Il problema dei silos della sicurezza
La maggior parte delle organizzazioni tratta la sicurezza come tre discipline separate. Il dipartimento IT gestisce la cybersicurezza. Un team tecnico o un appaltatore esterno gestisce la sicurezza fisica: badge di accesso, telecamere CCTV, serrature. E le risorse umane, nella misura in cui lo fanno, si occupano di quella che potremmo definire vagamente "sicurezza delle persone": verifica dei precedenti, minacce interne, sensibilizzazione al social engineering. Questi tre domini quasi non comunicano mai tra loro.
Questa compartimentazione non è una debolezza teorica. È la lacuna più sfruttata nella sicurezza moderna. Gli attaccanti non rispettano il vostro organigramma. Un avversario determinato combinerà un'e-mail di phishing con un accesso fisico tramite tailgating, sfrutterà un dipendente psicologicamente vulnerabile e si sposterà lateralmente attraverso sistemi che nessun singolo team di sicurezza stava monitorando dall'inizio alla fine.
ObsidianCorps è stata fondata su una semplice osservazione: i fallimenti di sicurezza più devastanti che abbiamo esaminato hanno sempre coinvolto un fallimento all'intersezione dei domini informatico, fisico e umano. L'attacco è riuscito precisamente perché nessun singolo team aveva il quadro completo.
Comprendere i tre domini
Cybersicurezza: il perimetro digitale
Questo è il dominio in cui la maggior parte delle organizzazioni investe più massicciamente, e con buone ragioni. Comprende la sicurezza delle reti, la protezione degli endpoint, la gestione delle identità e degli accessi, la sicurezza delle applicazioni, la protezione dei dati e la risposta agli incidenti. Gli strumenti sono maturi, i framework sono ben consolidati (ISO 27001, NIST CSF, CIS Controls) e il mercato dei talenti, pur sotto pressione, è almeno riconosciuto.
Ma la cybersicurezza da sola ha punti ciechi. In genere presuppone che l'accesso fisico sia controllato e che gli utenti siano chi dichiarano di essere. Quando queste ipotesi vengono meno, anche eccellenti difese informatiche crollano.
Sicurezza fisica: il perimetro materiale
La sicurezza fisica copre il controllo degli accessi agli edifici e alle aree sensibili, la videosorveglianza, i controlli ambientali e la protezione dei beni fisici. In Lussemburgo, in particolare nel settore finanziario, gli standard di sicurezza fisica sono spesso elevati, trainati dai requisiti normativi della CSSF e dagli standard per i data center come ISO 27001 Allegato A.11.
La debolezza della sicurezza fisica considerata isolatamente è che si concentra sulla prevenzione degli accessi fisici non autorizzati, ma spesso non considera come l'accesso fisico possa essere sfruttato per attacchi informatici. Un dispositivo USB lasciato in un parcheggio, un dispositivo non autorizzato collegato a una porta di rete non sorvegliata, una password spiata a una postazione condivisa: questi sono attacchi informatici che hanno origine nel dominio fisico.
Sicurezza psicologica: il perimetro umano
Questo è il dominio meno maturo e meno investito, eppure è quello da cui partono la maggior parte degli attacchi. La sicurezza psicologica comprende la comprensione di come le persone prendono decisioni sotto pressione, di come la fiducia e l'autorità vengono sfruttate attraverso il social engineering, di come si sviluppano le minacce interne e di come la cultura organizzativa e i livelli di stress influenzino il comportamento di sicurezza.
Il social engineering non è un attacco puramente tecnico. È una manipolazione psicologica che sfrutta pregiudizi cognitivi: pregiudizio di autorità, urgenza, reciprocità, riprova sociale. Difendersi richiede di comprendere la psicologia umana, non solo di distribuire filtri e-mail.
Convergenza delle superfici di attacco: come le minacce attraversano i domini
Il concetto di convergenza delle superfici di attacco descrive ciò che accade quando gli attaccanti combinano deliberatamente tattiche dei domini informatico, fisico e psicologico per raggiungere obiettivi che sarebbero impossibili all'interno di un singolo dominio.
Esempio 1: La compromissione del dirigente
Un attaccante effettua ricerche su un CFO su LinkedIn e sui social media (intelligence open source, una tecnica informatica). Osserva la routine quotidiana del dirigente, incluso il ristorante preferito per il pranzo (sorveglianza fisica). Al ristorante, avvia una conversazione casuale creando un rapporto di fiducia (manipolazione psicologica). In successivi incontri "casuali", viene a sapere di un'acquisizione imminente. Elabora quindi un'e-mail di spear-phishing altamente mirata che fa riferimento a dettagli specifici della conversazione. Il CFO fa clic perché l'e-mail sembra autentica; fa riferimento a un contesto reale e riservato.
