Il concetto di “agente di minaccia – threat actor”

In relazione all’approfondimento dell’analisi dei rischi sui dati, in questo articolo si desidera analizzare il concetto di “agente di minaccia – threat actor”.

Partiamo da una fonte ufficiale: il rapporto ENISA Threat Landscape (ETL) è il rapporto, pubblicato annualmente dalla Agenzia dell’Unione europea per la cibersicurezza, relativo alla sicurezza informatica; la nona edizione, del mese di ottobre 2021, rendiconta il periodo aprile 2020 – luglio 2021. La finalità del rapporto è quella di evidenziare le principali minacce e le loro tendenze rispetto al periodo precedente, gli agenti di minaccia e le misure di mitigazione da porre in atto.

Le 9 minacce principali individuate dal rapporto sono:

  1. Ransomware
  2. Malware
  3. Crittografia
  4. Minacce relative alla posta elettronica
  5. Minacce contro i dati
  6. Minacce alla disponibilità e all’integrità
  7. Disinformazione
  8. Minacce involontarie
  9. Attacchi alla catena di fornitura/approvvigionamenti

Come è facile intuire, tali minacce non riguardano solo la protezione dei dati personali ai fini del Regolamento UE 2016/679 (GDPR), ma anche il concetto di sicurezza delle informazioni nella sua concezione più ampia.

Gli agenti di minaccia – Gli agenti di minaccia sono le entità che sono responsabili della minaccia; essi sono identificabili in:

  • Persone malintenzionate – agenti che operano in modo volontario;
  • Persone non malintenzionate – agenti che operano in modo involontario;
  • Infrastrutture tecnologiche;
  • La natura.

Essendo essi gli agenti responsabili delle minacce, per individuarli è necessario prima individuare le minacce relative.

Ad esempio, un libero professionista, che tratta dati per conto dei clienti, a fronte della minaccia “diffusione dei dati” non è minacciato dall’agente: “persona malintenzionata dipendente infedele, ma è minacciato dall’agente “persona malintenzionata fornitore infedele o dalla persona non malintenzionata”, dove l’agente è lo stesso libero professionista, che tramite operazioni errate, compiute in buona fede, ma in modo negligente, diffonde i dati.

Agente di minaccia: le persone – Ecco alcune specificità circa le persone malintenzionate o non malintenzionate:

  • Possono essere persone interne all’organizzazione o esterne come ad esempio clienti, utenti, visitatori, fornitori, manutentori, tecnici dell’assistenza, agenti, ecc.;
  • Possono essere classificate sulla base della spinta motivazionale, che a sua volta può essere:
    + volontaria (persone malintenzionate), come nel caso di esibizionisti, attivisti, spie/entità ostili, ladri/truffatori, hacker,
    + involontaria (persone non malintenzionate), è il caso di persone demotivate, disinformate, non istruite o erroneamente istruite/informate, negligenti, non consapevoli, ecc.;
  • Possono mettere in atto la minaccia in modo diretto o indiretto; in quest’ultimo caso, tramite un altro agente di minaccia, ad esempio una persona non malintenzionata o uno strumento come un attacco guidato dall’intelligenza artificiale.

Le persone malintenzionate possono:

  • Agire per un interesse personale monetizzabile (ad esempio per rivendere delle informazioni ad un cliente);
  • Agire per vendetta – ovvero un interesse personale non monetizzabile (ad esempio un dipendente scontento che si vuole vendicare di un mancato riconoscimento cancellando i dati sul cloud);
  • Operare su commissione da parte di organizzazioni ostili (concorrenti, partner, ricattatori, altri soggetti interessati a diminuire il valore dell’azienda sul mercato, governi), quindi esclusivamente sulla base di un tornaconto personale, non necessariamente monetizzabile. L’obiettivo dei soggetti terzi non è necessariamente solo quello di ottenere delle informazioni, ma anche di divulgare fake news o di minare la credibilità dell’entità oggetto dell’attacco;
  • Operare su base ideologica (in caso di manifestazioni, insurrezioni, rivolte, scioperi, ecc.).

Agente di minaccia: le infrastrutture tecnologiche – Gli agenti di minaccia ricompresi nella famiglia delle infrastrutture tecnologiche sono: impianti, attrezzature, connessioni, SW, ecc. Tra i dispositivi vanno considerati anche quelli governati da sistemi di intelligenza artificiale; questi ultimi anzi, vista la rapidissima diffusione e la portata delle loro implicazioni, potrebbero essere considerati come una famiglia di agenti di minaccia a sé stante.

Quindi, anche l’ingegneria delle infrastrutture fisiche deve essere considerata, al fine di mitigare le minacce innescate da agenti di minaccia.

Le cause che rendono un’infrastruttura in un agente di minaccia si possono classificare:

  • Intrinseche – guasto a seguito di errore di progettazione; fra tanti: un errore di dimensionamento o di valutazione delle condizioni in cui un componente può operare, ad esempio: il range di temperatura;
  • Innescate da persone malintenzionate – ad esempio: non viene volutamente avviato l’impianto di condizionamento o viene sabotato in modo tale che il componente lavori a temperature diverse da quelle del range previsto dal costruttore;
  • Originate da persone non malintenzionate – un caso: l’addetto alla manutenzione dell’impianto di condizionamento non è a conoscenza del piano di manutenzione, ovvero è oberato di lavoro, quindi non riesce ad effettuare la manutenzione programmata e non avvisa il suo superiore; di conseguenza l’impianto non viene manutenuto e si guasta; ciò comporta l’innalzamento del range di temperatura.

Agente di minaccia: la natura – In questo caso le minacce sono rappresentate da: incendi, allagamenti, esondazioni, terremoti, uragani, frane, eruzioni, condizioni climatiche, temperatura, umidità, polvere, ecc. Alcuni autori però non considerano la natura un agente di minaccia.

Minacce innescate da più agenti – Ovviamente una stessa minaccia potrebbe essere innescata da agenti diversi. Ad esempio l’incendio potrebbe essere originato da un fulmine (evento naturale) o da un evento riconducibile ad un cortocircuito in un impianto elettrico non adeguatamente protetto (infrastruttura). Analogamente un allagamento può essere provocato da un’esondazione (evento naturale) o dalla rottura di una tubazione fognaria (infrastruttura).

In sintesi, la chiara identificazione degli agenti di minaccia contribuisce alla individuazione delle minacce e delle misure per contenerle, diminuendo la gravità/la probabilità e/o aumentando la rilevabilità.

Conclusioni – Effettuare una buona analisi dei rischi è una azione complessa, multidisciplinare e che deve considerare un’ampia varietà i scenari in continua evoluzione; è quindi necessario un approccio olistico alla sicurezza. Come indica il rapporto ENISA: “la sicurezza tradizionale si arricchisce con la protezione fisica ed il ripristino di emergenza”. L’approccio alla sicurezza dev’essere, come cita lo stesso rapporto, “zero-trust”, presupponendo cioè che tutto sia considerato dannoso e non attendibile; è necessario ipotizzare l’assenza di un perimetro, considerato affidabile, all’interno del quale avvenga il trattamento delle informazioni, ovvero una visione il più ampia possibile degli agenti di minaccia al fine di contrastare il range più ampio di vulnerabilità.

Fonte : FederPrivacy