a cura di Gian Paolo Baranzoni - GdS Innovazione AFI
Lo dico, sono un “marziano”, che si è affacciato al mondo ICT il secolo scorso. Vedo, quindi, le cose dal punto di vista della continua evoluzione e trasformazione dei sistemi informativi, del loro esponenziale aumento e della conseguente complessità, che ci permette di avere e scambiare informazioni. Perché è tramite l’ICT che lavoriamo, via app gestiamo call, mail, documenti, luce, temperatura… e una quantità infinita di attività. Ciò tramite l’aumento esponenziale degli strumenti e delle infrastrutture tecnologiche distribuite che collaborano all’erogazione di ogni singolo servizio. La complessità, però, ha un lato oscuro: la sicurezza di dati e informazioni.
Aumentando il perimetro e la sua distribuzione cresce il fronte di possibili attacchi informatici. Per affrontare il problema, la CE ha per prima cosa creato un centro di competenza europeo, l’ENISA (European Union Agency for Cybersecurity). Poi, ha emesso delle norme per aumentare il livello di consapevolezza dei rischi, inizialmente per le aziende di servizi critici per poi estendere, con la versione attuale, a tutta una serie di tipologie di aziende produttrici di servizi e beni primari chiamata NIS2 (Network and Information Security 2) che è entrata in vigore lo scorso febbraio, con modalità legate alle capacità attuative delle singole nazioni, ma su una base comune.
È necessario, quindi, porci una serie di domande: in primis, quali sono i rischi di un attacco? Basta leggere il report dell’ENISA per avere l’analisi della tipologia delle minacce e dei rischi e di come affrontarle. La lettura di questi report dovrebbe “suggerire” al top management un’attenzione sui rischi cyber sul business.
Ma quali sono gli ambiti e cioè i sistemi computerizzati che possono essere colpiti? Sia i classici sistemi IT, come la posta elettronica (il principale vettore degli attacchi phishing, termine quanto mai appropriato in quanto il pescatore è l’hacker e i pesci siamo noi) sia OT, cioè tutti i sistemi di produzione (ricordo a tutti che il più famoso e complesso “virus” Stuxnet è stato distribuito a macchia d’olio in tutto il mondo solo ed esclusivamente per operare su sistemi di telecontrollo di uno specifico stabilimento produttivo). La differenza sta nella tipologia di attacco e nella volontà dell’attaccante. Attacchi generici, ad esempio una singola campagna conteneva 550 milioni di mail di phishing, o mirati a colpire lo specifico soggetto, sfruttando deficienze hardware/software come Virus o Physical Manipulation o attacchi DDoS (Distributed Denial-of-Service). Per affrontare il problema è necessario investire in organizzazione, competenze e processi/tools di security o servizi esterni 7x24x365, in quanto il cybercrime non lavora in orario d’ufficio, e implementare i punti indicati nella NIS2, obbligatori ma non per tutti.
Da marziano mi domando: è necessario che sia una norma a spingerci a strutturarci per ridurre il rischio cyber e non che sia nostro interesse e necessità farlo? Ovviamente, ciascuno secondo le proprie capacità e risorse. Tutto quanto implementato fino ad oggi copre solo i rischi conosciuti fino a ieri. Quindi, quando parliamo di riduzione del rischio di sicurezza parliamo di attività in “continuous improvement”. Mi permetto di citare l’ex-presidente della Commissione UE Jean-Claude Juncker, quando nel 2017 indicava: «Gli attacchi informatici possono essere più pericolosi per la stabilità delle democrazie e delle economie rispetto alle armi e ai carri armati. Gli attacchi informatici non conoscono confini e nessuno è immune».