Nessun singolo dominio di sicurezza avrebbe rilevato questo. Il monitoraggio OSINT avrebbe potuto segnalare la fase di ricognizione. La consapevolezza della sicurezza fisica avrebbe potuto rendere il dirigente cauto riguardo all'incontro "casuale". Le difese informatiche avrebbero potuto intercettare l'e-mail di phishing. Ma solo un approccio integrato collega questi punti.
Esempio 2: L'escalation della minaccia interna
Un dipendente viene scavalcato per una promozione e mostra visibilmente il suo malcontento (indicatore psicologico). Inizia ad accedere a file al di fuori del suo normale ambito (indicatore informatico). Comincia a venire in ufficio a orari insoliti (indicatore fisico). Aggiorna il suo profilo LinkedIn e inizia a connettersi con concorrenti (indicatore OSINT).
In un'organizzazione a silos, le risorse umane vedono un problema di morale, la sicurezza IT rileva schemi di accesso anomali e la sicurezza fisica nota badge swipe insoliti. Nessuno collega questi segnali in un quadro coerente di minaccia interna finché i dati non sono stati esfiltrati.
Esempio 3: Il ponte fisico-informatico nella supply chain
Un attaccante compromette un'impresa di pulizie che serve un edificio per uffici (supply chain, accesso fisico). Un addetto alle pulizie, intenzionalmente o con un badge compromesso, installa un piccolo impianto di rete (un dispositivo simile a un caricabatterie per telefono) dietro una scrivania dopo l'orario di lavoro. Il dispositivo fornisce accesso remoto persistente alla rete interna, aggirando tutte le difese informatiche perimetrali. Il vettore di violazione iniziale era interamente fisico; lo sfruttamento era interamente informatico.
Perché l'integrazione fallisce: le barriere organizzative
Se il caso per l'integrazione è così chiaro, perché le organizzazioni continuano a operare in silos? Diverse barriere strutturali persistono:
- Linee di reporting: la cybersicurezza riporta al CIO o al CTO. La sicurezza fisica riporta ai servizi generali o alle operazioni. Le risorse umane riportano al CHRO. Hanno budget diversi, priorità diverse e metriche diverse.
- Culture professionali: i professionisti della cybersicurezza parlano un linguaggio diverso da quelli della sicurezza fisica. Partecipano a conferenze diverse, detengono certificazioni diverse e spesso hanno tolleranze al rischio diverse.
- Lacune negli strumenti: le piattaforme SIEM informatiche non acquisiscono i log di controllo degli accessi fisici. I sistemi di sicurezza fisica non si correlano con le piattaforme di gestione delle identità. Non esiste una dashboard unificata.
- Competizione per il budget: i budget per la sicurezza sono limitati. I team informatici, fisici e di formazione si contendono gli stessi fondi invece di investire in capacità integrate.
- Frammentazione normativa: diverse normative enfatizzano domini diversi. Le circolari della CSSF si concentrano sul rischio IT. Le normative antincendio si concentrano sulla sicurezza fisica. Il GDPR si concentra sulla protezione dei dati. I team di conformità affrontano ciascuna isolatamente.
Il framework di valutazione della sicurezza olistica di ObsidianCorps
Abbiamo sviluppato un framework pratico per valutare e migliorare la postura di sicurezza integrata. Valuta cinque dimensioni in tutti e tre i domini di sicurezza:
Dimensione 1: Governance e leadership
Esiste un unico punto di responsabilità per la sicurezza in tutti e tre i domini? Il consiglio di amministrazione riceve un briefing di sicurezza integrato o rapporti separati su sicurezza informatica e fisica? Esiste una strategia di sicurezza unificata?
Dimensione 2: Valutazione del rischio
La valutazione del rischio considera scenari di attacco cross-domain? I modelli di minaccia sono limitati alle minacce informatiche o includono vettori di attacco fisici e psicologici? Scenari come quelli descritti sopra fanno parte dell'analisi del panorama delle minacce?
Dimensione 3: Rilevamento e monitoraggio
Siete in grado di correlare eventi tra domini? Se un dipendente si badge nell'edificio alle 3 di notte e contemporaneamente accede alla VPN da un IP straniero, qualcuno nota la contraddizione? I log di controllo degli accessi fisici, i log di eventi informatici e i segnali HR alimentano un processo di analisi comune?
Dimensione 4: Risposta e ripristino
Il piano di risposta agli incidenti copre gli incidenti di sicurezza fisica? Gli incidenti di social engineering? Le minacce interne? O è puramente un manuale di risposta agli incidenti informatici? Le simulazioni di crisi sono multi-domain o testano solo le capacità IT?
