La cybersecurity si evolve verso un nuovo paradigma: la Cyber Resilience. Questo cambiamento di prospettiva, lungi dall’essere un semplice aggiustamento terminologico, sottolinea l’importanza di sviluppare meccanismi di difesa che vadano oltre il mero blocco degli attacchi informatici.
L’obiettivo è costruire sistemi capaci di resistere, reagire e riprendersi dalle minacce cyber in modo proattivo. Al centro di questa trasformazione vi è la Direttiva NIS che ha contribuito a sensibilizzare sul rischio cyber a livello nazionale e internazionale. Tuttavia, nonostante gli importanti passi avanti compiuti in Italia in termini di Cybersecurity, persistono alcune criticità che richiedono una solida strategia di investimento nel settore e una formazione adeguata per i professionisti del campo. Infine, uno sguardo al futuro della resilienza cyber non può prescindere dal ruolo strategico delle donne nel settore, ancora troppo spesso marginalizzato o ignorato. In questa cornice complessa ma stimolante si inserisce il presente articolo: un viaggio attraverso i principali temi legati alla Cyber Resilience per delineare possibili percorsi verso un futuro digitalmente sicuro e resiliente.
Dalla Cybersecurity alla Cyber Resilience: evoluzione del concetto
La condivisione delle informazioni, la conoscenza e la diffusione di dati specifici inerenti alle minacce cyber ed ai loro effetti nefasti, è uno dei pilastri dello sviluppo di una cultura ispirata alla crescita collettiva di interi settori, pubblici e privati, per i percorsi incrociati che li caratterizzano.
Per molto tempo, tuttavia, e forse in parte vale ancora per certi ambiti, si è preferito non condividere alcuna notizia relativa ad eventuali attacchi cyber, ritenendo così di proteggere meglio la propria struttura.
Con i comportamenti descritti si ostacolava, di fatto, la funzionalità dei capisaldi dell’architettura nazionale di cybersecurity, introdotta per la prima volta in Italia con il DPCM 24/1/2013.
Le componenti dell’architettura erano deputate alla protezione di infrastrutture pubbliche e private e orientate a sostenere la risoluzione di eventuali situazioni critiche che avrebbero potuto minare la loro integrità e piena operatività.
Le misure di sicurezza informatica, inoltre, sono state per troppo tempo considerate eccessivamente costose in relazione ai benefici, mai definitivi, in grado di apportare in sistemi anche complessi.
Non si è contemplato per anni il rischio cyber come uno dei più insidiosi rischi d’impresa, neppure a fronte di una sempre più massiccia informatizzazione di processi e procedimenti.
Questo aspetto era assai rilevante, fino al 2015-2016 nel panorama italiano, e non troppo diverso peraltro da quello che caratterizzava altri Stati Membri dell’Unione europea.
Il ruolo della Direttiva NIS nella crescita della consapevolezza sul rischio cyber
La Direttiva NIS, molto osteggiata nel suo percorso di approvazione e sul cui testo finale fu trovato un accordo proprio tra la fine del 2015 e l’inizio del 2016, rappresentò un punto di svolta davvero notevole.
Il punto critico di questo passaggio storico risiede nella quasi totale assenza di investimenti nel campo della cybersecurity.
I rischi informatici tuttavia stavano crescendo in numero, intensità aggressività.
Alcuni soggetti cominciavano a proteggersi, altri proprio non vedevano neppure il problema.
Ecco che la Direttiva NIS (pubblicata nel luglio del 2016 e recepita in Italia nel maggio del 2018, battendo sul tempo molti altri Stati Membri), introdusse per certi settori l’adozione obbligatoria di misure di sicurezza informatica e previde sanzioni per i soggetti inadempienti.
Furono rese altresì obbligatorie le notifiche degli incidenti cyber, anche per costituire prime raccolte di dati, opportunamente anonimizzati, da analizzare approfonditamente al fine di conoscere meglio la tipologia degli incidenti/attacchi e fornire elementi utili ai decisori politici per la loro gestione, non solo a livello nazionale ma anche transfrontaliero, e quindi europeo.
