Ogni giorno le aziende e gli enti governativi sono bombardati da miliardi di minacce informatiche. Per combattere queste minacce occorre impegnare ingenti risorse di denaro e manodopera, cosa che soltanto le grandi organizzazioni possono permettersi. Cosa accade quindi alle piccole entità con scarse disponibilità in termini di tempo e costi? Per aiutarle, un progetto dell’UE svilupperà strumenti sofisticati gratuiti e facili da installare.

Economia digitale

La stragrande maggioranza delle PMI deve sacrificare le sue già limitate risorse per ottenere la protezione informatica necessaria oppure affidarsi a strumenti sottonorma per combattere il rischio, sperando per il meglio. Il progetto WISER si propone di cambiare la situazione sviluppando strumenti di gestione del rischio facili da usare e gratuiti, mettendoli a disposizione delle PMI che dipendono fortemente dalle TIC e degli operatori delle grandi infrastrutture critiche. “Spesso le PMI non dispongono delle risorse o competenze necessarie per utilizzare metodologie e strumenti avanzati per gestire il rischio informatico, mentre molte non possono permettersi di assumere servizi di consulenza,” ha detto Niccolò Zazzeri della Trust-IT Srl, di Pisa, un membro del consorzio di ricerca WISER. “Ci proponiamo di offrire una soluzione sofisticata che sia facile da adottare dall’utente finale”. Lanciato a giugno 2015 come progetto di 30 mesi, WISER condurrà una serie di brevi “prove di valutazione precoce” per verificare i suoi strumenti, le quali porteranno a tre prove pilota su scala completa concentrate sul rilevamento delle frodi, la distribuzione e utilizzo di energia e gli appalti energetici. Le prove pilota su scala completa convalideranno in tempo reale le metodologie e gli strumenti di modellizzazione di WISER in scenari reali. Uno degli strumenti online gratuiti già sviluppati e collaudati dal consorzio è Cyber-WISER Light, che è composto di due parti: un questionario e un test della vulnerabilità. “Quando parliamo con le PMI, diciamo loro di fare spesso questa auto-valutazione, in quanto la natura delle minacce cambia continuamente, nel tempo e nello spazio”, ha spiegato Zazzeri. Lo strumento raccoglie informazioni su una rete privata e produce un resoconto basato sulle migliori pratiche di cibersicurezza generali, calcolando quindi il tasso di esposizione al rischio dell’entità. Il passo successivo è di condurre una prova di vulnerabilità che consiste nell’installare un token nel server dell’entità. “L’utente deve ottenere l’autorizzazione della sua organizzazione per farlo, ovviamente, ma non si tratta comunque di un token intrusivo, ma semplicemente di un’operazione copia/incolla. Viene prodotta un’immagine delle vulnerabilità della rete elencando le sue 10 principali debolezze,” ha osservato. Il prossimo strumento del progetto – chiamato Cyber-WISER Plus – che sarà diffuso alla fine del 2016 o inizi 2017, individuerà le minacce e i trojan. Per i grandi operatori, il team di ricerca svilupperà anche una piattaforma come servizio per il rischio (risk platform as a service, RPaaS). Questa sarà rivolta alle infrastrutture critiche e ai sistemi cibernetici altamente complessi che necessitano di un monitoraggio dei comandi speciali all’interno del loro sistema TIC, al fine di prevenirne la manomissione. Le procedure di verifica saranno basate su funzionalità e componenti di infrastruttura a chiave pubblica (public key infrastructure, PKI). Questi controlleranno se la firma nei messaggi in rete corrisponde alla certificazione dell’organizzazione contenuta in ogni messaggio. Secondo Zazzeri, l’approccio di questo progetto nell’affrontare e mitigare le minacce di cibersicurezza e nelle infrastrutture informatiche critiche “consentirà agli organi decisionali delle organizzazioni pubbliche e private di valutare più efficacemente i rischi informatici”.

Parole chiave

WISER, cibersicurezza, minaccia, trojan, PMI, rete privata, esposizione al rischio, vulnerabilità, strumento di gestione del rischio