Dimensione 5: Cultura e consapevolezza
La formazione sulla consapevolezza della sicurezza copre la sicurezza fisica (tailgating, clean desk) e la manipolazione psicologica (social engineering, pretexting) insieme al phishing? La segnalazione è incoraggiata in tutti i domini? Un dipendente può segnalare un'osservazione fisica sospetta con la stessa facilità con cui segnala un'e-mail sospetta?
Valutiamo ogni dimensione su una scala di maturità da 1 (ad hoc) a 5 (ottimizzato), generando un grafico radar che evidenzia visivamente le lacune di integrazione. La maggior parte delle organizzazioni ottiene buoni punteggi sulle capacità dei singoli domini ma punteggi bassi sull'integrazione cross-domain.
Passi pratici verso l'integrazione
L'integrazione completa è un percorso pluriennale, ma progressi significativi sono raggiungibili in mesi. Ecco da dove raccomandiamo di iniziare:
Passo 1: Reporting unificato
Istituire un unico briefing sulla sicurezza per la leadership che copra tutti e tre i domini. Ciò non richiede una riorganizzazione. Richiede una riunione mensile in cui il CISO, il responsabile della sicurezza fisica e il rappresentante della sicurezza HR presentino insieme e discutano le intersezioni.
Passo 2: Scenari di minaccia cross-domain
Aggiungete almeno tre scenari cross-domain al vostro registro dei rischi. Modellate i percorsi di attacco descritti in questo articolo e valutate la vostra attuale capacità di rilevamento e risposta. Utilizzate questi scenari nel vostro prossimo esercizio di simulazione di crisi.
Passo 3: Correlazione dei log
Integrate i log di controllo degli accessi fisici nel vostro SIEM insieme ai dati degli eventi informatici. La maggior parte dei moderni sistemi di controllo degli accessi può esportare dati syslog o CSV. Anche regole di correlazione di base, come l'alert su accesso VPN dall'estero mentre il badge dell'utente indica che si trova nell'edificio, forniscono un valore significativo.
Passo 4: Formazione integrata sulla consapevolezza
Ristrutturate il vostro programma di sensibilizzazione alla sicurezza in modo da affrontare tutti e tre i domini in ogni sessione, anziché trattare la sicurezza fisica e il social engineering come argomenti separati. Le persone incontrano queste minacce in modo integrato; la formazione dovrebbe riflettere questa realtà.
Passo 5: Esercitazioni congiunte
Organizzate almeno una simulazione di crisi all'anno che includa elementi fisici e psicologici accanto allo scenario informatico. Nell'esercitazione includete un tentativo di intrusione fisica, una chiamata di social engineering o un'interrogazione da parte dei media, non solo alert di rete.
Il vantaggio lussemburghese
Il Lussemburgo è posizionato in modo unico per l'adozione della sicurezza olistica. Le dimensioni ridotte del paese significano che le comunità di sicurezza informatica, fisica e umana si sovrappongono significativamente. Organizzazioni come CIRCL forniscono un'eccellente intelligence sulle minacce informatiche. La maturità normativa del settore finanziario sotto la supervisione della CSSF significa che le strutture di governance sono già in atto. E l'ambiente multilingue e multiculturale del Lussemburgo crea una naturale consapevolezza dei vettori di social engineering che sfruttano presupposti linguistici e culturali.
La sfida è collegare questi punti di forza in un approccio unificato. Le organizzazioni che ci riescono avranno un reale vantaggio competitivo, in particolare nei settori dei servizi finanziari e dell'amministrazione di fondi dove la fiducia e la resilienza sono elementi differenziatori.
Il futuro è integrato
La tendenza è inequivocabile. NIS2 richiede "un approccio multirischio" alla sicurezza. DORA impone la "resilienza operativa digitale" che comprende la gestione del rischio ICT, la gestione degli incidenti e i test di resilienza. I sottoscrittori di assicurazioni chiedono sempre più spesso informazioni sui programmi di sicurezza fisica e minacce interne accanto ai controlli informatici.
Le organizzazioni che continuano a trattare la sicurezza informatica, fisica e psicologica come discipline separate si ritroveranno sempre più vulnerabili agli attaccanti che non condividono quella visione compartimentata. Il caso per la sicurezza olistica non è teorico. È operativo, normativo e finanziario. L'unica domanda è se integrerete in modo proattivo, alle vostre condizioni, o in modo reattivo, dopo un incidente che ha sfruttato le lacune tra i vostri silos.