Timidamente, e solo per alcuni interventi in ambito pubblico si prevedevano stanziamenti, mentre molti adempimenti dovevano essere assicurati con le risorse a disposizione.
Eppure, con grandi sforzi, fino al momento del recepimento della NIS, erano stati compiuti diversi passi fra i quali la predisposizione di una Strategia nazionale, la costruzione dell’architettura nazionale, l’avvio del CERT nazionale per i cittadini e le imprese, l’avvio del CERT PA per le Pubbliche Amministrazioni, la partecipazione alle esercitazioni di sicurezza informatica europee e nazionali.
Anche il settore privato in quel periodo non dava segni di investimenti, continuando a percepire la sicurezza come un costo e non come un utile strumento per proteggere e rafforzare asset aziendali.
Sebbene le grandi aziende non potessero disconoscere l’inderogabilità dell’adozione di adeguate misure di protezione, il top management era generalmente inconsapevole della potenziale gravità del rischio cyber.
La mancanza di consapevolezza diventava drammatica per le PMI, rivelando assenza totale di percezione del rischio e delle sue possibili conseguenze.
Il ruolo degli Internet Service Providers
Il settore che invece camminava più velocemente verso livelli elevati nella consapevolezza di una potente trasformazione epocale, era quello degli Internet Service Providers.
Gli ISP, soggetti tecnicamente qualificati, riuscivano a recepire i benefici dei primi bollettini o news specialistiche, nonché notifiche di possibili vulnerabilità, emessi dal CERT nazionale e a valutarne impatti e conseguenze.
In questo panorama, la Direttiva NIS si è posta da subito come una delle pietre miliari nel percorso di globalizzazione delle imprese e di modernizzazione delle Pubbliche Amministrazioni.
Ha obbligato ad un cambio di passo nella protezione di molte infrastrutture ed ha posto l’attenzione sulla modalità di erogazione di servizi essenziali, ha fatto riflettere sulla necessità che dovesse esserne garantita la continuità ed ha introdotto il principio dell’impatto su cittadini e servizi in caso di attacchi cyber di grande portata.
Infine, in Italia, nel 2018 si è colta l’occasione per allineare il comparto degli Operatori di comunicazioni elettroniche, destinatari di specifica normativa in materia di sicurezza informatica, ai settori individuati dalla NIS relativamente agli obblighi introdotti.
Rimaneva da chiudere il cerchio con l’individuazione univoca delle infrastrutture critiche e di tutti quei soggetti destinati ad espletare funzioni legate alla sicurezza nazionale.
Il Perimetro di Sicurezza Nazionale Cibernetica
È intervenuta allo scopo la legge 133/2019, che ha introdotto il Perimetro di Sicurezza Nazionale Cibernetica, colmando un gap che avrebbe potuto penalizzare il nostro Paese.
La legge sul Perimetro è risultata pertanto altro snodo fondamentale per identificare settori e ambiti strategici e riservare alle relative infrastrutture le protezioni più adeguate.
È superfluo sottolineare l’importanza dell’introduzione del Perimetro Nazionale; vale solo la pena di ricordare quanto sia stato determinante anche sul fronte delle certificazioni.
L’Italia, con OCSI, l’Organo di Certificazione di Sicurezza Informatica istituito nel 2003, possedeva una cultura della certificazione grazie alla sua partecipazione attiva ai consessi europei (SOGIS-MRA), e internazionale (CCRA) ma l’approvazione del Cybersecurity ACT nel 2019 avrebbe aperto un ulteriore nuovo capitolo della sicurezza a livello nazionale.
Occorreva pertanto poter disporre di un CVCN potente e dalle grandi capacità operative, per concludere un percorso di arricchimento dell’architettura nazionale cyber con strutture in grado di innalzare la cifra della sicurezza informatica di cittadini, imprese, infrastrutture critiche e strategiche.
