Il 2017 è stato un anno fortemente critico per la sicurezza cibernetica. Quest’anno l’Italia dovrebbe contare sul recepimento della direttiva Nis per affrontare il problema, ma siamo in ritardo. Anche per colpa delle contingenze politiche. Vediamo le dimensioni di questo fenomeno perverso.
I principali attacchi informatici 2017
Secondo il rapporto Clusit, su un campione di 6.866 attacchi definiti di grave intensità in tutto il mondo tra il 2011 e il 2017, solo nell’ultimo anno ne sono stati registrati 1.127 attacchi, con un incremento su base annua del 7,33%.
Il malware è la modalità di attacco più diffusa, con oltre 140 milioni di nuovi tipi rilevati tra gennaio e settembre 2017. Da questo punto di vista sono particolarmente diffusi i cosiddetti ransomware che negli ultimi anni hanno fatto segnare un incremento esponenziale: basti pensare che tra il 2015 e il 2017 l’aumento ha raggiunto il 226%, per un totale di 12,5 milioni. Una vera e propria emergenza globale dunque, che non risparmia alcun settore. I dati evidenziano come agricoltura, foreste e pesca insieme al commercio all’ingrosso siano stati nel 2016 i comparti produttivi più colpiti dai malware. L’unica eccezione in tal senso è rappresentata dal commercio al dettaglio. Salvo la finanza, sono diminuiti invece i casi di phishing, le truffe informatiche con lo scopo di rubare i dati personali degli utenti. Pure in questo caso, comunque, il settore più colpito è l’agricoltura secondo quanto emerge da un recente report di Symantec.
All’emergenza – fotografata dal recente paper di I-Com (Istituto per la Competitività) dal titolo “Making Europe Safer” – non sfuggono neppure le imprese energetiche, per le quali il pericolo maggiore è rappresentato dalle interruzioni delle forniture (57%), seguito dai possibili danni alla sicurezza del personale e della clientela (53%) e dal furto di proprietà intellettuale (45%). Discorso analogo anche per il settore dell’automotive, sempre più concentrato sullo sviluppo delle connected car che dovrebbero raggiungere a fine 2018 circa 68 milioni di unità. Secondo i risultati di un sondaggio realizzato da Foley nel 2017 e condotto su 83 dirigenti del settore automobilistico e tecnologico tra America e Asia, la sicurezza informatica e la privacy rappresentano una delle preoccupazioni principali. L’indagine Irdeto Global Consumer Connected Car ha esaminato invece la consapevolezza dei consumatori in materia di attacchi cibernetici su auto connesse e veicoli autonomi: l’85% degli intervistati ritiene che qualsiasi automobile connessa possa essere un potenziale bersaglio di un attacco informatico e il 59% dei proprietari teme che il proprio veicolo possa essere preso di mira.
Il ruolo della direttiva Nis per la cyber security
Trattandosi di una sfida complessa, aggravata dalla difficoltà di presidiare uno spazio dai confini evanescenti come la rete, l’Unione europea ha deciso di fare fronte comune attraverso la direttiva numero 1148 del luglio 2016 – la cosiddetta direttiva Nis – che contiene misure per un comune ed elevato livello di sicurezza delle reti e dei sistemi informativi nell’Unione. È la prima volta che le istituzioni europee affrontano in modo organico le sfide in materia di cyber sicurezza. Un provvedimento importante che ha innanzitutto prescritto agli Stati membri l’adozione di una strategia nazionale sulla sicurezza della rete e dei sistemi informativi e l’individuazione di autorità nazionali competenti, punti di contatto unici e Csirt (Computer Security Incident Response Team). La direttiva ha inoltre istituito un gruppo di cooperazione con l’obiettivo di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri e di sviluppare la fiducia tra loro, composto da rappresentanti degli stessi Stati membri, della Commissione e dell’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione. Peraltro, ha definito gli operatori dei servizi essenziali come le aziende pubbliche o private che operano nell’energia, nei trasporti, nel settore bancario e sanitario, nelle infrastrutture dei mercati finanziari, nella fornitura e distribuzione di acqua potabile e nelle infrastrutture digitali: tutti questi soggetti, ai sensi della direttiva, avranno l’obbligo di dotarsi di misure di sicurezza che permettano di prevenire i rischi e garantire la sicurezza dei sistemi, delle reti e delle informazioni e la capacità di gestire gli incidenti.
L’iter di recepimento della direttiva Nis andrebbe completato, almeno in teoria, entro il 9 maggio 2018: peccato che però l’Italia – a differenza di altri Paesi come Germania, Repubblica Ceca e Regno Unito – sia ancora abbastanza indietro. L’8 febbraio scorso, il Consiglio dei Ministri ha approvato, in via preliminare, lo schema di decreto legislativo che dovrebbe attuare da noi la direttiva Nis ma, da allora, il processo di approvazione si è fermato.
A proposito del provvedimento di recepimento predisposto dal Consiglio dei Ministri, è interessante segnalare quanto previsto per l’attuazione dell’articolo 7 della direttiva: lo schema di decreto legislativo prescrive l’adozione di una strategia nazionale di sicurezza cibernetica da parte del presidente del Consiglio nella quale siano indicate le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione. Si tratta, a ben vedere, di elementi in grande parte già declinati nel Piano nazionale del 2017 il cui testo, a questo punto, potrebbe essere presto aggiornato.
Come “autorità competenti Nis” sono individuati ben 5 ministeri (Sviluppo economico, Infrastrutture e Trasporti, Economia, Salute e Ambiente) mentre il Dis – il Dipartimento delle informazioni per la sicurezza – è stato incaricato di svolgere le funzioni del punto di contatto unico. All’interno della Presidenza del Consiglio è stata disposta la creazione di un unico Computer Security Incident Response Team, detto Csirt italiano, che sostituirà gli attuali Cert Nazionale (operante presso il ministero dello Sviluppo economico) e CERT-PA (attivo presso l’Agenzia per l’Italia Digitale), la cui organizzazione e funzionamento saranno disciplinati mediante decreto. Lo schema di decreto legislativo dispone inoltre che gli operatori di servizi essenziali inoltrino al Csirt – e per conoscenza all’ autorità competente Nis del proprio settore – le notifiche di incidenti informatici con impatto rilevante sui servizi forniti “senza ingiustificato ritardo”.
L’attuale situazione di stallo politico certamente non aiuta ad arrivare speditamente al recepimento della direttiva Nis. La cybersecurity rappresenta tuttavia un’assoluta priorità: se il digitale è il futuro del Paese e del mondo intero non c’è spazio per indecisioni o rinvii. È indispensabile un’azione decisa e forte in grado di aumentare il livello di sicurezza informatica e assicurare un ecosistema improntato a fiducia che favorisca il definitivo decollo dei servizi digitali.
