Cybersecurity: le imprese in Italia sempre più orientate alle policy zero-trust

Fiducia zero: è questo l’approccio alla cybersicurezza su cui lavorano le organizzazioni più innovative. Secondo Gartner, entro il 2026, il 10% delle grandi imprese avrà dispiegato in pieno una strategia zero-trust. Una porzione esigua, ma dieci volte maggiore dell’1% che risulta, al momento, attrezzata per gestire le cyberminacce con questa modalità. Per la società di ricerche, quello che riguarda la fiducia zero è un paradigma di sicurezza che esplicitamente individua utenti e dispositivi e concede loro il minimo livello di accesso necessario alla loro operatività. Se, oggi, un’organizzazione si fida a priori dei suoi sistemi e dei suoi utenti, con la politica a fiducia zero-trust ogni persona, dispositivo o processo deve ottenere un esplicito riconoscimento e permesso.

“La cybersecurity è un insieme di elementi che vanno gestiti insieme: organizzazione, infrastrutture di rete, dispositivi, dati, applicazioni, formazione del personale e procedure. Tutti questi aspetti concorrono a formare quella che viene definita la postura di sicurezza dell’azienda”, afferma Vincenzo Pensa, Direttore Sistemi informativi e innovazione di ACI, la Federazione nazionale che associa gli Automobile Club provinciali e locali italiani, a proposito della policy zero-trust che ha avviato: “Ogni operazione viene gestita come se dall’altra parte ci fosse un potenziale pericolo e ogni volta si richiede un controllo di sicurezza, anche se viene svolta all’interno del sistema tra risorse note”, indica Pensa.

Zero-trust: non fidarsi nemmeno dell’assenza di minacce

La politica della fiducia zero include la crittografia dei dati, gli aggiornamenti software automatici e il principio dei privilegi minimi, secondo cui si concedono solo gli accessi sufficienti per portare a termine un determinato compito. Un altro aspetto rilevante riguarda la rete, che andrebbe segmentata il più possibile, isolando le aree critiche. “Questo richiede la mappatura dei flussi di dati: vengono identificati i percorsi di comunicazione su cui viaggiano le informazioni e di volta in volta si stabiliscono permessi diversi”, prosegue Pensa.

Nella policy zero trust di ACI, quasi tutte le attività vengono svolte dalla in-house ACI Informatica. “Abbiamo implementato dei software che effettuano screening e ricerca di anomalie e lanciano allarmi in caso di attività sospette”, rivela il manager. “Si tratta di prodotti acquistati da vendor, ma che poi vengono personalizzati grazie al nostro team interno di specialisti IT”.

Il Direttore Sistemi informativi e innovazione di ACI mette in guardia anche dai periodi di (apparente) calma piatta: “È importante andare a caccia delle minacce latenti, che possono restare non intercettate. Molte intrusioni hanno lo scopo di permanere nei sistemi, continuando a registrare transazioni, dati e altre informazioni”. In pratica, se le minacce sembrano diminuire o fermarsi, è meglio indagare più a fondo, perché il nemico potrebbe essersi nascosto.

La personalizzazione dei prodotti

Zero-trust è il metodo seguito anche da Italia Power (soluzioni energetiche per famiglie, condomini e imprese).Il team guidato dal CIO Raffaele Schiavullo ha creato un’architettura SaaS ridondante con la banca dati separata. “Se va fuori servizio una macchina subentra l’altra, ma i dati sono comunque in un altro server ancora. Possiamo considerarla una forma di PaaS con principi di ridondanza”, spiega Schiavullo, che è anche Delegato Relazioni Estero e membro del comitato tecnico di CIO Club Italia, un’associazione di Chief Information Officer, IT Manager e altri dirigenti delle tecnologie dell’informazione in Italia. 

“Noi usiamo il servizio cloud di un provider che ci fornisce data center, server e strumenti di cyber-protezione come i firewall, ma il software per il controllo degli accessi è tailor-made, ovvero le policy di sicurezza le abbiamo scritte noi, in base alle nostre esigenze e sotto il nostro controllo, in ottica zero trust – per esempio, mascherando i canali di ingresso alle informazioni”.

