“È improbabile che la legge sulla resilienza informatica rallenti in modo significativo l'aumento della criminalità informatica ed è plausibile che essa comporterà costi più elevati e scelte più limitate per gli europei. L'intento della legge è buono, ma l’effettivo impatto sulla crescente diffusione delle violazioni dei dati e degli attacchi DDoS rischia di essere limitato” è il giudizio tranchant di Chester Wisniewski, principal research scientist di Sophos. Il motivo di scetticismo è nel presupposto di partenza, come tiene a sottolineare il manager: “gli attacchi DDoS ignorano i confini geografici e se soltanto i nuovi dispositivi, soltanto in Europa, saranno più resistenti sarà un ottimo risultato ma non migliorerà i miliardi di dispositivi esistenti, né impedirà di essere attaccati da dispositivi di qualità inferiore negli Stati Uniti, in Brasile, in Vietnam o in Russia”.

Il problema non riguarda solo gli attacchi DDoS, come sottolinea Wisniewski: “la maggior parte degli attacchi ransomware nasce dal fatto che i dispositivi sono privi di patch, nonostante queste vengano rese disponibili in modo tempestivo, o da password rubate. Nessuno di questi problemi viene affrontato nella legge (europea sulla resilienza informatica, N.d.R.). Le intenzioni di fondo sono buone, ma gran parte della normativa impone un ‘buon comportamento in materia di sicurezza’ che non può essere dimostrato, testato o certificato” chiude Wisniewski.

Benvenuta NIS2

Meno critico è il giudizio del manager circa il NIS2: “per quanto riguarda la direttiva NIS2 è attesa da tempo e ormai davvero urgente. L'armonizzazione delle definizioni di chi deve essere conforme nei vari Stati membri, unita a requisiti di segnalazione e regole di conformità più definiti e all'aggiornamento per affrontare le minacce più moderne, dovrebbe dare un grande impulso alla sicurezza e alla stabilità dell'UE contro gli attacchi dirompenti. L'ampliamento dell'elenco dei settori è benvenuto, ma lascia ancora aperta la porta a entità non regolamentate che possono rappresentare un rischio attraverso attacchi alla supply chain.

Per le grandi organizzazioni i requisiti, pur essendo più severi, saranno uniformi in tutta l'UE e potrebbero portare a una maggiore sicurezza senza costi aggiuntivi, grazie ai risparmi derivanti dalla necessità di non dover soddisfare più norme in conflitto tra loro. Per le organizzazioni che operano solo in uno o pochi Stati membri, i requisiti di conformità potrebbero aumentare, ma gli investimenti sono necessari e potrebbero migliorare notevolmente la capacità di difesa e di risposta agli incidenti. Una delle principali preoccupazioni è la carenza di esperti di sicurezza qualificati ed esperti per aiutare le organizzazioni a conformarsi, ma è probabile che molti si rivolgeranno a fornitori di servizi di sicurezza per aumentare i loro team interni, consentendo loro di sfruttare un numero inferiore di esperti esterni per la loro guida esperta” argomenta Chester Wisniewski.

MSSP: un ruolo importante

“Per quanto concerne il ruolo di MSP e MSSP, essi hanno oggi il compito aggiuntivo di fornire non solo gli strumenti più recenti e sofisticati di cybersecurity ai loro clienti, ma anche le competenze e le soluzioni necessarie per garantire che qualsiasi attività dannosa venga riconosciuta, esaminata e che vengano intraprese azioni per mettere in quarantena, rimuovere ed eliminare questa minaccia immediata e altre in futuro.

Gli MSP e MSSP esternalizzano i loro servizi per fornire servizi e soluzioni su misura in base alle esigenze dei clienti in tutti i mercati verticali. Il servizio più importante che offrono, tuttavia, è che i loro clienti sappiano che stanno monitorando e conoscendo ciò che sta accadendo in tempo reale sulla loro rete e che possono intervenire 24 ore su 24, 7 giorni su 7, per 365 giorni, se viene rilevato qualcosa di dannoso.

Con le piccole imprese che continuano a vedere un aumento della complessità e del volume degli attacchi, fornire servizi MDR può essere difficile se gli MSP o MSSP non hanno le risorse o le strutture per offrirli e può essere molto costoso da configurare. Sophos mette a disposizione degli MSP la possibilità di fornire questo servizio, dal solo monitoraggio ai servizi SOC attivi completi, con un team globale di esperti di threat hunting, lasciando la libertà ai partner di scegliere se gestire il loro SOC in collaborazione con il team di Sophos o se affidare in toto le funzionalità del SOC al vendor” spiega Scott Tyson Senior Manager CSP/MSP SOPHOS EMEA.