Cyber security, le strategie dei Governi e le sfide per le PMI: scenari in mutamento

In un contesto che presenta drammaticamente tutti gli ingredienti perché le cose vadano complicandosi ulteriormente, abbiamo assistito in questi ultimi mesi ad azioni di contrasto e lotta di rilevanza globale, pianificate a livello governativo per aumentare i livelli di efficacia in termini di cyber security.

Cyber security, massima allerta in Ue e Usa: le strategie

Cyber security, la strategia Usa

Il 12 maggio 2021 gli USA hanno pubblicato un “Executive Order on Improving the Nation’s Cybersecurity”, un documento^[1] articolato in 11 sezioni che illustra la strategia nazionale in materia di cyber security. In modo molto diretto e chiaro illustra risorse, obiettivi ed organizzazione di contrasto alle minacce di sicurezza informatica.

Il Governo deve acquisire un ruolo centrale nell’esaminare qualsiasi incidente informatico grave ed apprendere da questo per definire azioni di contrasto efficienti (The Federal Government must also carefully examine what occurred during any major cyber incident and apply lessons learned).

Il Governo deve collaborare con il settore privato, ed è richiesta a questo la capacità di sapersi adattare alle minacce in continua evoluzione, collaborando con il Governo per promuovere un Cyberspazio più sicuro. Si delinea dunque una forte relazione con le Agenzie governative (CISA, FBI, ..) per aumentare la condivisione delle informazioni, delle minacce, rischi ed incidenti, per accelerare la risposta agli incidenti e migliorare la prevenzione.

Realizzare architetture basate sul modello “Zero Trust” con il supporto del NIST (National Institute of Standards and Technology) e degli altri enti. Un piano complesso che prevede una spesa di 10 miliardi di dollari per cybersecurity ed IT.

Il Piano messo in atto dall’Italia in materia di cybersecurity è altrettanto articolato e distribuito su concetti di monitoraggio, prevenzione e controllo delle infrastrutture, concentrando il suo operato su tutti quei soggetti che sono inclusi nel perimetro nazionale di sicurezza cibernetica attraverso modalità di individuazione del perimetro illustrate nel DPCM 30 luglio 2020, n. 131.

Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze

La visione europea della cyber security

La Commissione europea il 23 giugno fa la sua ultima mossa verso una coesione comunitaria di lotta alla criminalità ed alle minacce provenienti dal cyber spazio. La UE propone un’unità informatica per intensificare la risposta agli incidenti di sicurezza su larga scala (EU Cybersecurity: Commission proposes a Joint Cyber Unit to step up response to large-scale security incidents^[4]).

La “Joint Cyber Unit”, braccio operativo dello scudo informatico Ue: obiettivi e prossimi step

La cyber security è una problematica globale e pertanto necessita di un coordinamento e di una risposta che per essere efficaci devono andare oltre i mezzi e le strategie che singolarmente i diversi paesi membri possono mettere in atto.

Tutti i paesi dell’UE devono dunque, nella visione che si sta delineando, essere pronti a rispondere alle minacce che si presentano con maggiore frequenza e gravità. Non solo, devono anche essere in grado di condividere le informazioni sulla base di principi pertinenti al “bisogno di sapere” ed al “bisogno di condividere”.

Le minacce informatiche si sono dimostrate tali da essere in grado di mettere in difficoltà le infrastrutture critiche di un paese, potendo così potenzialmente costituire una seria minaccia, non solo rispetto a temi relativi alla protezione delle “informazioni personali” ma anche rispetto alle continuità di servizi essenziali.

La visione presentata dalla UE ha come obiettivo quello di costruire un approccio congiunto a livello UE che consente di riunire le risorse e le competenze disponibili tra gli Stati membri per prevenire, scoraggiare e rispondere efficacemente agli incidenti e alle crisi informatiche.

La costituzione di una “Joint Cyber Unit” (JCU) vuole essere una risposta concreta ed operativa in grado di contrastare le minacce che si potranno presentare a livello UE. Questo sarà possibile attraverso la condivisione dei migliori modelli di contrasto ed informazioni in tempo reale relativamente agli eventi di attacco. Ma anche attraverso “squadre” di intervento rapido, definizione di protocolli di assistenza tra i paesi comunitari e processi di monitoraggio e rilevamento delle minacce in grado di fornire informazioni non solo a beneficio dei singoli paesi, ma anche per l’intero ecosistema UE.

Nello stesso documento si legge la definizione di un Digital Services Act, con la volontà di intervenire in modo da rendere più efficace e tempestiva la rimozione di contenuti digitali illegali.

Quali sono quindi gli obiettivi e i tempi^[5]?