La creazione dell’Agenzia Nazionale di Cybersicurezza
La creazione dell’Agenzia Nazionale di Cybersicurezza ha poi razionalizzato il panorama delle competenze, fino ad allora diffuse in vari ambiti statali.
Le funzioni di ACN hanno potuto contare fin da subito sull’assegnazione di prime importanti fonti di finanziamento, e altri strumenti normativi stanno fornendo il segnale atteso di massima attenzione.
Questo stato dell’arte relativo all’architettura nazionale di cybersecurity con uno sguardo al sistema delle imprese, tenendo di conto del percorso compiuto e sommariamente riassunto, ci conduce ad alcune riflessioni, specialmente concentrate sulle possibili criticità residue.
La formazione e le competenze necessarie per affrontare il rischio cyber
I nodi cruciali sembrano riconfermarsi la carenza di risorse necessarie e gli investimenti.
La consapevolezza dello stato delle minacce informatiche risulta ispirare una ricerca affannosa di personale qualificato ovvero da formarsi attraverso percorsi specialistici.
L’attualità di reperire risorse ad hoc si evince dall’attenzione che sia le aziende che la stessa ACN rivolgono alla questione; la creazione dei percorsi degli ITS conferma l’urgenza di intervenire sui programmi scolastici della scuola secondaria di secondo grado.
È altresì necessario che nel settore privato, oltre a privilegiare programmi di formazione continua, si rivedano se del caso i modelli organizzativi e si intervenga, ove necessario, per declinare al meglio le proprie policy di sicurezza informatica, accompagnandole con frequenti esercitazioni interne.
In ambito cyber, infatti, i nuovi obblighi possono comportare complessi impegni di gestione, adattamenti di posture, introduzione di nuovi cicli formativi con la conseguenza che anche i carichi di lavoro delle risorse a disposizione possono subire importanti trasformazioni.
L’importanza degli investimenti nel campo della cybersecurity
L’aspetto degli investimenti, in presenza di innovazioni tecnologiche che si susseguono a velocità disarmanti, si conferma pertanto tra i più delicati e strategici.
È interessante al riguardo la lettura del Report “NIS INVESTMENTS”, rilasciato da ENISA il 16 novembre.
Si tratta del quarto passaggio nell’ambito del CSPA (Cybersecurity Policy Assessments) di Enisa.
Finora il Report aveva posto l’attenzione sullo strumento legislativo, cioè la NIS, e sulla maturità e lo sviluppo delle “capabilities” maturate.
Quest’anno, invece, il Report riporta l’analisi di dati raccolti da 1080 operatori dei 27 Stati Membri, e opera un confronto sulle mutazioni negli investimenti effettuati anno per anno da parte degli OES/DSP.
Gli OES (Operators of Essential Services) e i DSP (Digital Service Providers), mentre sono chiamati ad applicare le previsioni della NIS, per le quali si ricorda sono soggetti a vigilanza e ad eventuali sanzioni in caso di inottemperanza, devono altresì prepararsi all’arrivo della NIS2, attualmente in fase di recepimento.
La survey di Enisa affronta anche la questione delle professionalità carenti nel settore cyber, nell’anno europeo delle “competenze” lanciato dalla Commissione Europea per accrescere la sensibilità sul tema.
Gli studi sono destinati ai policy makers che dovranno infatti valutare il quadro attuale europeo, anche in previsione delle novità introdotte dalla NIS2.
I risultati del Report “NIS Investments”
I dati, in visione sinottica, consentono in particolare di individuare i vari trend di spesa per l’Information Security (IS) e il Risk Management.
Il Report inoltre, tiene ampiamente in considerazione la Comunicazione della Commissione al Parlamento e al Consiglio del 18.04,2023 dal titolo “Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience (“The Cybersecurity Skills Academy”).
Sommariamente, di seguito, alcuni risultati della survey.
