La storia ci ha insegnato, nel corso dei secoli, che gli esseri umani sono soggetti complessi: capaci di slanci e visioni ma anche di grande malvagità. Stupirsi oggi della crescita del cybercrime è come stupirsi della violenza allo stadio. Da sempre, laddove ci sono rappresentazioni e frequentazioni che coagulano parti diverse della società, là si riproducono gli elementi caratterizzanti la nostra natura umana.
Se è vero, come è vero, che la società va digitalizzandosi, connettendosi, integrandosi, allora il cybercrime è un fenomeno evolutivo naturale, e come tale va considerato e affrontato. È un fenomeno rispetto al quale le aziende devono porsi con la convinzione (leggi investimenti in tecnologie, processi e competenze) di un contesto che è strutturale al loro modo di fare impresa, di competere e di innovare.
Guardiamo, ad esempio, all’Internet of Things. Sensori distribuiti in ogni dove (50 miliardi previsti entro il 2020): automobili, che in prospettiva viaggeranno senza guidatore, sono sempre più “digitalizzate” con applicazioni e servizi di ogni tipo; ogni oggetto va connettendosi a Internet (frigoriferi, trattori, divani, passaggi a livello, semafori, luci, e centinaia e centinaia di altri prodotti); l’essere umano stesso è sempre più connesso: oltre ai “classici” smartphone sta digitalizzandosi con wearable device di ogni tipo (occhiali, braccialetti, scarpe, tutti online; microsensori che proiettano sulle braccia le nostre app più utilizzate; sensori per il controllo medico-sanitario; vestiti “intelligenti”, che proteggono e lasciano traspirare a seconda della temperatura esterna, ecc.).
Insomma, è evidente che questa connessione globale possa portare, oltre ad una serie oggi inimmaginabile di servizi e di opportunità di business, anche una potenziale fragilità strutturale. Volete come impresa starvene fuori? Pensate che i vostri clienti, proprio i vostri, non siano consumatori digitali?
È da qui che deve nascere la consapevolezza di una ragionevole convivenza con il cybercrime, smettendo di sperare che “tanto a me non succederà”.
Oggi la lotta al cybercrime ha assunto ormai dimensioni “politiche” ed è un problema mondiale. Non più soltanto hacktivism ma vero e proprio terrorismo industriale, politico, criminalità organizzata, black market per l’acquisto di attacchi mirati a server di concorrenti e nemici. E ancora: furto di proprietà intellettuali, perdite finanziarie, furto di informazioni di business e manipolazioni del mercato borsistico con l’intrusione nelle reti delle aziende quotate e degli advisor per avere informazioni con cui alterare gli andamenti di Borsa e speculare. In alcuni paesi, l’incidenza del cybercrime sul Pil ha assunto livelli preoccupanti (in Olanda e Germania incide sul Pil per l’1,5 e 1,6% rispettivamente) tali da portare la tematica della security all’attenzione non solo rispetto alle prospettive di crescita economica, ma, soprattutto, in rapporto alla fragilità globale del sistema paese.
Perché il collegamento è lineare: se digitalizzo e connetto ogni cosa, anche le risorse più critiche per il paese (banche, trasporti, energia, pubblica amministrazione, ecc), non posso non considerare la security come una questione politica. È un tema che, a livello europeo, è senz’altro sentito, discusso e formulato in piani di sviluppo. Tuttavia, come al solito, la frammentazione degli stati e ancora una volta la mancanza di una visione politica organica e unitaria, crea buon gioco ai cybercriminali. Molto differenti tra loro, infatti, sono le disponibilità economiche, le sensibilità legislative e soprattutto le capacità attuative tra i differenti Stati europei. A livello di formulazione di piani strategici, ad oggi solo 19 su 28 nazioni in Europa si sono dotate di una politica di cybersecurity. Ancora meno quelle che la stanno attuando in modo costante e organico (leggi normative, finanziamenti e competenze). Totale: nel 2014 i costi del cybercrime in Europa, per quello che tra l’altro è dato sapere e stimare, si aggirano attorno ai 16 miliardi di euro (445 miliardi di dollari a livello mondiale) e 875 milioni di dollari in Italia, come solo costo di attacchi diretti ma con una stima di spesa di 8,5 miliardi di dollari per il ripristino delle condizioni di normalità post attacco.
Da questa fotografia emerge quindi un’indicazione precisa. In un contesto di questo tipo è molto difficile per un’impresa affrontare da sola l’evoluzione continua delle minacce informatiche, così come molto rischioso, in termini di interruzione di servizio e di brand reputation, è sperare nella fortuna. Oggi, soprattutto con il ricorso a soluzioni cloud, ci troviamo nella condizione di poter disporre di protezioni continue e di livello qualitativo, di poter usufruire di quella security intelligence che i principali provider Internet realizzano per strutturare un’azione preventiva, non solo protettiva, al cybercrime. Questa è una strada che, al di là delle paure della prima ora rispetto al cloud, andrebbe seriamente considerata.
Poi è certo che stiamo andando verso scenari difficili da prevedere e che impattano, come si diceva all’inizio, la struttura organizzativa sociale dei paesi. Proprio di recente il presidente Usa Barack Obama, partendo dalla constatazione che “Everybody is online, everbody is vulnerable”, ha annunciato una serie di iniziative volte a favorire una più stretta collaborazione tra imprese private e pubblica amministrazione, nonché la nascita di una nuova Agenzia governativa per integrare le informazioni e combattere più efficacemente le minacce cybercrime. L’assillo, per gli Stati Uniti, è la protezione dei cittadini e la sicurezza nazionale che, non va dimenticato, ha portato in passato anche “sconfinamenti” nel campo della privacy individuale e delle libertà civili, con azioni di controllo e intercettazione in spregio alla sfera privata.
Anche qui è tutta una questione di equilibrio tra protezione (sicurezza nazionale) e costo (libertà individuali). Così come lo è anche per le imprese, che dovranno scegliere il giusto bilanciamento tra un business che diventa sempre più digitale e connesso e la necessità di correre un livello di rischio accettabile e, per quanto possibile, controllato. Ma stare fermi è ormai impossibile.