Nello scorso anno l’Italia ha visto incrementare le minacce informatiche. Le misure di emergenza imposte dalla pandemia hanno creato un terreno maggiormente fertile per gli attacchi informatici, ampliando la superficie d’attacco.
La pandemia ha, però, imposto anche tagli e la scelta di priorità. Proprio per questo, è necessario che sia adottato un piano di investimenti pubblici strategici che da un lato permetta di mitigare i rischi connessi alla digitalizzazione della PA, dall’altro incentivi maggiori investimenti da parte delle PMI.
La carenza di investimenti nella cyber security in Italia
Nonostante l’emergenza globale abbia inevitabilmente modificato le priorità strategiche delle imprese italiane, i dati emersi dal report dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano non sono totalmente negativi.
Il mercato dell’IT nel 2020 ha raggiunto il valore di 1,37 miliardi di euro, in aumento del 4% rispetto al 2019. Il 40% delle grandi aziende italiane ha aumentato gli investimenti rispetto all’anno prima, dato che però è inferiore all’aumento registrato nel 2019, quando il 51% delle aziende ha incrementato il budget destinato alla sicurezza informatica rispetto al precedente anno. Se confrontiamo questi dati con quelli relativi all’aumento degli attacchi informatici, ci rendiamo conto che c’è uno squilibrio paradossale. Infatti, il 40% delle grandi imprese e il 49% delle PMI hanno dichiarato di aver subito, durante il 2020, un maggior numero di attacchi informatici rispetto all’anno precedente. Nonostante ciò, il 19% delle aziende ha diminuito il proprio budget per la cybersecurity.
Per quanto riguarda gli investimenti, essi sono destinati per un 52% a soluzioni di security e per il restante 48% a servizi professionali e gestiti. In particolare, la network and wireless security attrae il 33% degli investimenti, seguita dalla Endpoint security (23%), dalla data security (14%) e dalla sicurezza per ambienti cloud (13%). Il 12% degli investimenti è destinato all’application security e il 3% all’IoT security. Infine, solo il 2% sella spesa totale è destinata a iniziative di cybersecurity awareness e training.
La pandemia ha trovato le aziende italiane impreparate di fronte a un incremento tale dei rischi.
Il Piano Nazionale di Ripresa e Resilienza (PNRR), presentato per accedere alle risorse del Recovery Fund, si pone come perno centrale della “rinascita” italiana in seguito alla crisi determinata dall’emergenza sanitaria.
Il Piano attuale, che attinge a 223,91 miliardi di euro, prevede lo stanziamento di 7 miliardi e 950 milioni di euro per la digitalizzazione della PA, a cui si aggiungono i 300 milioni del Programma Operativo Nazionale e i 300 milioni stanziati dalla Legge di Bilancio.
Tutto ciò, però, deve essere affiancato da un piano di investimenti specifico per la sicurezza informatica, proprio per far sì che la digitalizzazione sia un’opportunità di crescita, e non un processo che, alla fine, determini un aumento dei rischi.
La Fancia investe 1 miliardo
È stato esemplare, in questo senso, l’annuncio del presidente francese, Emmanuel Macron, di voler lanciare un piano di investimenti da 1 miliardo di euro per la cybersecurity nazionale. Ciò è avvenuto a seguito dei recenti attacchi informatici che hanno colpito alcune strutture sanitarie. Nello specifico, due ospedali francesi hanno dovuto trasferire i propri pazienti affetti da Covid19, dopo che le infrastrutture erano state colpite da attacchi ransomware. Il presidente ha sottolineato che gli attacchi a Daz e Villefranche-sur-Saone hanno messo in luce l’importanza della sicurezza informatica.
L’ingente investimento dovrebbe comprendere anche 500 milioni per la realizzazione di un ecosistema di cybersecurity più efficiente e compatto. Inoltre, Macron ha dichiarato di voler raddoppiare i posti di lavoro presso la National Agency for the Security of Information Systems (ANSSI) entro il 2025.
L’epidemia ha generato in Francia degli effetti perversi sul sistema sanitario. Secondo l’ANSSI, infatti, gli attacchi ransomware sono aumentati del 255% lo scorso anno, colpendo in particolare le strutture sanitarie,
maggiormente esposte ai rischi e particolarmente strategiche.
