“Il tema della protezione delle identità è importantissimo per noi”, dice Tamara Zancan, direttore cybersecurity, compliance e identity di Microsoft Italia. “Continuiamo a dire da anni che la MFA (multi factor authentication) aiuta in un primo livello di sicurezza, anche molto importante. Perché noi stessi di fatto abbiamo rilevato che più del 99% degli account compromessi lo è stato anche perché non era stata attivata l’autenticazione a più fattori”. Non è una questione di sensazioni: lo confermano anche le ricerche svolte dagli ingegneri di Microsoft. “Hanno stabilito tramite analisi che abilitandola si riduce del 99% il rischio di compromissione. Proprio per questo dovrebbe essere la prima barriera difensiva”.
Eppure, molto spesso questa misura apparentemente semplice e diffusa anche nel mondo consumer non viene implementata. Ma perché? Il primo scoglio alla sua adozione è quello della ritrosia da parte degli utenti, che la considerano troppo complessa. “Le persone si lamentano”, spiega Zancan. incluso il board, che pur essendo composto dalle persone che hanno accesso alle informazioni più sensibili “non vuole avere troppi strumenti per autenticarsi”.
La presunta difficoltà di utilizzo, però, è solo una delle cause, e a questa se ne aggiungono altre, anche di tipo tecnico, perché “in molte infrastrutturi si trova un mix di applicativi moderni e legacy”, e non sempre è facile implementare un controllo dell’accesso a più fattori. A volte l’implementazione di misure più restrittive potrebbe essere fattibile anche nel caso delle applicazioni legacy, ma questo richiede di mettere in piedi progetti che comportano un dispiego non trascurabile di risorse “e spesso i team sono già sotto forte pressione”. Questo delle risorse è un tema chiave, e non è relativo solamente all’adeguamento dei vecchi sistemi secondo la manager di Microsoft Italia: “ci ritroviamo con clienti che magari hanno acquistato la tecnologia e che poi non la adottano proprio perché non hanno le risorse in termini di persone, o perché ci sono priorità di business che mettono in secondo piano questo aspetto”.
Siamo dunque destinati a vedere sempre più attacchi informatici che vanno a buon fine proprio grazie alla mancata adozione di misure che dovrebbero essere standard? Secondo la manager di Microsoft non è detto, anche perché negli anni il gap all’adozione si sta riducendo. In parte grazie anche una maggiore consapevolezza da parte degli utenti e dei dirigenti stessi. In parte, per la spinta delle aziende stesse, come nel caso di Microsoft, che sta introducendo progressivamente l’obbligo di MFA per autenticarsi su Azure. “Tra virgolette stiamo imponendo il suo utilizzo, perché non possiamo pensare di non adottarla: è il primo livello di base per la protezione”.
Per far passare questo messaggio, però, imporre un obbligo non basta, e Microsoft sta lavorando da tempo sulla sensibilizzazione, sia sui propri clienti, sia sulle autorità e sugli organi statali. Un lavoro che negli anni sta dando i suoi frutti, ma che non è semplice, visto anche che “siamo di fronte a un’accelerazione spaventosa degli attacchi informatici, e mettersi al passo non è facile”.
Se non lo è per le grandi aziende, è facile immaginare che per le realtà più piccole e meno strutturate la situazione sia ancora più difficile. Pensiamo al fatto che per chi lavora nel settore della sicurezza informatica tende quasi a dare per scontato delle cose, stupendosi per esempio se non viene usata la MFA o se un’azienda si affida a sistemi IT non aggiornati alle ultime patch di sicurezza, ma la realtà è più complessa e “ci sono tantissime complessità all’interno delle imprese”. Fra queste, anche il convincere le persone a cambiare approccio e iniziare a usare la MFA: “quando tantissime persone in azienda si lamentano della complessità di accesso, è difficile non tenerne conto, perché rappresentano un ostacolo”. Per comprendere cosa significhi, proviamo a metterci nei panni degli operatori del supporto tecnico, che si trovano oberati da centinaia di ticket di persone che per un motivo o per l’altro non riescono ad accedere ai sistemi tramite MFA. Significa praticamente bloccare l’azienda, rallentando significativamente la produttività.
Nonostante tutto, però, Zancan si mostra ottimista: “la consapevolezza sta crescendo, anche a causa delle notizie su tutti i giornali, che stanno spingendo il board a capire che in un mondo digitale interconnesso i rischi sono molti più rispetto al passato”. E poi ci sono le leggi, pensiamo a NIS2 o Dora, che daranno un ulteriore spinta. Zancan fa un paragone col settore automobilistico “le cinture di sicurezza un tempo non le metteva nessuno, nonostante non mancassero gli incidenti. Poi, da quando la legge le ha rese obbligatorie, hanno iniziato a usarle quasi tutti”. E lo stesso, secondo Zancan, accadrà con le misure di sicurezza nel mondo aziendale, perché i dirigenti e non solo stanno iniziando a comprendere che basta poco per rovinare definitivamente la reputazione di un’impresa, costruita a fatica dopo anni di lavoro.
In un percorso verso una maggiore sicurezza dei sistemi informativi, la MFA è però solo un primo, fondamentale passo. Da solo non basta. È necessario anche puntare su un approccio di zero trust (“cosa che Microsoft sta facendo da anni”, afferma Zancan) e sul conditional access. Magari anche prevedendo soluzioni passwordless, dove la password non serve più, e viene sostituita da altri sistemi di controllo dell’accesso, più semplici ed efficaci. Il problema è che mettere in piedi un sistema zero trust non è semplice: “sono progetti impegnativi, che prevedono di non fidarsi mai e di verificare sempre l’utente. Richiedono sistemi capaci di monitorare costantemente l’attività delle persone”. Insomma: non si tratta di software che si installano e funzionano da subito, non sono soluzioni chiavi in mano.
Zancan sottolinea anche l’importanza di rispettare le basi della sicurezza informatica, perché è inutile continuare ad integrare soluzioni più evolute e potenti se poi mancano i tasselli fondamentali. “L’anno scorso, a ottobre, abbiamo pubblicato l’ultimo Digital Defence Report, che si concludeva con le solite raccomandazioni: aggiornare i sistemi, applicare le patch”. Insomma: è certamente fondamentale investire in tecnologie di sicurezza evolute e moderne, ma se poi mancano le basi c’è poco da fare. Tornando al paragone automobilistico, potremmo dire che è inutile sperare di salvarsi da un’incidente con l’auto più sicura del mondo se poi non si indossano le cinture.
