l'analisi

Cybersecurity, la fragilità arriva dalle pmi: così il PNRR potrebbe risolvere

Nonostante il clamore mediatico, il recente attacco ransomware che ha coinvolto anche aziende italiane non è stato particolarmente significativo. Vero è, però, che molte PMI nostrane non sono attrezzate per rispondere agli attacchi. Ma il PNRR potrebbe rappresentare uno stimolo per cambiare le cose: ecco come

Pubblicato il 08 Feb 2023

Alessandro Manfredini

presidente AIPSA

Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

L’attacco ransomware di cui siamo stati testimoni negli ultimi giorni ha messo in luce due dati incontrovertibili.

In Italia abbiamo un sistema rivolto alla gestione della cybersecurity che ha retto, in grado di disinnescare numerose e significative offensive, in particolare là dove sono coinvolti i gangli vitali del sistema-Paese.

Allo stesso tempo tutti noi dobbiamo essere consapevoli del fatto che non possiamo permetterci nemmeno un piccolo passo indietro o una disattenzione, dal momento che i tentativi di infiltrazione nei sistemi delle imprese che gestiscono infrastrutture sensibili, e non solo, sono all’ordine del giorno.

Questa volta, ed è bene sottolinearlo con forza visto il clamore mediatico suscitato dagli eventi recenti, non è successo nulla di particolarmente significativo: nessun sistema di nessuna azienda, pubblica o privata, è stato irrimediabilmente compromesso.

Attacco hacker via Vmware, tre lezioni da trarre

I fatti

Proviamo a ricapitolare i fatti.Venerdì sera il Computer Security Incident Response Team (CSIRT) francese segnala il propagarsi di una serie di operazioni malevole che tentano di sfruttare le vulnerabilità dei server VMware ESXi riscontrate e segnalate anche in Italia nel febbraio 2021, quindi ormai due anni fa.

Ventiquattro ore più tardi l’Agenzia per la Cybersecurity Nazionale, attraverso lo CSIRT Italia, rilancia il medesimo alert alle aziende italiane che, nella quasi totalità dei casi, sono già al riparo da questo tipo di attività criminali, avendo applicato per tempo l’aggiornamento di sicurezza e tamponato la falla in questione.

Ma quali sono state le conseguenze nel concreto? L’operazione di hacking ha determinato la contaminazione di 22 server “scoperti” in Italia, sui quali si poggiano circa 400 aziende. In nessun caso noto, tuttavia, i software malevoli si sono attivati, bloccando i file e chiedendo il riscatto di 42mila euro per la loro “liberazione”. Se si considera che ogni giorno in Italia assistiamo a circa 3 milioni di tentativi di infrazione, quella di questi giorni può essere derubricata come ordinaria amministrazione se la si legge dal punto di vista di chi si occupa quotidianamente di proteggere i processi e i dati in mano alle grandi aziende, pubbliche o private che siano, che gestiscono le infrastrutture e i servizi strategici del Paese: dall’energia, alla sanità, dalle infrastrutture alle telecomunicazioni.

Il cortocircuito mediatico intorno all’attacco

Eppure questa volta è scattato un meccanismo di rincorsa alla notizia che ha fatto deflagrare una bomba comunicativa volta a presentare il nostro come un Paese sotto attacco cibernetico. Da più parti si è persino ipotizzato il coinvolgimento di Stati esteri, ma questa, come molte altre fughe in avanti sono state ridimensionate prima dagli esperti, compresi noi di Aipsa, sia in seconda battuta dal governo.

Da questo cortocircuito mediatico e comunicativo, tuttavia, qualcosa di buono è scaturito. In primo luogo i media generalisti sono stati costretti ad approfondire la tematica della cybersecurity, offrendo ai cittadini comuni uno spaccato del mondo che noi viviamo quotidianamente.

Dall’altro ha costretto la politica ad analizzare il sistema attuale della difesa cibernetica del Paese e, si spera, a comprendere la necessità di un suo rafforzamento.

L’intervento tempestivo dell’ACN

Quotidianamente, infatti, i gruppi di cyber criminali sparsi in tutto il mondo si adoperano per scandagliare il web a caccia di sistemi informativi fallaci o comunque non perfettamente aggiornati. Altrettanto, ma con ben altri scopi, fa l’Agenzia per la Cybersecurity Nazionale che provvede a segnalare tempestivamente alle aziende le eventuali fragilità, indicando i rimedi.

