La digitalizzazione a tappe forzate su impulso della pandemia ha aumentato la superficie di attacco e ha moltiplicato l’attivismo del cybercrime soprattutto verso amministrazioni pubbliche e sanità, come hanno evidenziato diverse testimonianze in occasione del Forum Pa 2021. È però cresciuta al contempo la consapevolezza della centralità delle infrastrutture informatiche e della loro difesa per la resilienza del paese. Grazie alle risorse dedicate alla sicurezza dal PNRR e alla recente creazione dell’Agenzia per la sicurezza nazionale cibernetica ci sono le condizioni per definire e mettere in atto una nuova strategia di protezione coordinata per tutte le amministrazioni
“La pandemia ha evidenziato che la sfera cibernetica è un asset fondamentale della vita politica ed economica delle democrazie evolute”. Se si concorda con questa dichiarazione di Ivano Gabrielli, Direttore della III Divisione del Servizio Polizia Postale e delle Comunicazioni, l’immediata conseguenza è garantire la sicurezza informatica per le amministrazioni pubbliche come condizione per la resilienza del Paese. “Inevitabile immaginare sistemi organizzativi nella Pa che mettano al centro il tema della sicurezza informatica finora marginalizzata rispetto alla conduzione di sistemi operativi e all’erogazione di applicativi”, aggiunge Gabrielli che evidenzia come nell’ultimo anno siano aumentati del 130% gli attacchi informatici rilevati dal centro della Polizia Postate e del 230% i reati contro le persone commessi tramite rete.
La pandemia ha giocato un ruolo importante diretto e indiretto. Lo ricorda Priscilla Inzerilli, membro dell’Associazione Italiana Esperti in Infrastrutture Critiche, evidenziando che il Covid è stato il cavallo di troia per il 90% dei messaggi spam e fishing che hanno avuto come target soprattutto singoli e lavoratori in smart working in condizioni di scarsa sicurezza. L’Italia si è posizionata al terzo posto per numero di attacchi informatici con quasi 5 milioni di malware rilevati con target principale il settore pubblico, seguito dal bancario, dalla produzione industriale e dal settore sanitario. “Questo posizionamento può avere anche una valenza positiva: indica infatti un elevato numero di detection, la capacità di comunicazione degli eventi e dell’implementazione delle misure di sicurezza”, sottolinea Inzerilli.
Secondo una ricerca Vmware, rivolta a Cio e Ciso, a cui fa riferimento Rodolfo Rotondo, Business Solution Strategist Director dell’azienda, la quasi totalità delle aziende italiane ha subito almeno un attacco, l’83% con esito negativo sulla reputazione e un terzo con danni finanziari, realizzata. A livello globale si stima danno da cyber crime di 6mila miliardi di dollari in crescita.
Quali priorità di investimento?
Il primo punto da chiarire, secondo Claudia Biancotti, Senior Economist in the International Economics and International Relations Department – Banca d’Italia, riguarda la correlazione fra investimenti in sicurezza e perdite economiche. “Talvolta esiste la tentazione, sulla base dell’analisi degli incidenti cyber, di sostenere che la prevenzione non serva; vediamo infatti che proprio le imprese che fanno più investimenti vengono attaccate di più. Questa è però una correlazione spuria”. Le imprese che hanno proprietà intellettuale di valore e contenuti tecnologici importanti da un lato risultano interessanti per gli attaccanti e dall’altro sono sensibili alla tematica sicurezza e, di conseguenza, investono di più. “Se si è investito per evitare dipendenze da un singolo componente, per creare ridondanze, rendere più difficile l’ingresso degli attaccanti, si è fatta formazione interna, certo non si evitano tutti gli attacchi ma, quando avvengono, si prevengono, le conseguenze particolarmente costose”.
Se investire conviene quali sono le priorità?