Secondo quanto riferito dal ministro francese per la transizione digitale e le comunicazioni, nel 2020 sono stati 27 gli attacchi informatici che hanno interessato strutture sanitarie.
Nel 2020 si sono susseguiti numerosi attacchi di questo tipo, volti a colpire infrastrutture sanitarie. Dall’attacco all’Agenzia europea per i medicinali (EMA) al ransomware che ha colpito un ospedale tedesco, determinando la morte di una donna che è stata respinta e mandata in una struttura lontana. Non è quindi difficile immaginare che questi continueranno durante il 2021 e saranno sempre più indirizzati ai centri di ricerca sui vaccini.
Come trasformare l’emergenza sanitaria in un’opportunità per innovarsi
Come evidenziato dal NIS Investments Report, l’Italia riveste un ruolo ancora marginale nel settore della cybersecurity. In particolare, emerge come le organizzazioni italiane investano in questo ambito il 50% in meno rispetto a quelle americane. Inoltre, la spesa in sicurezza IT risulta pari al 3% del budget destinato all’Information Technology.
Le crisi e le emergenze possono determinare, come nel caso francese, una maggiore consapevolezza delle minacce esistenti e una “corsa ai ripari”. Come rilevato dall’Osservatorio cybersecurity & data protection, più della metà (54%) delle imprese italiane ha dimostrato di saper trasformare l’emergenza sanitaria in un’opportunità per innovarsi e implementare misure di digitalizzazione nelle proprie strutture e nel proprio business. Per quanto riguarda le PMI, tuttavia solo il 22% ha destinato investimenti in sicurezza per il 2021, mentre il 20% ha dichiarato che ha dovuto cambiare l’ordine delle priorità e destinare i fondi inizialmente previsti per la sicurezza informatica a misure per contrastare il Covid o per riorganizzare le proprie attività.
Gli obiettivi da raggiungere
Un piano di investimenti pubblici in sicurezza informatica è, quindi, l’unico modo per raggiungere una serie di obiettivi. Innanzitutto, è necessario per consentire una corretta implementazione delle misure di digitalizzazione della PA, senza far sì che questo aumenti i rischi. Poi, è opportuno che gli investimenti siano indirizzati non solo alla realizzazione di un’infrastruttura più resiliente, ma anche a progetti di training, al fine di creare le figure adatte e specializzate nella gestione della cybersecurity. Infine, questo piano dovrebbe stimolare e favorire gli investimenti delle PMI in sicurezza informatica, per evitare che la crisi sanitaria determini un ulteriore diminuzione di tali spese.
In questo senso, per quanto riguarda la cybersecurity, il PNRR potrà essere solamente un punto di partenza. Come dimostrano i dati, l’Italia è rimasta indietro rispetto a Francia e Germania, che hanno acquisito una maggiore consapevolezza dei rischi che il dominio cyber determina per la sicurezza nazionale.
Il ministero per l’innovazione tecnologica e la transizione digitale potrà svolgere un ruolo chiave. Le attività di indirizzo, coordinamento e impulso sono fondamentali per ottenere servizi digitali più semplici e diffondere le “competenze necessarie per un adeguato uso delle tecnologie digitali”.
Tra le attività del ministero, è stata individuata anche la “collaborazione con le autorità competenti in materia di sicurezza cibernetica” e attività di indirizzo per la messa in sicurezza delle infrastrutture delle amministrazioni.
Conclusioni
Gli investimenti pubblici in sicurezza informatica, quindi, devono risolvere il paradosso che si potrebbe creare molto presto. A fronte della crescita dei rischi e delle minacce, potrebbe verificarsi una diminuzione generale degli investimenti in sicurezza, cosa che in molte piccole aziende è già avvenuta.
Dalla volontà del governo di investire in cybersecurity, dipenderà anche la capacità di prevenire e rispondere ad attacchi “disruptive” che potrebbero compromettere funzioni vitali dello Stato (ad esempio il sistema sanitario). Inoltre, da ciò dipenderà anche la capacità di digitalizzare le strutture della Pubblica Amministrazione in piena sicurezza.