Una collaborazione tanto più efficace quanto rapide e puntuali sono le comunicazioni tra il “centro”, l’ACN, e la periferia, le imprese. Nel caso di cui si parla in questi giorni, questa comunicazione è stata tempestiva: l’avviso di sabato sera ha permesso anche a chi non aveva applicato la patch ai server VMware ESXi di intervenire e fare in modo che i software malevoli non si attivassero e che nessun servizio o sistema risultasse gravemente compromesso.

Questo modus operandi da parte del mondo istituzionale e produttivo del Paese lo abbiamo sviluppato negli ultimi due anni, da quando è nata l’Agenzia Nazionale e lo stiamo migliorando giorno dopo giorno. Un mese fa, ad esempio, è entrata in vigore la nuova tassonomia che classifica gli incidenti ai danni dei sistemi informativi delle imprese private e pubbliche, inserite nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), imponendo a queste ultime di comunicarli alla stessa ACN entro 72 ore dall’evento. Tutti tasselli che vanno a rafforzare la nostra rete di protezione.

Una rete di protezione che va ampliata

Che però deve essere ampliata.

Il sistema produttivo italiano è composto da lunghe filiere integrate che spesso operano in veri e propri distretti. Filiere che comprendono grandi aziende, a volte persino quotate, ma anche piccole e medie imprese fornitrici di componenti o servizi. Realtà, queste ultime, che oggi non sono tutte adeguatamente attrezzate per rispondere a questo tipo di minacce e finiscono pertanto per rappresentare una criticità nel sistema.

I numeri sono tutt’altro che trascurabili. Secondo l’ultimo rapporto curato da Confindustria Unicredit, sul nostro territorio operano circa 160mila PMI, aziende italiane, che impiegano tra i 10 e i 249 dipendenti e generano un valore aggiunto pari a 204 miliardi di euro l’anno.

A queste si aggiungono circa 90mila micro imprese che operano in settori strategici dell’economia nazionale o si trovano all’interno di una filiera complessa nei comparti dell’energia, della logistica, della cooperazione internazionale. Tutte realtà che oggi sono sprovviste per la quasi totalità di figure preposte alla predisposizione di piani di sicurezza contro le minacce cyber.

Eppure, se consideriamo il modo con cui i gruppi criminali operano, monitorando il web palmo a palmo in cerca di spiragli nei quali infiltrarsi, comprendiamo come sia necessario alzare anche lì il livello di guardia.

Certo, dotarsi di un security manager per una piccola impresa diventa un costo, ma è un costo che si auto compensa. Perché nel momento in cui un server viene “sequestrato” da un gruppo di cyber criminali, la spesa per “liberarlo” supera esponenzialmente l’impegno economico in prevenzione.

Conclusioni

Una soluzione potrebbe arrivare, in questo senso, dai 623 milioni di euro previsti dal Pnrr per finanziare il rafforzamento delle difese cyber. Anche se, di questi fondi, 301 milioni sono già destinati alla Pubblica amministrazione, mentre 150 milioni alle Istituzioni nazionali (Ministero degli Interni, Consiglio di Stato, ecc). Prevedere, però, una linea di credito che consenta anche alle imprese private, a cominciare da quelle inserite nelle filiere strategiche, di consolidare le proprie difese cibernetiche, sarebbe un’operazione lungimirante. Così come rendere obbligatoria, progressivamente, la presenza di un responsabile della security in azienda. Proprio come accade oggi per l’Rspp, il Responsabile del Servizio di Prevenzione e Protezione, il Dpo, Data Protecion Officer o il Dirigente preposto alla certificazione dei bilanci.

Tutto questo nella consapevolezza che il rischio zero non esiste, è un’utopia. Ma, come diceva Eduardo Galeano: “L’utopia è là nell’orizzonte. Mi avvicino di due passi e lei si distanzia di due passi. Cammino 10 passi e l’orizzonte corre 10 passi. Per tanto che cammini non la raggiungerò mai. A che serve l’utopia? Serve per questo: perché io non smetta mai di camminare”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati