In un mondo dove sono in crescita social network, Internet of Thing e servizi in cloud, e in cui l’offerta di servizi al cittadino si muove verso un ruolo crescente del digitale, la vulnerabilità delle reti e la necessità di mettere in sicurezza servizi e informazioni assumono un ruolo cruciale: anche la Pubblica Amministrazione deve riorganizzarsi per fronteggiare minacce e rischi cibernetici. In particolare, i recenti attacchi praticati attraverso dispositivi IoT mostrano da una parte la virulenza degli attacchi che oggi come oggi può subire un’organizzazione, dall’altra una difficoltà nel garantire i livelli anche minimi di sicurezza per i dispositivi connessi a Internet, anche a tutela della collettività. Mostrano inoltre come gli interessi ed i contrasti a livello geopolitico si riflettano sempre più spesso nel cyberspace.
Il 2015 Italian Cybersecurity Report ribadisce che gli attacchi informatici non possono essere gestiti da singole organizzazioni, ma devono essere fermati da una strategia nazionale, perché stanno diventando sempre più numerosi e potenti negli effetti, come dimostra anche il Rapporto Clusit 2016 che registra nei primi sei mesi dell’anno un aumento del 9% delle attività compiute con finalità criminale rispetto al semestre precedente. E’ su questi temi che si è soffermato, lunedì, anche il convegno Corcom-Fpa Cybersecurity Summit.
L’Italia ha certamente intrapreso a partire dal 2013 alcune valide iniziative per rafforzare le difese cyber: dal “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”al “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Tuttavia, l’insicurezza cibernetica a livello globale – e di pari passo anche in Italia – è cresciuta in modo significativo.
L’uso di dispositivi mobile in azienda e il diffondersi della consumerizzazione dell’IT, ossia il fenomeno in base al quale l’uso e lo stile delle tecnologie in ambiente lavorativo viene dettata, in sostanza, dall’evoluzione del profilo privato degli individui e dal loro utilizzo delle tecnologie personali, hanno cambiato lo scenario in cui fornitori e fruitori di servizi operano. Oggi il perimetro dei sistemi informativi non è più chiaramente delineato come solo alcuni anni fa, quando per proteggere il data center con i suoi preziosi dati, pochi controlli, come firewall, antivirus e controllo accessi, permettevano già di ottenere una buona protezione. In questo contesto, non è rilevante capire se si subirà un attacco quanto invece quando ciò accadrà e quali saranno, probabilmente, le modalità attraverso le quali poter intervenire e contenerne gli impatti. È necessario, quindi, un nuovo approccio alla sicurezza, in cui le difese si muovano oltre la gestione sistemistica, integrandosi nei processi dell’organizzazione, proteggendone l’operatività e focalizzandosi sugli obiettivi e le criticità dell’organizzazione, e solo come conseguenza sul sistema informativo.
Diventa fondamentale avvalersi di strumenti e di processi organizzativi per monitorare in modo continuo i sistemi ed i servizi, rilevando non solo gli eventi più macroscopici e “rumorosi”, ma anche i segnali più deboli che possono essere indizi di attacchi più subdoli e pericolosi. Anche i processi di gestione degli incidenti sono fondamentali, per poter intervenire rapidamente già nelle fasi iniziali di identificazione di un attacco, contenendone gli effetti. Oggi la gestione della sicurezza dei sistemi può avvenire, quindi. solo se è presente una forte sinergia tra gli aspetti procedurali, l’integrazione di diverse tecnologie di protezione e la competenza di personale specializzato.
Ma non basta ancora: perché questo approccio abbia successo occorre una centralizzazione degli aspetti di governo e controllo delle regole di sicurezza ed una distribuzione delle operatività quotidiane di monitoraggio e di alerting. L’automatizzazione dei controlli, la continua analisi delle soglie di allarme, il confronto e l’integrazione dei diversi segnali di allerta provenienti dai vari sistemi di protezione, sono azioni indispensabili al fine non solo di identificare eventi malevoli da subito alle prime avvisaglie ma soprattutto per mitigare e impedire ogni ulteriore dilagare dell’attacco ricevuto.
La securizzazione dei big data rappresenterà una delle principali sfide da conseguire. Difatti, la grande quantità di dati incrementa in modo proporzionale anche la necessità di garantirne la protezione ed evitarne la perdita.
Dovrà anche essere adottata una sempre maggior attenzione alla analisi delle vulnerabilità intrinseche dei sistemi, cercando di favorire l’adozione di soluzioni applicative “aperte”, permettendo cosi, una più facile analisi di sicurezza del codice utilizzato ed una maggior collaborazione e sinergia al livello di community, per gestione delle vulnerabilità medesime.
Proprio in riferimento alla difficoltà nel fare affidamento su sistemi chiusi, specialmente quando la filiera produttiva è totalmente fuori controllo e focalizzata sul minor costo, è interessante evidenziare un recente episodio in cui un produttore di cellulari a bassissimo costo trasferiva informazioni personali degli utenti verso server in Cina, senza che gli utenti ne sapessero niente.
Altro tema importante è legato all’esternalizzazione di servizi in Cloud da parte delle pubbliche amministrazioni, che comporta indubbi vantaggi economici e di risparmio, ma che richiede all’Ente di mantenere la capacità di capire e governare il proprio sistema informativo, e soprattutto di appoggiarsi a fornitori affidabili con caratteristiche di competenza e attenzione alla sicurezza delle informazioni, che adottino certificazioni specifiche (la certificazione ISO27001 è un esempio) e che abbiano verso i loro clienti chiare politiche di trasparenza e di utilizzo di soluzioni applicative fortemente open source oriented. E questa è proprio la linea che il CSI con i suoi Enti Consorziati vuole seguire e mantenere.
Siamo consapevoli che il rischio cyber non possa essere annullato, ma crediamo sia importante che gli enti e le organizzazioni pubbliche e private, tutti insieme, collaborino per prevenire e ridurre le minacce e mitigare gli effetti di eventuali attacchi o incidenti informatici. Come già ribadito, non basta definire processi e tecnologie, sono decisive la “cultura” della sicurezza informatica e la “consapevolezza” del rischio e delle modalità per affrontarlo, in modo tale da formare un senso critico più oggettivo per valutare comportamenti, tecnologie e situazioni in un mondo che cambia sempre più velocemente.
In un contesto come quello della Pubblica Amministrazione, enormemente delicato perché tratta informazioni e dati sensibili che riguardano la vita delle persone, crediamo che il ragionare su questi temi sia importante. E il workshop Cybersecurity: evoluzione e nuove sfide per la Pubblica Amministrazione organizzato dal CSI Piemonte in collaborazione con il Clusit, che si terrà a Torino il prossimo 28 novembre, vuole proprio essere un’occasione di informazione e sensibilizzazione sul tema della cybersecurity e un momento di confronto sulle attività in corso a livello locale e nazionale.