Secondo Fabrizio Gergely, Systems Engineering Manager – Cisco, in un contesto di lavoro sempre più ibrido dove oltre il 90% dei meeting prevede almeno un partecipante da remoto che utilizzerà un device non sotto il controllo dell’organizzazione, la sfida è garantire sicurezza e privacy senza impattare sulla User Experience. “È fondamentale l’integrazione di soluzioni, l’uso di piattaforme aperte e programmabili , API e informazioni da condividere, superando un monitoring tradizionale reattivo, organizzato su silos spesso non coerenti in termini organizzativi”.
Giuseppe Russo, Security Assurance Manager – Amazon Web Services, si focalizza sul ruolo di intelligenza artificiale e machine learning, per la sicurezza e la governance delle infrastrutture. “La prima strategia di protezione è monitorare cosa sta accadendo nell’infrastruttura, generando opportuni log che vanno centralizzati, a partire dai quali l’AI potrà individuare eventuali eventi ostili e mettere in atto fasi di remediation”.
Anche Rotondo mette al centro l’aumento della visibilità estesa nelle infrastrutture, andando a superare la situazione prevalente che vede tanti tool per diversi domini di sicurezza, strumenti che comunicano poco e male fra loro, in favore di un nuovo approccio che veda i punti di vulnerabilità (cloud, end point, rete, workload…) come punti di controllo, condizioni per una gestione del rischio ottimale e un’implementazione dinamica zerotrust.
Collaborazione è la parola chiave per affrontare le sfide della sicurezza
Un approccio esclusivamente tecnologico non è però sufficiente. “La collaborazione fra risk management, sicurezza e IT, in allineamento con business, è fondamentale per il successo di qualunque organizzazione”, sottolinea Massimo Vulpiani, Regional Director Europe South – RSA. La pandemia ha aumentato la consapevolezza della necessità di collaborazione come emerge da un sondaggio effettuato in ambito RSA Risk Report “La risposta al rischio strategico analizzato deve essere olistica – aggiunge – Sarebbe ideale che le diverse funzioni utilizzassero le stesse metodologie e gli stessi strumenti automatizzati per rendere confrontabili i risultati su cui basare le decisioni appropriate”.
La collaborazione è considerata essenziale dalla maggior parte dei partecipanti al dibattito.
Claudio Rando, Cyber Security Division – Public Administration, Defence & International Agencies Line of Business VP Head of Sales – Leonardo, fa riferimento alla necessità di collaborazione a partire dall’UE che sta avviando un approccio unico anche sulla sicurezza. Un’idea che va oltre la protezione dell’esistente verso le nuove piattaforme che devono nascere intrinsecamente sicure. Concetto ribadito anche da Giorgio Gallucci, Head of Technology Information Security – WindTre, che vede la sicurezza non come un add on ma un elemento centrale fin dalla progettazione, dalla selezione dei prodotti, dei fornitori, dei requisiti.
Per fronteggiare l’aumento della superficie di esposizione l’unica via è fare rete. “L’interdipendenza fra i diversi attori può essere visto come fattore di vulnerabilità ma anche di forza – è l’opinione di Inzerilli – Servono risorse e strategie condivise per la resilienza del sistema paese, con l’ampliamento del perimetro dei soggetti che forniscono servizi critici”.
I punti di forza su cui contare sono l’Agenzia per la sicurezza nazionale cibernetica che si sta configurando come una sorta di strategia olistica che, con il PNRR, diventa l’interlocutore unico per il pubblico e per il privato, a vantaggio delle amministrazioni che possono fruire di risorse (620 milioni dedicati alla sicurezza) e competenze.
Tuttavia sono ancora molti i limiti da superare.
Si deve ad esempio lavorare per innalzare la consapevolezza e la cultura anche a livello delle amministrazioni locali, che oggi non hanno strumenti e le competenze per rispondere con la velocità necessaria agli attacchi e limitare i danni.
“Serve uno stimolo ulteriore per superare la frammentazione nelle amministrazioni che in questi anni ha creato una situazione disomogenea” conclude Gabrielli”, che ribadisce l’importanza di linee guida unitarie per la cybersecurity provenienti dal PNRR e dall’Agenzia. “Tutte le amministrazioni sono chiamate a convergere verso soluzioni trasversali per essere utilmente protette”.