Il countdown per il lancio della GDPR va accelerando anche in Italia il ritmo di gioco tra domanda e offerta nel mercato della cyber security. Già negli ultimi anni, peraltro, si è assistito a una significativa crescita nel numero di società che offrono strumenti e servizi per affrontare gli attacchi informatici.
Secondo le stime di Unioncamere-InfoCamere, tra 2011 e settembre 2017 le imprese italiane attive nell’ambito dei servizi per la sicurezza informatica o la cyber security sono aumentate del 36,8%, passando da 505 a 691 unità. In parallelo, è cresciuto del 60% anche il numero di addetti, passati nello stesso periodo da 3.504 a 5.609 unità, per una media di 16 addetti per azienda (al 30 giugno 2017).
Il Lazio è la regione con la maggior concentrazione di società: al 30 settembre scorso vi avevano sede 166 imprese (il 24% del totale), grazie anche al rapido sviluppo registrato nel periodo considerato, con 48 aziende in più tra 2011 e settembre 2017. In seconda posizione figura la Lombardia (con 121 imprese e un aumento di 39 aziende dal 2011), seguita a distanza da Campania, Sicilia e Veneto.
Con 3.650 addetti, le imprese di Veneto, Lombardia e Lazio assorbono il 65% delle risorse umane impegnate complessivamente in questo settore. Al quarto posto va segnalato il Trentino Alto Adige, con 525 addetti (pari al 9,4% del totale).
Quello della difesa cyber è un ambito in cui l’offerta di servizi e supporto appare ancora asimmetrica rispetto alla domanda e dove l’impreparazione, l’improvvisazione e la fretta possono costare anche molto care: uno dei temi caldi è senz’altro quello della formazione e dell’esperienza effettiva degli operatori e della valutazione delle loro competenze e dei loro skill.
“La formazione degli operatori cyber – spiega Paolo Lezzi, fondatore e Ceo di InTheCyber, realtà attiva dal 2008 nella cyber defense e nell’intelligence, specializzata nel supportare aziende e istituzioni nella verifica della reale efficacia dei sistemi di difesa adottati e nella loro evoluzione e miglioramento – richiede di fatto un approccio multidisciplinare, oltre a un’innata curiosità della persona stessa. La preparazione tecnica è fondamentale, ma non basta: perché, oltre all’intuito, bisogna avere anche gli strumenti concettuali per poter inquadrare la logica con cui un hacker ha effettuato il suo attacco o un programmatore ha costruito una determinata applicazione. Ed è una capacità di pensare e di correlare più tipica della cultura umanistica, ma che si va perdendo completamente a favore di una formazione di derivazione anglosassone, tendenzialmente più nozionistica”.
I job role degli operatori cyber
Sotto l’ampia etichetta di “operatore cyber”, del resto, sono ormai compresi ruoli e funzioni quanto mai variegati e specialistici. Nei principali siti americani e britannici di recruiting nell’ambito della cyber security, nella lista dei profili considerati appaiono, in media, circa una quarantina di job role: tra i più gettonati si va dal Cyber Security Consultant al Penetration Tester, dal Network Security al Threat Management, dall’Information Assurance al Digital Forensics, e così via.
“Anche in Italia – puntualizza Lezzi – si vanno gradualmente estendendo e definendo meglio le aree d’intervento e i ruoli specifici di chi si occupa di difesa digitale. Le aziende hanno cominciato a capire, infatti, che non ci si può più avvalere semplicemente di tecnici, interni o in outsourcing, per gestire con gli strumenti tecnologici più appropriati le minacce sia in termini di prevenzione che di detection. Bisogna anche dotarsi di una struttura d’intelligence, in grado di riconoscere non solo gli attacchi tecnologici, ma anche quelli di propaganda e d’information warfare in senso stretto: mettendo in conto oltre all’eventualità del furto di dati e notizie, anche quella di manipolazione dell’informazione e dell’opinione pubblica. Basti pensare, per esempio, al social engineering nei confronti dei dipendenti delle aziende e delle istituzioni: qui si deve riuscire a capire il suo grado di pericolosità dal modo di comportarsi, di comunicare e di procedere che caratterizzano l’attacco. Bisogna saper cogliere all’interno dei social network certe modalità d’intervento e di sottolineatura di determinate informazioni, anche per capire se si stanno elaborando delle fake news. E bisogna pensare a nuove modalità di validazione dell’informazione, magari ricorrendo alle blockchain”.
