Nel vasto e interconnesso regno del paesaggio digitale, si sta preparando una tempesta insidiosa. Questa tempesta, come ha rivelato il Coordinatore nazionale olandese per la sicurezza e l'antiterrorismo (NCTV) nel suo Cyber Security Assessment Netherlands 2022, sta rapidamente diventando la nuova norma: attacchi informatici e insider orchestrati da attori di Stati nazionali (The National Coordinator for Counterterrorism and Security, 2022). Un esempio ben noto che esemplifica la portata delle minacce informatiche degli Stati nazionali è l'attacco informatico di SolarWinds. Questo incidente ha avuto conseguenze di vasta portata, creando un'ondata di disagi per numerose organizzazioni.
Mentre queste minacce continuano ad aumentare, esperti di cybersecurity come Marcel Van Kaam di KPMG e John Mancini di Vectra AI si fanno avanti come navigatori esperti, guidandoci attraverso il terreno insidioso delle minacce informatiche degli Stati nazionali. Questi sono stati gli argomenti del webinar di KPMG-VectraVectra AI sulla resilienza informatica alle minacce degli Stati nazionali , trasmesso il14 giugno e disponibile su richiesta qui. Il terzo membro del panel era John O'Callaghan (JC), che si è unito a Vectra AI dopo aver vissuto in prima persona l'attacco di SolarWinds mentre lavorava per l'azienda. In questo blogpost, metteremo in evidenza gli argomenti discussi e le informazioni condivise dal nostro panel di KPMG e Vectra AI.
Svelare gli attori della minaccia degli Stati-nazione:
Per iniziare con urgenza, è evidente che per navigare in modalità di lavoro sempre più internazionali e contrastare gli attacchi informatici sponsorizzati da uno Stato, le organizzazioni devono comprendere il panorama più ampio delle minacce e creare una strategia di sicurezza efficace. Questa strategia comprende la distinzione delle minacce reali dai falsi positivi e il riconoscimento del ruolo fondamentale dell'efficacia della sicurezza tra persone, processi e tecnologie. Le tecnologie basate sull'intelligenza artificiale possono svolgere un ruolo chiave per aumentare l'efficienza delle capacità di rilevamento e risposta.
Per rafforzare la strategia di sicurezza, è anche essenziale comprendere le parti avversarie con cui si ha a che fare. Nel caso degli attori delle minacce degli Stati nazionali, parliamo di gruppi o individui che ricevono il sostegno dei governi e lavorano per conto delle agenzie di intelligence per portare avanti operazioni informatiche allineate con gli obiettivi strategici della loro nazione. Questi avversari mettono in campo tecniche sofisticate come le Advanced Persistent Threats (APT) e fanno leva su risorse sostanziali, tra cui capacità tecniche avanzate, operazioni di spionaggio e ampi finanziamenti. Per mantenere una plausibile negabilità, le agenzie di intelligence operano in segreto, con l'obiettivo di rimanere anonime e negare qualsiasi coinvolgimento. Pertanto, più che concentrarsi sull'attribuzione, le organizzazioni devono dotarsi di difese solide e strategie di risposta efficaci contro un ampio spettro di minacce, comprendendo così il panorama più ampio delle minacce invece di concentrarsi su avversari specifici.
Il panorama delle minacce ruota attorno agli obiettivi degli aggressori degli Stati nazionali. Quelli che mirano ad accrescere l'influenza politica tendono a colpire i dipartimenti governativi, che rimangono il principale bersaglio degli attacchi informatici da parte degli Stati nazionali. Per ottenere vantaggi economici, si impegnano nel furto di proprietà intellettuale, prendendo di mira un'ampia gamma di settori come gli istituti di ricerca, le industrie della difesa, le tecnologie emergenti e persino oggetti apparentemente quotidiani. Un altro settore per il quale gli attori degli Stati nazionali rappresentano un pericolo significativo è quello delle infrastrutture critiche, tra cui le reti elettriche, i sistemi di comunicazione e le ferrovie. Gli attacchi informatici che mirano a sabotare questi sistemi vitali possono innescare una diffusa disgregazione sociale e infliggere gravi danni economici. Marcel ha evidenziato una tendenza preoccupante: diverse nazioni sono sempre più disposte a correre rischi maggiori, combinando azioni di ritorsione fisica o militare agli attacchi informatici.
Per far luce su questi recenti sviluppi degli attori delle minacce degli Stati nazionali e sul loro modus operandi, il nostro panel ha discusso le tendenze e le intuizioni emergenti. John ha sottolineato l'inefficacia delle misure di prevenzione tradizionali contro le minacce avanzate come phishing, zero-day e altri exploit ben collaudati. È stata invece discussa l'importanza di concentrarsi sulle attività interne alle organizzazioni per rilevare e rispondere tempestivamente alle inevitabili violazioni. Marcel si è allineato alle prospettive di John, parlando di attacchi informatici altamente avanzati che coinvolgono vulnerabilità software sconosciute e attacchi alla catena di approvvigionamento. Tuttavia, ha anche sottolineato che molte organizzazioni non sono ancora adeguatamente preparate in materia di cybersicurezza, spesso trascurando le pratiche di base che diventano i primi punti di sfruttamento.