• Garantire una risposta coordinata dell’UE alle minacce, agli incidenti e alle crisi di sicurezza informatica su larga scala (EU coordinated response)
• Migliorare la consapevolezza e la comunicazione (Awarness)
• Assicurare una protezione comune a livello UE

In termini di pianificazione temporale sono previste 4 fasi:

• Entro il 31 dicembre 2021: valutare gli aspetti organizzativi e capacità operative dell’UE (Assess).
• Entro il 31 giugno 2022: Preparare piani nazionali di risposta agli incidenti e alle crisi e lanciare attività congiunte di preparazione (Prepare).
• Entro il 30 dicembre 2022: Rendere operativa JCU attraverso le squadre di reazione rapida dell’UE, secondo le procedure definite nel piano UE di risposta agli incidenti e alle crisi. (Operationalise the JCU).
• Entro giugno 2023: coinvolgere anche i partner del settore privato, gli utenti e i fornitori di soluzioni e servizi di cybersecurity per aumentare la condivisione delle informazioni e per essere in grado di intensificare la risposta coordinata dell’UE alle minacce informatiche (Involve private sector partners).

La strategia UE

La UE ha definito una propria strategia^[6] di sicurezza che troverà applicazione nel periodo 2020-2021 che si concentra su 4 Pillar:

• Un ambiente di sicurezza a prova di futuro
• Un ecosistema di sicurezza europeo robusto
• Proteggere gli europei dal terrorismo e dal crimine organizzato
• Affrontare le minacce in evoluzione

La cyber security per le piccole e medie imprese

L’Europa è uno dei mercati più sviluppati ed importanti al mondo e la sua ossatura si basa soprattutto su un tessuto sviluppatissimo di piccole e medie imprese, circa 25 milioni di SMEs.

Il 93% delle imprese in EU sono microimprese, ossia organizzazioni che secondo la definizione della UE hanno < 10 impiegati, mentre per SMALL imprese abbiamo aziende con <25 impiegati e per organizzazioni fino a <50 dipendenti si parla di MEDIE organizzazioni.

A giugno 2021 la European Union Agency for Cybersecurity (ENISA) pubblica Cybersecurity for Smes Challenges and Recommendation^[7], un’analisi attraverso la quale ENISA comprende la capacità delle piccole e medie imprese di far fronte e gestire la Cybersecurity.

Questo grandissimo ecosistema di organizzazioni rappresenta oltre ad una eccezionale risorsa economica ed organizzativa, anche un possibile vettore di rischi in termini di sicurezza. Quasi tutte queste organizzazioni sono risultate interessate da attacchi di natura informatica e quindi un potenziale rischio rispetto alle informazioni che queste realtà possono trattare (il 40,96% del campione tratta informazioni critiche di business e personali sensibili). La maggior parte di queste aziende, infatti, non ha un CISO, hanno dichiarato di non aver assegnato un ruolo per la gestione della sicurezza delle informazioni.

Quasi tutte queste aziende hanno confermato di essere state coinvolte in problemi di sicurezza informatica. Compresa l’importanza di questo settore e le minori risorse che ha a disposizione per fronteggiare le minacce provenienti dal cyber spazio, si possono intuire le ragioni di tanto interesse nell’analizzarlo. Il 41% delle organizzazioni sono state interessate da fenomeni di phishing, il 40% da attacchi web, il 39% da Malware, il 19% da attacchi interni, il 12% da Denial of Services, l’11% da Social Engineering, il 7% da compromised/stolen device.

È importante in questo contesto stare vicino alle piccole e medie imprese e supportarle nell’adozione di modelli e strumenti efficaci di cybersecurity. È indispensabile promuovere la Cybersecurity attraverso campagne organizzate a livello UE.

Fornire linee guida e modelli comprensibili ed applicabili, colmando le lacune che gli attuali modelli spesso hanno rispetto alla loro applicabilità per le PMI.

Creare uno standard di cybersecurity specifico per le PMI, rafforzare modelli basati sulla gestione del rischio, infine promuovere lo sviluppo di Information Sharing and Analysis Centers (ISACs).

Note

1. https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/ ↑
2. https://clusit.it/rapporto-clusit/ ↑
3. https://www.cisco.com/c/en/us/solutions/executive-perspectives/annual-internet-report/infographic-c82-741491.html ↑
4. https://ec.europa.eu/commission/presscorner/detail/en/IP_21_3088 ↑
5. https://digital-strategy.ec.europa.eu/en/library/factsheet-joint-cyber-unit ↑
6. https://ec.europa.eu/info/strategy/priorities-2019-2024/promoting-our-european-way-life/european-security-union_en ↑
7. https://www.enisa.europa.eu/publications/enisa-report-cybersecurity-for-smes ↑