Per il mercato italiano, le figure di cui maggiormente si avverte l’esigenza (in termini di funzione, competenza, formazione) sono attualmente gli esperti di cyber security governance, gli operatori di cyber defence da destinare ai cyber security operation center o nei cyber security incident response team, gli esperti di secure programming, gli operatori di cyber intelligence nonché di cyber counter inteligence. A livello più istituzionale e strategico, andrebbe accelerato anche il processo formativo per operatori di information ops, di cyber ops e di psy ops [Ops è un’abbreviazione di operations, termine usato nel linguaggio militare/difesa/intelligence: le Information Operations sono azioni intraprese per influenzare le informazioni e i sistemi informativi degli avversari, difendendo al contempo i propri. Possono includere anche attività di attacco/difesa cibernetica e psicologica, come nel caso di psy ops. In sostanza si tratta di attività di propaganda diretta e indiretta, che cercano di condizionare psicologicamente gli avversari, n.d.r], che accanto alla preparazione puramente tecnica dovrebbe spaziare su tutta una serie di discipline come psicologia, scienze politiche e comportamentali, filosofia.
La necessità delle esercitazioni aziendali
Nel futuro prossimo, insomma, servirà una formazione sempre più multidisciplinare. Ma anche tante esercitazioni e simulazioni di attacchi, per saggiare l’efficacia dei sistemi tecnologici di difesa approntati e la reattività delle risorse umane coinvolte all’interno delle aziende.
Dato che l’evoluzione della minaccia cyber è instancabile e continua, il livello di difesa va costantemente alzato e testato con un’attività continuativa di test and enhance, in un processo alternato, ma ininterrotto, di verifica della reale efficacia delle misure e delle infrastrutture di difesa presenti nelle aziende e di loro ottimizzazione.
Esercitazioni e simulazioni, peraltro, non rientrano nelle consuetudini di molte aziende italiane, a differenza di quelle anglosassoni o giapponesi.
“In tempo di pace – nota Lezzi – le esercitazioni militari permettono di verificare il livello di preparazione delle truppe, degli armamenti e dei dispositivi di difesa. In Italia, nel mondo cyber, si sente spesso dire, anche da eminenti esponenti di grandi aziende, che il proprio sistema di controllo è eccellente perché ha identificato un numero elevato di minacce o di tentati attacchi. Ma viene subito da chiedersi: quanti sono gli attacchi che non sono stati avvistati? È importante mettere alla prova, e con regolarità, il team di difesa interno con una serie di scenari che coprano tutta la casistica e che vadano in tutte le direttrici: dall’esterno all’interno, dall’interno all’interno e dall’interno all’esterno. Questo permette poi di costruire una matrice dei gap tecnologici e tecnici: tecnologici perché magari ci sono zone buie dell’infrastruttura, dove per esempio non sono presenti delle sonde o sono configurati male i sensori. Tecnici, perché i sistemi forse hanno anche dato un segnale, per quanto debole, di attacco, ma poi le persone preposte non sono state in grado di riconoscerne la pericolosità, oppure le procedure interne non hanno permesso di reagire in maniera efficace”.
Dato che si opera sotto costante minaccia cyber, la capacità di detect e response in un’azienda va continuamente monitorata e accresciuta.
“I sistemi di difesa più tradizionali – rimarca Lezzi – vanno a rilevare unicamente quelle modalità di attacco già completamente note. I sistemi più sofisticati possono fare meglio, ma monitorare in automatico ogni tipo di attacco può comportare un rallentamento molto pesante del traffico di dati e informazioni nelle reti aziendali. Le imprese meno grandi, dove non esiste un team di difesa interno, possono comunque rivolgersi a società specializzate per avvalersi di questo servizio di detect and response, che è sempre più essenziale. In termini di processi, si deve implementare una forma di auditing continuativo. Lo stesso GDPR, del resto, esige queste capacità: viene richiesto alle aziende di fare test trimestrali e di essere in grado nel giro di 72 ore dopo l’attacco di dare comunicazione in maniera puntuale e precisa di quello che è avvenuto, segnalando quali dati può aver danneggiato o estratto abusivamente. E questo lo si può fare solo se si esercita costantemente l’azienda e i sistemi in questo tipo di attività”.