Al di là del regno digitale, Marcel ha attinto alla sua esperienza di ufficiale di intelligence, sottolineando l'importanza di riconoscere le tattiche non digitali impiegate dagli attori degli Stati nazionali. Queste tattiche comprendono un'ampia gamma di strategie, tra cui il reclutamento di spie, lo sfruttamento di collaborazioni accademiche internazionali, la diffusione di false informazioni, la gestione di campagne di influenza politica e persino l'acquisizione di aziende per ottenere l'accesso a fonti di informazione. Difendersi da attacchi così sfaccettati si rivela un compito incredibilmente impegnativo per le organizzazioni.
Navigare attraverso la tempesta: Misure di protezione per le organizzazioni:
Per affrontare questo difficile compito, le organizzazioni che vogliono difendersi dalle minacce degli Stati nazionali devono intraprendere misure strategiche e proattive. È fondamentale avviare conversazioni a livello di consiglio di amministrazione per creare consapevolezza e sottolineare l'importanza di preservare il vantaggio competitivo dell'organizzazione. Riconoscendo i rischi tangibili posti dalle minacce degli Stati nazionali, le aziende possono instillare un senso di urgenza e di impegno per affrontare efficacemente queste sfide. Per l'ultimo argomento del webinar, il nostro panel ci ha quindi illustrato il loro punto di vista su come le organizzazioni possono iniziare il loro viaggio per affrontare e proteggere dalle minacce degli Stati nazionali.
Per incorporare questa minaccia nella loro strategia di cybersecurity, le organizzazioni dovrebbero iniziare a capire come il panorama delle minacce si applica specificamente al loro core business, ha spiegato Marcel. Ciò comporta l'identificazione di scenari di minaccia rilevanti all'interno dello spettro delle operazioni di intelligence. La valutazione dei potenziali attacchi informatici, la considerazione del fattore umano nei componenti principali, la comprensione delle implicazioni della proprietà di entità terze e delle leggi sull'intelligence straniera e la valutazione dei rischi associati alle collaborazioni accademiche internazionali sono aspetti essenziali di questo processo.
Quantificare il divario tra le minacce identificate e le capacità di sicurezza esistenti è un altro passo fondamentale. La valutazione delle capacità tecniche, delle capacità di governance e delle capacità esterne aiuta le organizzazioni a valutare la maturità, la copertura e l'efficacia tecnica delle loro misure di sicurezza. È fondamentale considerare l'impatto monetario delle potenziali violazioni e confrontarlo con il valore della proprietà intellettuale. Questa analisi facilita le discussioni informate con il CFO, consentendo di dare priorità alle iniziative di sicurezza in base a considerazioni di costo-beneficio.
Inoltre, ha esortato Marcel, le organizzazioni devono riconoscere che le minacce degli Stati nazionali vanno oltre i soli attacchi informatici. Spionaggio, reclutamento di insider, diffusione di false informazioni e campagne di influenza politica sono tattiche impiegate da questi attori. Valutare le vulnerabilità in queste aree e implementare misure di mitigazione adeguate è essenziale per rafforzare le difese. Marcel e il suo team di KPMG aiutano i clienti a identificare il panorama delle minacce, a quantificare le esigenze e a promuovere la discussione a livello di consiglio di amministrazione, sia per la sicurezza informatica che per la sicurezza fisica, ad esempio attraverso il corso sulla sicurezza dei viaggi rivolto ai dipendenti che viaggiano per lavoro.
La conduzione di valutazioni complete del rischio, con l'assistenza di esperti terzi, è fondamentale per identificare le vulnerabilità lungo la catena di fornitura dell'organizzazione, ha confermato JC. I professionisti esterni forniscono una valutazione obiettiva e offrono nuove prospettive che il personale interno potrebbe trascurare a causa di pregiudizi o distrazioni. Un aspetto che ha potuto constatare in prima persona presso SolarWinds.
Da una prospettiva altamente tecnica, John ha parlato della sua esperienza per consigliare alle organizzazioni di iniziare a scoprire se sono già state violate. Individuare i punti in cui la prevenzione e la visibilità attuali sono carenti consente di compiere sforzi mirati per migliorare la copertura, l'efficacia e il ritorno sugli investimenti in sicurezza.
Conclusione: imparare a navigare nella tempesta
Di fronte alla tempesta di minacce informatiche provenienti dagli Stati nazionali, le organizzazioni devono accettare il fatto che gli attori delle minacce nazionali sono là fuori e sono motivati a prenderle di mira, direttamente o attraverso un attacco alla catena di approvvigionamento. È quindi fondamentale prepararsi in modo proattivo e rafforzare le proprie difese, ma soprattutto concentrarsi sul rilevamento dopo l'accesso iniziale, poiché una prevenzione al 100% è semplicemente impossibile. Si tratta di imparare a navigare in una tempesta che arriverà inevitabilmente sul vostro cammino.
Impegnandosi in discussioni a livello di consiglio di amministrazione, comprendendo le minacce specifiche applicabili al proprio core business, quantificando le lacune nelle capacità di sicurezza e conducendo valutazioni complete dei rischi, le organizzazioni possono elaborare una strategia di sicurezza olistica e bilanciata in cui tecnologia, processi e - cosa incredibilmente importante - persone sono efficacemente collegati. Grazie a queste misure strategiche, le organizzazioni possono mitigare efficacemente i rischi posti dagli attori degli Stati nazionali, proteggendo il loro vantaggio competitivo e uscendo dalla tempesta più forti di prima.
KPMG e Vectra AI possono aiutarvi, poiché questi argomenti, domande e avversari dipendono molto dall'organizzazione in questione. Contattate una delle persone qui sotto per discutere di qualsiasi domanda o fissare un appuntamento.
