I recenti attacchi ransomware alle aziende europee dimostrano che le minacce informatiche sono inevitabili; le organizzazioni devono prepararsi in modo proattivo piuttosto che reagire dopo che si è verificato un incidente.

L'11 gennaio 2025, un’azienda tecnologica olandese specializzata nel trattamento sostenibile dei rifiuti è stata costretta a interrompere le operazioni a causa di un attacco ransomware del gruppo BlackBasta, che ha criptato oltre 500 GB di dati critici. Lo stesso giorno, un’azienda manifatturiera belga ha subito un attacco simile, perdendo 600 GB di informazioni sensibili. Questi incidenti, pur non avendo un impatto diretto sui dati personali dei singoli utenti, hanno interrotto le catene di approvvigionamento e causato danni finanziari e di reputazione significativi. I criminali informatici non prendono di mira solo aziende di alto profilo, ma anche settori critici. Non si tratta più di sapere se un’organizzazione verrà attaccata, ma quando e se è preparata.

Molte organizzazioni rimangono esposte perché la sicurezza non è pienamente integrata nei processi aziendali, rendendo essenziale una strategia proattiva e completa per una resilienza a lungo termine.

La cybersecurity è un prerequisito per la continuità aziendale e dovrebbe essere una priorità assoluta nei consigli di amministrazione, ma molte aziende rimangono vulnerabili a causa della mancata integrazione della sicurezza nella struttura organizzativa e nei processi aziendali. Spesso le misure vengono adottate solo dopo il verificarsi di incidenti o a causa di pressioni normative. Al contrario, le organizzazioni che adottano un approccio proattivo e olistico registrano un minor numero di fallimenti della sicurezza. Questo articolo analizza l’importanza di una strategia integrata di cybersecurity, le carenze più comuni e il modo in cui le aziende possono costruire una resilienza a lungo termine. In una serie di articoli successivi, definiremo strategie chiare da implementare e misure pratiche da adottare per costruire una base di resilienza e sicurezza informatica nelle organizzazioni.

Esempio di opportunità mancata: violazione dei dati per mancanza di una visione integrata La violazione di Equifax del 2017 dimostra che le correzioni tecniche isolate, senza una gestione integrata delle patch, un’analisi dei rischi e una chiara proprietà, possono portare a ingenti danni finanziari e di reputazione.

Un esempio notevole dei rischi della sicurezza ad hoc è la violazione dei dati di Equifax del 2017. Questo istituto di credito americano ha esposto i dati personali di milioni di clienti a causa dell’incapacità di applicare in tempo una patch a una vulnerabilità software nota. Nonostante la presenza di difese tecnologiche come firewall e sistemi di rilevamento delle intrusioni, un’indagine ha rivelato che la gestione delle patch e l’analisi dei rischi non erano adeguatamente integrate nei processi aziendali. L’organizzazione non aveva visibilità su dove i sistemi vulnerabili fossero in funzione e le responsabilità non erano chiare.

L’incidente ha dimostrato che l’applicazione di alcune soluzioni tecniche separate non offre garanzie se non c’è una politica integrata. La mancanza di responsabilità, la scarsa comunicazione tra i reparti e l’insufficiente visibilità dei dati critici hanno contribuito all’impatto di questa violazione dei dati. Il costo per Equifax è stato di centinaia di milioni di dollari e il danno alla reputazione è stato enorme.

Pensiero olistico sulla sicurezza: più della tecnologia

Una cybersecurity efficace va oltre la tecnologia e richiede una consapevolezza umana continua, una garanzia basata sui processi e una solida governance per integrare la sicurezza in ogni aspetto dell’organizzazione.

Un dato fondamentale che emerge da questi incidenti è che la sicurezza informatica non si limita a strumenti tecnici come software antivirus, firewall o test di penetrazione una tantum. Sebbene queste tecnologie siano preziose, devono essere integrate in un sistema in cui persone, processi e politiche siano perfettamente allineati.

  • Il fattore umano. Molti incidenti di sicurezza derivano da errori umani: un clic disattento su un link di phishing, una configurazione errata del cloud o un accesso non autorizzato agli account. La consapevolezza e la formazione continua sono quindi indispensabili. Questo va al di là di un programma di sensibilizzazione una tantum; richiede una cultura in cui i dipendenti osino segnalare gli incidenti e i quasi incidenti, senza timore di sanzioni.
  • Garanzia basata sui processi. La sicurezza deve essere un punto all’ordine del giorno ricorrente: dallo sviluppo del prodotto alla selezione del fornitore, fino all’uso quotidiano dei sistemi. Ad esempio, integrare la gestione del rischio nei processi di modifica, in modo che non sia qualcosa da organizzare “a posteriori”.
  • Governance e proprietà. Senza responsabilità chiare e una chiara divisione dei compiti, la cybersecurity spesso si blocca nelle buone intenzioni. Pertanto, nominate un CISO o un responsabile della sicurezza con un mandato e una struttura di reporting chiari. In questo modo si garantisce che i rischi e gli incidenti ricevano attenzione a livello di consiglio di amministrazione.

