Nei futuri annali dell’IT, il 2017 verrà ricordato anche come l’anno funesto di WannaCry e di Petya: due cyberattack indiscriminati e di portata sovranazionale, che altro non sono, peraltro, se non la punta di un iceberg. L’estensione globale e capillare della cyber warfare non va più sottovalutata: l’evenienza di un cyber-assalto non va più considerata come un’eccezione, ma come una minaccia reale.
Nella rivoluzione digitale, la sicurezza si pone ormai come una pre-condizione di qualsiasi attività delle imprese e delle istituzioni, tanto più con l’avvento dell’IoT e dell’Industry 4.0. Le aziende, e tutto il Sistema-Paese, si trovano di fronte a un aut aut: solo se c’è garanzia di cybersecurity ci sono anche sviluppo, innovazione e competitività. Se invece manca, sale ulteriormente il rischio di esclusione dal club delle nazioni a economia evoluta.
Una panoramica completa e aggiornata della situazione e delle prospettive della sicurezza digitale in Italia è emersa dall’8a Conferenza Nazionale sulla Cyber Warfare – 2017, ideata e organizzata nelle scorse settimane scorso a Milano da Inthecyber, in collaborazione con NetConsulting Cube, Cersa e Clusit. Se già nel 2016 nel nostro Paese il cybercrimine colpiva un’azienda su cinque, le stime più aggiornate, relative al primo semestre 2017, attestano addirittura al 47% la percentuale d’imprese attaccate, comprese quelle che evitano di diffondere la notizia dell’assalto. Secondo uno studio di Trend Micro, sempre nel periodo gennaio-giugno 2017, l’Italia figura al settimo posto tra le nazioni più colpite da ransomware con il 2,53% degli attacchi effettuati nel mondo.
Ma ciò che più preoccupa è il ritmo dell’escalation. Così, per esempio, solo nel primo semestre dell’anno, il numero di app maligne scaricate nel nostro Paese è stato di 2.033.399, sfiorando praticamente il dato complessivo del 2016 (pari a 2.646.804) e ponendo l’Italia al quarto posto in Europa dopo Russia, Francia e Lussemburgo.
Sempre nella prima metà del 2017, inoltre, il numero totale di malware intercettati in Italia è di 19.014.693, quando in tutto il 2016 erano stati 22.104.954. Le comunicazioni spam inviate dall’Italia sono state 7.831.222, le visite a siti maligni hanno toccato quota 6.983.362, mentre 1.525 sono stati i malware di online banking – in calo rispetto al 2016 e al 2015 – e 22.327 gli attacchi con exploit kit rilevati.
Infine, secondo una stima del Dis-Dipartimento delle informazioni per la Sicurezza (l’organo di cui si avvalgono il Presidente del Consiglio dei ministri e l’Autorità delegata per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa, nell’analisi e nelle attività operative dei servizi di intelligence dello Stato italiano), l’80% delle aziende italiane è sotto attacco ma non lo sa. I numeri dello scenario italiano sono più che eloquenti. Cresce quindi l’esigenza di accelerare i tempi del progetto nazionale di cyber security, che vada a inscriversi all’interno delle misure più complessive richieste a livello comunitario: a cominciare dalla Direttiva 2016/1148 – meglio nota come direttiva Nis-Network and Information Security – e dal GDPR, il Regolamento UE 2016/679 sulla protezione delle persone fisiche, sul trattamento dei dati personali e sulla libera circolazione di tali dati.
I tre pilastri Ue per la cyber security
La Direttiva Nis contiene una serie di misure legislative destinate a creare un livello comune, quanto più elevato possibile, di sicurezza delle reti e in generale dei sistemi informativi all’interno dell’Unione Europea e che dovrà essere recepita dagli Stati entro il 9 maggio 2018. In Italia, il Parlamento ha dato il via libera all’attuazione della Direttiva Nis solo lo scorso ottobre, ma potrebbe trarre vantaggio da tale ritardo avendo già a disposizione alcuni esempi concreti di recepimento (in Germania, Repubblica Ceca e Regno Unito, malgrado Brexit), nonché le indicazioni della Commissione europea su come attuarla in maniera efficace.
