È trascorso più di un anno dall’inizio del lavoro da remoto e nonostante i possibili passaggi verso modelli di lavoro ibridi per il futuro, la maggior parte delle aziende è ancora preoccupata per i rischi legati alla sicurezza dei dipendenti che lavorano a distanza.

Questo è parte di quello che emerge dal Global Data Threat 2021 presentato da Thales lo scorso 10 giugno. Il report si basa su un’indagine effettuata da 451 Research che ha coinvolto oltre 2.600 professionisti della sicurezza e decisori, di cui oltre 950 in Europa.

Siamo nell’epoca dell’accelerazione digitale, della trasformazione in cloud e del lavoro da remoto. Nonostante il difficile anno che abbiamo appena attraversato e l’impatto immediato e drammatico che la pandemia ha avuto sull’operatività di molte organizzazioni (e i cui effetti a lungo termine non sono ancora completamente chiari), è viva la speranza che qualcosa di positivo, quest’anno, l’abbia lasciato.

Tra i primi dati che emergono dal report, è interessante notare che in Europa il 22% degli intervistati ha affermato di essere molto preparato a gestire i rischi per la sicurezza causati dalla pandemia. “È un dato molto basso, non c’è dubbio – ha affermato Luca Calindri, Country Sales Manager Italy & Malta – Data Protection di Thales Groupma mi sarei aspettato uno ancora più basso”.

Il 46% delle aziende ha indicato la privacy e la sicurezza come gli ambiti di investimento più importanti degli ultimi dodici mesi. Tali investimenti nei campi dell’IT e della sicurezza erano inattesi, ma sono stati necessari per adeguarsi e gestire il personale che lavora da remoto. Sicuramente avranno ricadute positive sul futuro a livello globale.

È indicativo che l’81% delle aziende teme che il lavoro da remoto dei dipendenti aumenti i rischi e le minacce alla sicurezza. Parliamo di sfide che prima non erano state considerate. Allo stesso tempo, però, è necessario trovare un equilibrio. Non è vincente rimanere tutti a casa né lavorare tutti da remoto. Si sta cercando di garantire un miglior rapporto casa-ufficio e lavoro-tempo libero.

Multicloud, un’opportunità ma anche un rischio

Un altro fattore che impatta pesantemente sulla sicurezza del dato è l’adozione del multicloud. La metà delle aziende dichiara che oltre il 40% dei propri dati è archiviato in ambienti cloud esterni, ma solo il 17% delle aziende ha crittografato la maggior parte dei dati sensibili. Emerge, quindi, una certa difficoltà da parte delle organizzazioni nel sapere dove risiedono fisicamente i propri dati, e in particolare quelli sensibili.

La complessità delle strutture utilizzate sta aumentando: il 45% delle organizzazioni utilizza almeno due provider PaaS (Platform as a Service) e/o due provider IaaS (Infrastructure as a Service) e un quarto delle aziende attualmente utilizza più di 50 app SaaS (Software as a Service).

A livello europeo ci si è resi conto della necessità di affrancarsi dallo strapotere dei cloud provider americani e ci si sta muovendo con forti investimenti. L’obiettivo è quello di portare data center in Europa, in particolare a seguito del GDPR e della sentenza Schrems II. Infatti, nel momento in cui un’organizzazione europea sposta i dati sul cloud, si verifica un conflitto di interessi tra GDPR da un lato e Cloud Act americano dall’altro. C’è l’esigenza di strumenti di mitigazione come il Key Management Locale.

Oggi, inoltre, avere la capacità di lavorare in sicurezza con l’ecosistema circostante rafforza la credibilità della piattaforma cloud. I cloud provider stanno ormai abbandonando l’approccio del “faccio tutto io”. Google Cloud Platform, ad esempio, ha fatto dell’External IT Management una bandiera. Microsoft, con la Double Key Encription, garantisce una maggiore sicurezza dando una chiave in mano al cliente e tenedo una seconda per sè.

Tra le soluzioni che Thales indica quando parla di aumentare l’uso della crittografia per trarre il massimo vantaggio da essa, troviamo BYOK (bring your own key), HYOK (hold your own key) e BYOE (bring your own encryption). Con l’ultimo, in particolare, il cliente non solo è in grado di generare chiavi in casa sua, ma può anche imporre al cloud provider la sua tecnologia di cifratura completamente disaccoppiata da quella del cloud provider stesso. Certamente, nella lista dei tre approcci appena citati, di pari passo alla sicurezza e al controllo sui dati aumentano costi e complessità tecnologica.

Incursioni informatiche e furti di dati

Un altro aspetto emerso dal report di Thales è che il 58% degli intervistati ammette di aver subito una violazione della sicurezza e che i malware sono la fonte principale di questi attacchi. Tra l’altro, quasi la metà delle aziende ha notato un aumento degli attacchi informatici negli ultimi mesi, e in particolare dei ransomware.

L’Italia è al momento il terzo Paese al mondo per esposizione ad attacchi ransomware. Allo stesso tempo, però, non è il terzo per sviluppo economico. Le nostre aziende sono più esposte e sicuramente influisce la scarsa consapevolezza e sensibilità sull’argomento, oltre ai minori investimenti sulla sicurezza rispetto ad altri Paesi.

Calindri, durante la conferenza ha citato il caso americano dell’attacco all’oleodotto di Colonial Pipeline immediatamente seguito dall’ordine esecutivo con cui il presidente degli Stati Uniti Joe Biden ha imposto best practice (non solo raccomandazioni) per mettere in sicurezza le infrastrutture critiche. In Italia la situazione è ben diversa. Lo stesso Ministro della Transizione digitale, Vittorio Colao è consapevole che il 90 dei server pubblici non è sicuro. Ciò dimostra che c’è ancora tanta strada da fare, “ma anche tanto potenziale” ha affermato Calindri.

Minacce all’orizzonte

Abbiamo, fino ad ora, parlato del presente. Ma qual è la minaccia che più preoccupa per il futuro? La risposta è il quantum computing, specialmente nell’ambito della crittografia. Il 44% degli intervistati teme che il quantum computing possa rappresentare una minaccia alla sicurezza. Questo livello di consapevolezza dovrebbe generare interesse nei confronti delle tecniche crittografiche post-quantistiche e degli sforzi per migliorare l’agilità crittografica.

La Strategia “Zero Trust

Le aziende riconoscono i problemi che stanno affrontando e stanno tentando di risolverli con strategie Zero Trust. Più di tre quarti delle organizzazioni contattate si affida a questa tecnologia per implementare il proprio piano cloud e quasi la metà degli intervistati ha scelto Zero Trust network access (ZTNA) o software-defined perimeter (SDP) come tecnologie sulla quale investire durante la pandemia. È importante notare come le aziende che hanno preso questa decisione sono state colpite da un minor numero di attacchi informatici.

L’approccio di Thales, in particolare, prevede 4 passaggi fondamentali: conoscere e classificare i dati (sensibili, strategici, ecc.) e sapere dove si trovano materialmente; cifrare quelli sensibili tramite encryption e optimization; assolutamente essenziale è poi proteggere le chiavi di crittografia perchè l’algoritmo non può essere aderente ai dati ma deve essere custodito; infine controllare gli accessi degli utenti.