L’integrazione di questi elementi in un quadro unificato fa sì che la sicurezza non sia un elemento secondario, ma una componente fondamentale della strategia e delle operazioni.

Il ruolo di leggi e regolamenti I quadri normativi in evoluzione, come il Cyber Security Act dell’UE, il Cyber Resilience Act e il NIS2, impongono obblighi e orientamenti più severi, sottolineando che le organizzazioni devono andare oltre la semplice conformità per soddisfare aspettative di sicurezza più elevate.

In Europa, l’attenzione legale per la sicurezza digitale sta crescendo notevolmente. Alcuni importanti sviluppi:

  • Legge europea sulla sicurezza informatica. Questo regolamento ha introdotto un quadro europeo per la certificazione di prodotti e servizi ICT. Le organizzazioni possono far valutare le loro soluzioni in termini di sicurezza, creando un mercato più trasparente.
  • Legge sulla resilienza informatica. Questa legge sancisce il principio della “security by design” per l’intero ciclo di vita di hardware e software. I produttori e i fornitori sono tenuti a correggere le vulnerabilità e a informare gli utenti.
  • NIS2 (Direttiva sulla sicurezza delle reti e delle informazioni). La direttiva NIS rafforzata estende il campo di applicazione a un maggior numero di settori (tra cui il settore energetico, la sanità, i trasporti e i servizi digitali critici) e stabilisce, tra l’altro, requisiti più elevati per la segnalazione degli incidenti e la responsabilità amministrativa.
  • Legge UE sull’intelligenza artificiale. L’EU AI Act stabilisce un quadro completo per la regolamentazione dell’intelligenza artificiale, definendo standard di trasparenza, responsabilità e gestione del rischio. Garantisce che i sistemi di IA siano sviluppati e distribuiti in modo sicuro, etico e affidabile, fungendo da ponte cruciale tra le misure di cybersecurity tradizionali e le sfide emergenti specifiche dell’IA, con un’ulteriore attenzione alla governance e all’integrità dei dati.

Queste normative impongono ulteriori obblighi alle organizzazioni, offrendo al contempo una guida più chiara. Tuttavia, le aziende che si limitano a rispettare le liste di controllo normative scopriranno che l’asticella delle aspettative di sicurezza continua a salire.

AI e dati: la prossima ondata di rischi

L’IA introduce nuove sfide - dagli attacchi avversari all’avvelenamento dei modelli, dalle violazioni della privacy ai pregiudizi - che devono essere gestite attraverso misure di sicurezza integrate che si allineino alle strategie organizzative generali.

L’intelligenza artificiale (AI) sta rivoluzionando i settori, ma introduce anche nuove sfide di cybersecurity che le organizzazioni non possono permettersi di ignorare. I sistemi alimentati dall’IA elaborano grandi quantità di dati sensibili, prendono decisioni critiche e automatizzano processi complessi, diventando così bersagli appetibili per i criminali informatici. Senza una solida governance e misure di sicurezza, l’IA può diventare sia un bersaglio che un’arma nella guerra informatica.

Bias nell’IA: un problema di sicurezza e di governance

Sebbene i pregiudizi dell’IA siano spesso discussi in contesti etici e sociali, essi rappresentano anche un rischio per la sicurezza e la governance. Un processo decisionale errato dell’IA può introdurre vulnerabilità nascoste, tra cui:

  • Fallimenti nel rilevamento delle frodi - Se i modelli di intelligenza artificiale utilizzati per la prevenzione delle frodi favoriscono alcuni modelli e ne trascurano altri, i criminali informatici possono sfruttare i pregiudizi per eludere il rilevamento.
  • Misclassificazione delle minacce alla sicurezza - Gli strumenti di rilevamento delle minacce basati sull’intelligenza artificiale e addestrati su set di dati parziali possono non riconoscere le nuove minacce informatiche, rendendoli inefficaci contro gli attacchi in evoluzione.
  • Rischi normativi e di conformità - L’introduzione della legge europea sull’IA e di altre normative globali impone alle aziende che utilizzano l’IA di garantire trasparenza, responsabilità e conformità alla sicurezza. Le organizzazioni che non riescono a governare e verificare correttamente i propri modelli di IA potrebbero incorrere in multe, danni alla reputazione o responsabilità legali.

L’intelligenza artificiale come rischio per la sicurezza

I modelli di intelligenza artificiale (IA) sono affidabili quanto i dati su cui vengono addestrati. Quando i set di dati per il riconoscimento facciale sono costituiti principalmente da immagini di determinati gruppi di popolazione, ciò può portare a un modello che difficilmente riconosce bene altri gruppi. Questo non solo è dannoso per le persone che ne sono vittime, ma può anche comportare danni alla reputazione e conseguenze legali per l’organizzazione che utilizza l’IA.

