Ci dobbiamo occupare nuovamente di sicurezza a seguito della notizia di oltre 400.000 account clienti del gruppo UNICREDIT che sono stati violati in questi giorni. Non ci interessa ovviamente esprimere giudizi ma solamente capire e tracciare le “lesson learned” dall’ennesimo data breach compiuto ai danni di forti e importanti istituzioni dotate delle migliori risorse di difesa.
Un aspetto significativo è quello della comunicazione del data breach a cui tutte le aziende e istituzioni europee sono tenute a seguito di perdita di dati riservati dal nuovo codice della privacy europeo GDPR che obbliga alla comunicazione di tutti i tentativi riusciti o meno di data breach. Lo spirito del nuovo codice europeo non è la condanna ma la consapevolezza che i rischi non sono un problema privato della singola azienda o istituzione (come in passato) ma un impegno sensibile per tutti.
I danni infatti oltre che ai singoli account cliente che è arrivato oltre all’anagrafica fino all’IBAN sottratto che può generare futuri attacchi in stile phishing, sono forti anche per la stessa azienda che vede ulteriormente motivati i 2.3 miliardi di euro in corso di spesa d’investimento per la sicurezza informatica.
Credo tuttavia sia utile un cambio di passo il GDPR indica la strada corretta: la sicurezza non è un problema della singola azienda ma favorisce approcci integrati e in condivisione. In tal senso hanno anticipato il GDPR tre banche: Barclays, Banco Santander, Deutsche Bank che hanno concordato un piano condiviso per costruire difese comuni contro i cyberattacchi, peccato che non ci sia neanche un’azienda italiana, con questa strategia di creare difese comuni si spende meno e si realizzano soluzioni più efficaci.
L’attacco è avvenuto utilizzando non direttamente i sistemi di UNICREDIT ma di un’azienda satellite con cui UNICREDIT ha rapporti di collaborazione e questo spinge a fare un’ulteriore considerazione proprio sugli asset IT in cui ITIL ha espresso non buone indicazioni ma ottime e di grande aiuto non solo per la gestione ma proprio per la sicurezza.
Non è sfuggito che a marzo di quest’anno AgID (Agenzia Italia Digitale) ha pubblicato una circolare contenente le “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. AgID prende spunto dallo standard internazionale SANS20, pubblicato dal CIS – Center of Internet Security (ultima versione 6.0 del 2015). Il “nucleo minimo” delle misure di sicurezza fa riferimento prioritario (5 aree di controllo su 20) alla necessità di avere un inventario degli asset IT che come è noto comprende hardware software e configurazioni di network, avete presente in ITIL il Service and Configuration Management??.
Sulle aree di controllo si applicano poi le attività operative che sono focalizzate in modo puntuale ad avere l’inventario degli asset IT aggiornati in modo automatico con discovery automatico di tutte le variazioni (configuration). ITIL grande risorsa per l’ITSM lo è anche per il mantenimento della continuità operativa e quindi della sicurezza, SANS20 in ambiente ITIL si applica con sforzo minore e in modo più efficace.