Who's Who
Umberto Gori
“Tre – ha ricordato Umberto Gori, professore emerito dell’Università di Firenze e direttore scientifico della Conferenza – sono i pilastri indicati dall’Unione Europea per gestire la cyber sicurezza: il primo è quello della direttiva Nis, il secondo è costituito dal GDPR e il terzo consiste nell’incremento costante della resilienza dei sistemi informatici. Secondo dati Europol, solo in Europa sono stati rubati ben 2 miliardi di dati in un anno. Ed è tempo ormai di andare oltre anche i confini europei: e infatti il Governo Gentiloni ha lanciato al G7 la proposta di un codice internazionale di condotta per tutti gli Stati nel ciberspazio da promulgare a livello mondiale con il sostegno dell’Onu”.
Who's Who
Paolo Lezzi
In Italia, con il Dpcm del 17 febbraio scorso, il Governo Gentiloni ha avviato anche una nuova fase del programma di efficientamento del sistema di sicurezza informatica nazionale: “Ma siamo ancora agli inizi di un presidio continuativo di difesa fattivo ed efficace – ha puntualizzato Paolo Lezzi, Ceo di Inthecyber e chairman della Conferenza –, che dev’essere determinato da reali processi di analisi a monte, della security by design del software, da verifiche continue ed esercitazioni concrete. In Italia facciamo molta resistenza a effettuare prove reali sul campo, mentre negli Stati Uniti si è abituati a fare esercitazioni a qualsiasi livello, dall’incendio ai disastri naturali fino appunto ai test di difesa digitale nelle aziende e nelle istituzioni. In un settore strategico come questo, anche noi dovremmo cominciare a fare quanto serve per verificare in anticipo le nostre effettive capacità di reazione e di gestione delle situazioni più inattese. Deve crescere anche una capacità di monitoraggio e d’identificazione della minaccia, d’intelligence, per prevedere il meglio possibile quanto sta per accadere. E deve diffondersi la volontà di condivisione delle informazioni e, soprattutto, di formazione continua, sia a livello della singola impresa o istituzione che dell’intero sistema”.
Dalla formazione continua ai nuovi operatori cyber
L’attività formativa di prevenzione contro i cyber attacks va concepita e sviluppata in varie direzioni: “Il primo step – ha sottolineato Lezzi – è sicuramente quello di una consapevolezza diffusa e costante della minaccia in atto. Non possiamo trovarci pronti a difenderci con efficacia se l’allerta non tocca tutti i livelli in un’azienda o in un’istituzione, così come nel più ampio contesto sociale. Perciò la formazione continua non deve limitarsi solo agli addetti ai lavori, anche se, ovviamente, l’attività formativa va differenziata a seconda del ruolo e delle mansioni ricoperte”.
Rientra a pieno titolo nelle misure di difesa in tempi di cyber warfare anche l’impegno a limitare gli effetti del social engineering, della manipolazione dell’informazione e della più complessiva determinazione delle opinioni e dei comportamenti.
“Per far fronte a questo tipo di minaccia – ha rimarcato Lezzi – bisogna pensare alla creazione di veri e propri operatori cyber, cosa che richiede un lavoro intenso e multidisciplinare. Non abbiamo più solo bisogno di tanti ingegneri che realmente capiscano di cyber, ma anche di nuove competenze in grado di individuare, fermare e smascherare le fake news così come tutti quei movimenti d’informazione e opinione che portano addirittura a condizionare le scelte economiche e strutturali delle aziende e delle istituzioni. In questo caso, l’attacco è continuo e subdolo: dobbiamo imparare a individuare gli aspetti di disinformazione e avere una capacità di controinformazione e di analisi comportamentale, d’intelligence sociale e tecnica sia a livello aziendale sia a livello aggregato, settoriale o geografico, arrivando a costituire un apparato di difesa federato e diffuso con coordinamento nazionale e sovranazionale anche sul piano della cooperazione economica e politica”.