  • Deepfakes. Modelli avanzati di intelligenza artificiale possono generare video, audio e immagini realistici, che fanno sembrare che le persone dicano o facciano cose che non sono mai accadute. Questo fenomeno può essere utilizzato per frodi, ricatti o disinformazione a sfondo politico. Le organizzazioni dovrebbero investire in strumenti di rilevamento e in corsi di formazione per sensibilizzare i dipendenti al fine di identificare tempestivamente i contenuti deepfake.
  • Attacchi avversari. Gli aggressori inseriscono nei modelli di intelligenza artificiale input manipolati per ingannarli. Ad esempio, piccole perturbazioni in un’immagine possono indurre un sistema di sorveglianza alimentato dall’intelligenza artificiale a identificare erroneamente le minacce. Questi tipi di attacchi richiedono ulteriori controlli sui dati di input e la convalida periodica del modello.
  • Avvelenamento dei modelli. I criminali informatici iniettano dati dannosi nei set di addestramento dell’IA, corrompendo gli algoritmi e portando a risultati inaffidabili o pericolosi.
  • Privacy e violazioni dei dati. Molti modelli di intelligenza artificiale si basano su grandi quantità di dati personali e aziendali sensibili. Se questi non sono sufficientemente anonimizzati o archiviati in modo errato, un hack o una configurazione errata possono portare a gravi violazioni della privacy. L’accento va quindi posto sulla classificazione dei dati, sul rigoroso controllo degli accessi e sulla crittografia.
  • Cyberattacchi alimentati dall’intelligenza artificiale. Gli hacker utilizzano sempre più spesso l’intelligenza artificiale per automatizzare gli attacchi, identificare più rapidamente le vulnerabilità e aggirare le misure di sicurezza tradizionali. Campagne di phishing guidate dall’intelligenza artificiale, frodi basate su deepfake e strumenti di penetration test automatizzati sono già utilizzati in natura.

Integrare la sicurezza dell’intelligenza artificiale nelle strategie di cybersecurity olistiche Per proteggere i sistemi guidati dall’IA, le organizzazioni devono integrare la sicurezza dell’IA nel loro quadro più ampio di cybersecurity e governance:

  • Governance dell’IA basata sul rischio. I modelli di IA devono essere costantemente monitorati per individuare eventuali distorsioni, falle di sicurezza e vulnerabilità avversarie.
  • Protezione dei dati e controlli di accesso. I sistemi di intelligenza artificiale devono essere costruiti con una forte crittografia, l’anonimizzazione dei dati e un rigoroso controllo degli accessi basato sui ruoli.
  • Test di sicurezza informatica specifici per l’IA. Eseguire simulazioni di attacchi avversari, red teaming e verifiche periodiche per garantire la resilienza dei meccanismi di sicurezza dell’IA.
  • Team interfunzionali per la sicurezza dell’intelligenza artificiale. La sicurezza dell’IA non deve essere lasciata solo all’IT. I team legali, di conformità, di sicurezza e di ingegneria devono collaborare per governare i modelli di IA e applicare le best practice di sicurezza.

Una solida struttura di governance dei dati è quindi essenziale: definire quali dati si raccolgono, dove vengono archiviati, chi vi ha accesso e quali misure di sicurezza sono necessarie. Le organizzazioni che implementano l’IA senza adeguare il proprio quadro di sicurezza rischiano di esporsi a nuovi vettori di attacco. La legislazione, come l’imminente legge sull’IA, richiede inoltre trasparenza, spiegabilità e documentazione dei sistemi di IA. Una visione olistica della sicurezza non è un lusso, ma un’amara necessità.

Imparare dai settori altamente regolamentati Settori come l’aviazione e il farmaceutico illustrano come processi rigorosi, costantemente monitorati e liste di controllo complete portino a una sicurezza e a un’affidabilità superiori, fungendo da modelli preziosi per altri settori.

Nei settori in cui la sicurezza è letteralmente di importanza vitale, come l’aviazione e l’industria farmaceutica, un approccio integrato è stato centrale per decenni.

  • Aviazione. Dalle liste di controllo pre-volo alla segnalazione degli incidenti, ogni fase è registrata in modo procedurale. Le liste di controllo non sono solo formali, ma strumenti che rendono visibili e verificabili i passaggi cruciali. Gli errori vengono individuati rapidamente e possono essere affrontati in modo sistematico.
  • Farmacia. Nel settore farmaceutico esistono rigorosi requisiti di convalida per le apparecchiature e i processi (“Quality by Design”). Ogni anello della catena (dalla ricerca alla produzione) è documentato e monitorato. Ciò crea una cultura in cui il miglioramento continuo e l’analisi approfondita dei rischi sono evidenti.

