Insieme siamo più forti: questo è forse lo slogan perfetto della cyberdifesa, perché la collaborazione tra organizzazioni pubbliche e private nel campo della cybersicurezza va a vantaggio di tutti e si svolge a diversi livelli con il coinvolgimento di diversi attori.
Testo: Andreas Heer, Immagini: Swisscom
12 ottobre 2023
«La protezione della Svizzera contro le ciberminacce è un compito comune della società, dell’economia e dello Stato.» Questo è uno dei principi sanciti nella Ciberstrategia nazionale(apre una nuova finestra) (CSN) dell’aprile 2023. Pur riferendosi alla protezione delle istituzioni pubbliche, si tratta di un’affermazione che può essere estesa con profitto: non esiste cyberdifesa efficace senza la collaborazione. Un obiettivo importante di questa collaborazione è giungere a una visione d’insieme delle minacce in corso, che aiuta a definire misure di protezione adatte al contesto ma anche a individuare tempestivamente e bloccare gli attacchi.
Per raggiungere questi obiettivi serve la collaborazione di diverse organizzazioni, sottolinea Vincent Lenders, direttore del Cyber Defence Campus(apre una nuova finestra) di armasuisse: «Le organizzazioni pubbliche e private sono come i due tasselli del puzzle della cyberdifesa. Le organizzazioni pubbliche hanno una buona conoscenza delle potenziali minacce, mentre quelle private possiedono informazioni sui rischi tipici per la loro impresa o il loro settore.»
Il Cyber Defence Campus è una Public Private Partnership (PPP) che contribuisce attivamente alla collaborazione tra economia e istituzioni pubbliche da diverse prospettive: «Lo scambio di informazioni su nuove tecnologie e vulnerabilità di sicurezza è un aspetto essenziale, ma anche il dialogo su formazione, training, ricerca e innovazione offre un grande potenziale», spiega Vincent Lenders.
Per rafforzare la cyberdifesa, anche gli specialisti in Security che lavorano sul campo come i diversi CERT (Computer Emergency Response Team) sono in contatto tra loro. «Ci interfacciamo con altri gestori di infrastrutture critiche, ma anche con altri fornitori di Managed Security Services», dichiara Marco Bruno, responsabile di Swisscom per la Incident Response dei clienti.
Questo dialogo tra specialisti è finalizzato allo scambio reciproco di conoscenze per farsi trovare meglio preparati di fronte ai prossimi cyberattacchi. «Ad esempio discutiamo dei casi di ransomware e delle vulnerabilità nei software», racconta Marco Bruno. «Ci interessa capire le procedure, ma anche trovare le tracce lasciate dai criminali.» Ecco perché in questi incontri capita spesso che vengano utilizzate espressioni come «Indicators of Compromise» (IoC) e «TTP» (Tattiche, Tecniche e Procedure). Mentre gli IoC si riferiscono alle tracce degli attacchi compiuti da determinati attori, le TTP descrivono i metodi utilizzati. Si tratta di conoscenze utili per rispondere ai cyberattacchi nella fase di Incident Response.
Quando si verifica un incidente, la collaborazione si sposta su un altro livello che coinvolge le autorità penali o il Centro nazionale per la cibersicurezza (NCSC). Spesso i criminali informatici operano dall’estero e questo complica le attività d’indagine, come ha potuto constatare Marco Bruno: «Prima che sia possibile sequestrare un server compromesso all’estero, i criminali hanno tutto il tempo per darsela a gambe.»
Più efficace risulta la collaborazione internazionale strategica del Cyber Defence Campus, come spiega Vincent Lenders: «Nell’ambito di una Public Private Partnership lavoriamo a stretto contatto ad esempio con lo Swisscom Outpost nella Silicon Valley per parlare di start-up informatiche e sviluppi tecnologici.»
Quando gli specialisti in cybersicurezza parlano degli incidenti accaduti, spesso devono scambiarsi informazioni riservate. Non può diventare una situazione spinosa? Marco Bruno e Vincent Lenders lo escludono categoricamente. Ci sono delle regole che stabiliscono quali informazioni possono essere scambiate e i dati che permettono di identificare l’organizzazione vittima dell’attacco, come ad esempio gli indirizzi IP, vengono anonimizzati.
Piuttosto, Vincent Lenders è convinto che la difficoltà sia un’altra: «La sfida principale è trovare modelli di partnership che assicurino gli stessi benefici a entrambe le parti a fronte di un investimento analogo.» Le organizzazioni coinvolte devono quindi sviluppare un modello in cui la collaborazione sia uno scambio alla pari.
Entrambi gli specialisti sono concordi nell’affermare che lo sforzo richiesto per portare avanti lo scambio è ampiamente ripagato. «Le due parti dovrebbero unire le loro risorse per coordinare meglio la cyberdifesa, che diventa così più efficiente», conclude Vincent Lenders.