- Gli OES/DPS riservano il 7.1% degli investimenti IT per l’Information Security con un aumento dello 0,4%rispetto allo scorso anno (gli aspetti cyber sono un sottoinsieme del dominio IS).
- Nel 2022 il 42% degli OES/DSP hanno sottoscritto un’assicurazione specialistica, mentre soltanto il 13% di SME ha provveduto ad un’assicurazione cyber.
- Gli OES /DSP impiegano una media dell’11% di donne in Information Security mentre la “median”o il “middle value” è a zero percento. In altre parole, la maggior parte delle organizzazioni sottoposte a survey non hanno donne tra il loro personale FTE impiegate nella Information Security.
- Non vi sono forti segnali di assunzioni di tipo FTE nei prossimi due anni, ma è notevole il ricorso ai contratti temporanei.
- Il 47% delle organizzazioni analizzate dichiara di non prevedere un budget specifico per “information security training”.
- Il top management partecipa a formazione specifica di tipo cyber nella misura del 50% degli OES/DSP ed è coinvolta nell’approvazione delle misure per attività di risk management di tipo cyber nell’81% degli OES/DSP.
- Il 30% dei soggetti analizzati non collabora ad iniziative di information sharing.
Il parziale resoconto riportato, mentre fa tornare alla mente le suggestioni avvertite da chi ha lavorato a livello nazionale ed europeo agli albori dell’avventura della cybersecurity con risicati strumenti a disposizione, fornisce già notevoli spunti di riflessione per azioni future.
Basti pensare alla necessità di dispiegare le risorse FTE se si vuole potenziare la protezione cyber trasformando una semplice condizione operativa di difesa in una capacità di resistere in caso di attacchi sempre più numerosi ed aggressivi.
Solo un cambio di paradigma può abilitarci ad essere più preparati e resilienti come la dimensione digitale ormai pretende.
Oggi, inoltre, non si possono sottacere le esigenze permanenti di accrescere la consapevolezza della leadership, tramite formazione specialistica e la partecipazione attiva a circuiti qualificati di info-sharing.
Il ruolo strategico delle donne nella Cybersecurity
Riservo un’ultima considerazione, non certo per minore importanza quanto invece per ribadirne ancora una volta il carattere strategico, alla questione del coinvolgimento femminile nella partita della cybersecurity.
I dati del Report di Enisa, aggiunti a quelli di molti Osservatori, primo fra tutti il WEF, continuano a confermare un divario di genere tuttora rilevante nonostante il moltiplicarsi di iniziative volte a rappresentare l’importanza di incentivare l’accesso di ragazze alle lauree STEM.
Risultano carenti anche risorse provviste di altre conoscenze, altrettanto fondamentali nel digitale e note come soft skill.
In generale si registra un’assenza significativa e, talora, pressoché totale, del contributo femminile nella creazione di policy di cybersecurity, nella risoluzione degli attacchi semplici e complessi, nella predisposizione di norme nuove di settore, nelle fasi di progettazione delle soluzioni innovative, nelle applicazioni di machine learning e/o intelligenza artificiale legate al tema cyber o, banalmente, nelle “cyber challenge”.
Il Report aiuta a comprendere quali siano le professionalità necessarie per colmare i gap esistenti, ma la Comunicazione della Commissione riconosce l’esistenza di una numerosità e frammentarietà eccessive di iniziative di training.
In questo risiederebbe la causa di incapacità ad incidere utilmente in un comparto che ha bisogno di competenze radicalmente diverse da quelle note, che attraversino anche ambiti di specializzazione finora tenuti separati, e di percorsi coordinati di alta formazione.
Conclusioni
Le opportunità che il digitale e il mondo cyber in particolare ci stanno offrendo sono davvero esaltanti e sarebbe un danno per il sistema sia non svilupparle in modo adeguato sia non presentarle con la dovuta chiarezza e precisione alle nuove generazioni.
Miglior contributo alla riduzione del gender gap anche nel cyber, di un’informativa ricca di informazioni e motivazioni sarebbe difficilmente concepibile.