Questi settori dimostrano che le norme e le liste di controllo strettamente regolamentate non sono per definizione ostative. Al contrario: se utilizzate correttamente, aiutano a minimizzare i rischi e a individuare tempestivamente gli errori. La chiave è che le persone lavorino davvero nella pratica e imparino da essa, invece di limitarsi a rispettare “ufficialmente” le regole. Questo principio - incorporare la sicurezza in tutti i livelli dell’organizzazione - può essere applicato anche alla sicurezza informatica e delle informazioni.

Dalla conformità alla sicurezza intrinseca Il passaggio dalla conformità normativa di base a una cultura intrinseca della sicurezza richiede un forte impegno da parte del management, approcci basati sul rischio, un uso efficace delle liste di controllo, l’eliminazione dei silos e il miglioramento continuo.

Come si fa a passare dalla “conformità minima” a una cultura della sicurezza intrinseca? Alcuni punti di attenzione:

  1. Impegno della direzione. Se la direzione considera la sicurezza principalmente come una voce di costo o una condizione preliminare, i dipendenti la percepiranno in questo modo. Solo quando il management chiarisce che la sicurezza è una priorità strategica e libera risorse (budget, persone, tempo) per questo, l’organizzazione ha la possibilità di fare passi concreti.
  2. Lavoro basato sul rischio. Partite dalla domanda: “Dove sono i nostri veri gioielli della corona?”. Concentrate la sicurezza sui dati, i processi e i sistemi che causano i danni maggiori in caso di perdita o uso improprio. In questo modo si evita di investire indiscriminatamente in soluzioni “casuali”.
  3. Utilizzare correttamente le liste di controllo. Standard come la ISO 27001, la serie ETSI TR 103 305 e framework come il NIST CSF forniscono una struttura solida e aiutano a non trascurare nulla di importante. Il punto cruciale è capire perché spuntare determinati punti e come ciò renda più sicura la vostra organizzazione. Considerate le liste di controllo come uno strumento, non come un fine in sé.
  4. Eliminare i silos. La sicurezza informatica va oltre l’IT e richiede un approccio interfunzionale. Gli aspetti legali (contratti, conformità), le risorse umane (procedure di assunzione, formazione), le strutture (sicurezza fisica) e gli acquisti (gestione dei fornitori) svolgono tutti un ruolo. Istituite un gruppo di lavoro multidisciplinare o un gruppo direttivo che sia ampiamente responsabile dell’approccio integrato.
  5. Miglioramento continuo. La sicurezza informatica non è mai “finita”. Creare un ciclo fisso di monitoraggio, valutazione, reporting e adeguamento. Eseguite analisi degli incidenti e delle tendenze per identificare gli schemi. Un ciclo strutturato Plan-Do-Check-Act (PDCA) si allinea ai metodi di garanzia della qualità, aiutando le organizzazioni a stare al passo con le minacce emergenti e le modifiche normative.

Conclusione: la strada da percorrere Una strategia olistica di cybersecurity, trattata come un processo di miglioramento continuo, è essenziale per ridurre i rischi e garantire la resilienza dell’organizzazione, trasformando infine la sicurezza in un vero e proprio fattore di successo.

Molte organizzazioni hanno l’intenzione di migliorare la propria sicurezza, ma faticano a tradurla in pratica quotidiana. In caso di incidenti - come la violazione dei dati di Equifax e gli esempi olandesi e belgi citati nel paragrafo iniziale, o altri numerosi attacchi ransomware, phishing, Denial-of-Service e di altro tipo - vediamo sempre che mancano uno o più aspetti cruciali: la proprietà, la conoscenza dei dati preziosi, la disciplina dei processi o la consapevolezza dei dipendenti.

Nel frattempo, cresce la pressione esercitata da leggi e regolamenti, ma anche da clienti e partner di cooperazione che chiedono di garantire riservatezza e continuità. Tuttavia, c’è anche un lato positivo: chi sceglie un approccio integrato e investe in persone, processi e tecnologie scoprirà che i requisiti di conformità sono più facili da soddisfare. Inoltre, si raccolgono i benefici di una maggiore affidabilità e di un’immagine migliore.

La “cybersecurity olistica” può essere vista come un processo di miglioramento continuo, in cui si impara continuamente dagli errori, dalle nuove minacce e dalle intuizioni del settore. Osservando le lezioni apprese, ad esempio, nel settore aeronautico e farmaceutico, o i rischi aggiuntivi introdotti dall’intelligenza artificiale, è possibile rafforzare la spina dorsale della propria organizzazione. In questo modo si evita che la sicurezza sia qualcosa di cui ci si occupa solo “dopo” o “sulla carta” e la si rende un vero e proprio fattore di successo.