La sicurezza dall’edge all’IP

Anche per Andrea Pernici, CTO di 3BMeteo, portale italiano di previsioni meteorologiche e società del gruppo Meteosolutions, le minacce cyber sempre più sofisticate richiedono difese più attente. Il firewall non basta: il team di Pernici si occupa anche di mettere in sicurezza i dati tramite servizi appositi in edge, ovvero cifrando le informazioni direttamente là dove vengono generate e inviate. “Per i dati sensibili che vengono trasmessi via web e i sistemi online abbiamo un approccio zero-trust”, evidenzia il CTO.

3BMeteo ha messo in sicurezza il data center presso l’infrastruttura di un provider. Un ulteriore strato di protezione è fornito da un prodotto per la sicurezza e l’ottimizzazione dei siti web, che funge da proxy e rafforza e integra le difese per gli applicativi interni e esterni, che sono raggiungibili da un indirizzo internet pubblico. “Prima di arrivare all’applicativo c’è una serie di policy che stabiliamo di volta in volta: in base ai principi zero trust, queste policy vengono applicate all’IP, al device fisico, all’IP e all’email, solo all’email e così via, a seconda di quanto deve essere restrittivo l’accesso a una determinata area”, aggiunge Pernici.

Queste protezioni permettono al team IT di sventare i tentativi di intrusione. “Rileviamo in media 7-8 attacchi Ddos (Distributed denial of service) all’anno, più o meno potenti”, svela Pernici. “Attacchi minori li riceviamo anche tutti i giorni: sono tipicamente generati da bot alla ricerca di falle oppure dei tentativi di malware injection negli applicativi”.

L’anello debole della catena

Gli analisti di Gartner pensano che, di qui al 2026, circa la metà dei cyber-attacchi andrà a bersagliare proprio le aree non coperte dai controlli zero-trust, dove, quindi, le imprese sono impreparate a mitigare gli effetti di un evento cyber. In una superficie d’attacco che diventa sempre più ampia, i criminali dell’IT andranno alla ricerca di asset e vulnerabilità rimaste al di fuori della Zta (Zero-trust architecture).

Secondo Gartner, le zone vulnerabili potrebbero risiedere in alcune tecnologie, come le API esposte al pubblico, ma ancor di più nelle persone: gli hacker cercheranno di prendere di mira i dipendenti tramite le tecniche di social engineering o di “bullizzare” quelli che si sono creati dei loro sistemi per aggirare – contro le policy aziendali – le stringenti regole della fiducia zero.

L’importanza di fare formazione. Anche per chi scrive il software

La consapevolezza delle persone è, ancora una volta, la base. “Bisogna lavorare molto sulla formazione in azienda, perché gli attacchi spesso sfruttano la debolezza delle persone”, prosegue Pernici.

“Un’alta percentuale degli attacchi dipende dalla risorsa umana”, evidenzia Pensa di ACI. “Se riuscissimo a garantire i comportamenti corretti delle persone coinvolte nei processi, il cyber rischio si abbatterebbe fino al 90%. I migliori processi e le migliori tecnologie non bastano”.

Infatti, non si tratta solo del dipendente che apre l’email di phishing e clicca il link malevolo o subisce le pressioni del social engineering e cede dati sensibili e credenziali. Pensa sottolinea che “Le persone operano su più livelli. Bisogna verificare le librerie di software, le API, l’input dei dati, e così via. Anche chi scrive le applicazioni deve farlo secondo precise regole: se ci sono falle, i cybercriminali le sfrutteranno per aggredire”.

Rivolgendosi alle Pubbliche amministrazioni, Agid, Agenzia per l’Italia Digitale, ha pubblicato le “Linee guida per lo sviluppo software sicuro”, che includono regole quali i già citati privilegi esecutivi minimi, i metodi trace and track (secondo cui “ciò che non viene utilizzato dovrebbe essere disabilitato”) e l’eliminazione delle backdoor amministrative, “potenzialmente pericolose”. Sono tutte tecniche note e adottate anche dalle imprese private che hanno avviato policy zero trust.

Questa strategia è complessa ed esige un’ampia serie di prassi e procedure. Per questo molti CIO chiedono maggiore determinazione e coerenza da parte del top management, affinché si riesca a costruire una zero-trust architecture il più possibile completa.