamento Europeo y que, en consecuencia, como Italia, tendremos que implementar en nuestra Comunidad Europea sistema legislativo Todo esto debe pasar necesariamente por el aumento del conocimiento y las habilidades relativas de la unidad de ciberseguridad, como se mencionó, a través de la inclusión de especialistas que realmente tengan una experiencia más directa del mercado y que puedan trabajar junto a aquellos que tienen el conocimiento. y la experiencia más "militar / gubernamental".

Creo que si nuestros tomadores de decisiones siguieran este camino, finalmente podríamos salir de estas arenas movedizas y mirar con renovado entusiasmo una verdadera revolución digital.

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia