Il 2018 è stato un anno estremamente rilevante sotto il profilo della sicurezza informatica e anche nel corso di quello appena iniziato il tema della sicurezza informatica sarà senz’altro al centro dell’attenzione mediatica, politica e manageriale.
Si continueranno a vedere gli effetti del Gdpr, grazie al quale i nuovi progetti dovranno avere molta più attenzione ai rischi ed alla sicurezza, mentre per effetto del cybersecurity act dovrebbero arrivare le certificazioni di sicurezza europee.
Novità importanti, dunque, all’orizzonte.
I dati pubblicati dal CLUSIT (Associazione Italiana per la Sicurezza Informatica) per il primo semestre dell’anno e tutti gli altri report e studi che abbiamo potuto vedere dicono in modo chiaro che il fenomeno della insicurezza informatica è in continua evoluzione negativa. Si moltiplicano gli attacchi gravi, aumentano le conseguenze negative per chi li subisce, aumenta il divario fra capacità di attacco e di difesa.
Morte Marchionne e crollo in borsa Facebook, perché sono le notizie 2018
Due sono tuttavia le notizie che riteniamo abbiano caratterizzato l’anno appena trascorso e che seppur in modo diverso non raccontano di attacchi e di data breach: la morte di Sergio Marchionne e il crollo di Facebook in borsa.
La malattia del manager di FCA è stata tenuta nascosta alla opinione pubblica, e ufficialmente anche a FCA, fino a pochissimi giorni prima della morte. Si tratta del trionfo della privacy, della capacità delle strutture sanitarie che lo avevano in cura di non fare uscire una notizia che, in tutta evidenza, aveva un grande valore economico (basti guardare l’andamento del titolo FCA al momento della morte del manager). Si tratta anche della capacità dei medici, degli infermieri, del personale amministrativo dell’ospedale dove era in cura e delle persone a lui più vicine di non parlare. Considerando a cosa siamo abituati in termini di notizie di stampa, è incredibile.
Facebook, negli stessi giorni della morte di Marchionne, ha perso circa un quinto del suo valore di borsa in una sola seduta. Motivazione addotta: colpa del GDPR, di una normativa che in Europa rischia di rendere il trattamento dei dati personali meno agevole di prima, con quindi rischi per i ricavi. Che sia vero o meno poco importa: importante è che per la prima volta una normativa sia posta a fondamento delle ragioni di un crollo di borsa. È uno spartiacque concettuale: le norme esistono. E incidono anche sui giganti del web.
Queste due notizie che non raccontano di attacchi e di vittime di data breach possono forse rappresentare il punto di partenza per una valutazione dell’anno 2018. Siamo di fronte a una emergenza, ma forse anche davanti a una svolta: per la prima volta, in Europa ma anche in altri paesi del mondo il tema della sicurezza informatica ha assunto rilievo primario sia a livello politico che imprenditoriale.
Gdpr e direttiva Nis, la spinta normativa su privacy e sicurezza
Inutile dire che il livello di attenzione sul tema, che così alto non era mai stato, è in gran parte dovuto alla spinta normativa.
Sul fronte della gestione della sicurezza, infatti, in Italia e in Europa il 2018 e stato dominato senza alcun dubbio dalle attività di adeguamento al GDPR. Se per le aziende più strutturate si è trattato di adeguamenti limitati (più ampi quelli non di sicurezza, ad esempio legati al supporto all’esercizio dei diritti degli interessati), per molte si è trattato del primo incontro con le logiche di valutazione del rischio e con la necessità di dimostrare l’adozione di buone pratiche di sicurezza.
Per moltissime poi, è stato ed è ancora una fase di presa di coscienza della dipendenza dal proprio sistema informativo, e dell’importanza delle informazioni, anche non personali, che vi sono trattate. L’attività di adeguamento, frenetica fino a ben oltre la scadenza del 25 maggio, ha assorbito buona parte delle risorse del mercato.
Nel 2018 è iniziato anche il percorso, molto più lento, di adozione della Direttiva NIS, con impatti sui fornitori di servizi essenziali che per ora sono ancora limitati.
Limitare il mercato della sicurezza a tematiche di conformità, cosa che in passato è stata spesso vera, sarebbe però riduttivo. Il 2018 ha visto le aziende italiane molto più attente al tema della sicurezza anche a prescindere dagli obblighi normativi. Un esempio è il settore manifatturiero, in passato poco sensibile a tematiche di sicurezza IT.
Con la progressiva diffusione di concetti dell’industria 4.0, è sempre più evidente che i problemi di cyber security possono interessare proprio le aree a cui questo tipo di aziende è più sensibile, come la produzione e la logistica. Ormai è frequente che l’analisi dei rischi di sicurezza venga svolta non solo sui dati personali per obblighi di conformità, ma anche sui dati e servizi di valore per l’azienda.
Insomma, con il 2018 sembra che l’attenzione alla sicurezza delle informazioni stia diventando parte della normale gestione dei rischi aziendali, e che questa tendenza possa diventare irreversibile.
Blockchain, la consapevolezza dopo l’hype
Il 2018 è stato anche l’anno di alcune tecnologie strettamente legate a temi di sicurezza. Parliamo prima di tutto di blockchain: si è cominciata a diradare il polverone creatosi intorno a questo strumento, e cominciano ad emergere i non tanti utilizzi ragionevoli, mentre si diffonde la consapevolezza che non si tratta della panacea che era stata presentata inizialmente. Nel 2019 si vedrà presumibilmente per cosa realisticamente potrà essere utile.
L’altro insieme di tecnologie, di cui si parla in modo meno chiassoso ma che avrà probabilmente un impatto molto più ampio e importante, è quello dell’intelligenza artificiale. Qui il ruolo della sicurezza è duplice.
- Da una parte, i rischi legati all’abuso o alla compromissione di strumenti basati su tecnologie di intelligenza artificiale possono avere conseguenze importanti, e quindi è necessario garantire che la sicurezza di questi strumenti sia adeguata.
- Dall’altra, la tendenza nelle buone pratiche di sicurezza e nei requisiti normativi è di una sempre maggiore attenzione alle attività di monitoraggio e di rilevazione di anomalie, per riconoscere e contenere gli incidenti di sicurezza.
Questa tendenza non può che portare a strumenti di analisi automatizzata sempre più sofisticati. Se per ora l’efficacia dell’utilizzo di tecniche di intelligenza artificiale è ancora limitata, sembra inevitabile un forte sviluppo in questa direzione.
Incidenti e minacce informatiche: guerra fra potenze anche nel cyberspazio
Anche sul fronte degli scenari di minaccia, degli attacchi e degli incidenti clamorosi, il 2018 è stato un anno significativo.
È ormai acquisito che le grandi potenze si stanno scontrando anche nel cyberspazio: al di là delle attività sui social network volte ad influenzare le opinioni dei cittadini, anche attacchi più tradizionali sono spesso attribuiti ad azioni di intelligence. L’ultimo esempio è la compromissione dei sistemi informativi del gruppo Marriott, probabilmente uno degli incidenti più grossi di questo tipo (si stima siano stati compromessi i dati di circa 500 milioni di clienti).
Secondo quanto riportato, i sistemi erano compromessi dal 2014, il che mette in dubbio che si trattasse semplicemente di raccolta di numeri di carte di credito e altri dati utili alle frodi, perché in quattro anni probabilmente l’abuso delle carte di credito sarebbe stato ricondotto ai sistemi compromessi. Viceversa, secondo molti l’analisi dei viaggi di così tanti utenti potrebbe essere stata un’utile fonte di intelligence.
Il “caso” Huawei
È ormai comune poi che questo tipo di scenari si sovrapponga a scenari di guerra economica fra gli stessi paesi. L’ultimo caso è il bando degli apparati Huawei da determinati contesti negli USA, con l’accusa di supportare attività di intelligence del governo cinese. Gli Stati Uniti starebbero premendo perché anche paesi alleati come l’Italia prendano misure analoghe. Dello stesso tenore le accuse alla Cina di manomissione di schede madre Supermicro destinate ad essere utilizzate nelle infrastrutture di telecomunicazione USA.
Ma a livello mondiale, incidenti meno noti, almeno in Italia, possono essere stati ancora più clamorosi. Un esempio sono stati i problemi di Aaadhaar, il database di ID nazionale indiano, attraverso il quale potrebbero essere stati compromessi i dati personali di ogni singolo cittadino indiano, ovvero più di un miliardo di persone. Questo caso porta ancora una volta l’attenzione sulla sicurezza di servizi pubblici in cui sono raccolti dati personali di tutti i cittadini di un paese.
Le vicissitudini di Facebook
E poi naturalmente ci sono le vicissitudini di Facebook, che sono arrivate alle prime pagine anche della stampa generalista. Il 2018 infatti sarà ricordato anche per la vicenda di Cambridge Analytica, che ha mostrato quanto i dati che quotidianamente diffondiamo e riceviamo dai social network possono influenzare le nostre scelte e decisioni. Probabilmente, parlarne in termini di sicurezza è improprio, perché non sembra esserci stata una vera compromissione dei dati, bensì una loro cessione volontaria, per quanto magari illegittima. E proprio di recente il New York Times ha pubblicato i risultati di un’inchiesta che mostrerebbe che Facebook ha concesso un ampio accesso ai dati dei propri utenti a diversi colossi dell’hi-tech.
Cosa aspettarsi dal 2019
Con queste premesse, cosa possiamo aspettarci per il 2019?
Ci sono alcune certezze. Una è che i piani di adeguamento della sicurezza ai requisiti posti dal GDPR saranno attuati in buona parte nel 2019, anno che quindi dovrebbe vedere un mercato ancora molto attivo. Il 2019 dovrebbe vedere anche un ulteriore effetto del GDPR, certamente positivo: la necessità di effettuare una valutazione di impatto sui trattamenti innovativi di dati personali comporterà che i nuovi progetti dovranno avere molta più attenzione ai rischi ed alla sicurezza, con un effetto positivo sia sulla sicurezza complessiva del cyberspazio che sul mercato della sicurezza.
Un’altra certezza è che il 2019 vedrà altre norme di impatto sul mercato della sicurezza, naturalmente di fonte principalmente europea.
La più importante potrebbe essere il cybersecurity act che oltre a rivedere e potenziare il ruolo di Enisa dovrebbe introdurre le certificazioni di sicurezza europee, uno strumento essenziale per poter aumentare la fiducia nei prodotti e servizi connessi.
