È evidente a tutti il fatto che l’anno che sta finendo è stato di grandissima rilevanza sotto il profilo dell’attenzione sul tema della sicurezza informatica.
La pressione mediatica da un lato e la leva normativa dall’altro hanno infatti creato le condizioni ideali perché a tutti i livelli aumentasse l’interesse e la sensibilità sul tema.
Abbiamo quindi davanti una situazione caratterizzata da un lato dall’incredibile aumento dei casi di attacchi sferrati contro aziende, pubbliche amministrazioni e cittadini e, dall’altro, dalla ormai assodata rilevanza del tema perlomeno nelle aziende di maggiori dimensioni e nelle pubbliche amministrazioni più attente al tema anche per motivi istituzionali.
I dati a nostra disposizione, a partire da quelli pubblicati dal Clusit, rappresentano un quadro drammatico (il primo semestre dell’anno 2017 è stato complessivamente il peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo) tanto che si può senza dubbio affermare che il quadro che abbiamo davanti agli occhi è disastroso, essendosi ormai giunti ad una condizione di costante “allarme rosso”.
La situazione in cui ci siamo trovati è probabilmente inevitabile, considerato l’aumento esponenziale della superficie di attacco esposta agli attacchi: cloud, social, mobile, “smart working” sono modalità di fruizione dell’informatica e della telematica sempre più diffuse.
Anche l’aumento della promiscuità fra la vita digitale personale con quella lavorativa crea problemi potenziali estremamente rilevanti senza contare la diffusione inarrestabile dell’IoT che pone ulteriori e rilevantissime criticità.
Si deve poi aggiungere che in Italia, per quanto il numero di attacchi gravi di dominio pubblico sia bassissimo rispetto al totale (dato quasi certamente dovuto alla scarsa propensione a denunciarli da parte delle nostre aziende e pubbliche amministrazioni), non si può non considerare alcuni casi molto particolari come il presunto spionaggio attribuito ai fratelli Occhionero, l’attacco ai sistemi non classificati della Farnesina, quello ad un sistema del Dipartimento per la Funzione Pubblica, l’attacco di Phishing (con malware allegato) contro oltre 200.000 vittime, quasi tutte italiane, realizzato in luglio dalla botnet Andromeda.
A fronte di tali evidenza, come emerge dal rapporto dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano, la spesa in sicurezza informatica in Italia è ancora molto bassa con tassi di crescita, perlomeno fra l’anno 2015 e il 2016 di solo il 5% per poco meno di un miliardo di euro (contro oltre 65 miliardi di euro di spese ICT).
Insomma, un quadro estremamente preoccupante a cui si contrappone però una diversa e contraria evidenza: l’aumento della consapevolezza.
Appare infatti evidente che la leva mediatica da un lato e la leva normativa dall’altro (ovviamente con specifico riferimento al GDPR) stanno determinando non solo una maggiore attenzione sul problema da parte dei vertici apicali delle aziende e delle pubbliche amministrazioni ma anche una allocazione di budget maggiore dovuta, tipicamente, ai progetti di adeguamento normativo che stante l’importantissima spinta alla sicurezza dettata dalla norma pretende un approccio finalmente sistemico al tema.
Non c’è oggi azienda dimensionata che non stia dando attuazione al GDPR e questo determina la necessità di effettuare analisi dei rischi, valutazioni di adeguatezza delle misure di sicurezza, valutazioni di impatto quando applicabili, creazione del ruolo del DPO quando obbligatorio o ritenuto opportuno.
Ma non basta.
Per le pubbliche amministrazioni è stato l’anno delle misure minime di sicurezza ICT, uno strumento voluto fortemente per guidare l’esigenza delle di sicurezza delle pubbliche amministrazioni fornendo loro, in particolare a quelle meno preparate, un riferimento operativo direttamente utilizzabile (checklist) nell’attesa della pubblicazione di documenti di indirizzo di più ampio respiro. Inoltre, il documento serve a stabilire una baseline comune di misure tecniche ed organizzative irrinunciabili con anche uno strumento per poter verificare lo stato corrente di attuazione delle misure di protezione contro le minacce informatiche, potendo quindi a valle tracciare un percorso di miglioramento.
L’obiettivo finale è quindi quello di consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni con l’obiettivo di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di incidenti o azioni ostili che possano compromettere il funzionamento dei sistemi e degli assetti controllati dagli stessi e a sollecitare tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici.
Ebbene, tutti questi interventi normativi stanno servendo a alzare la sensibilità, l’attenzione e la consapevolezza della necessità di interventi strutturali e, forse, stanno iniziando a guidare la spesa, effetti che ci auguriamo di poter vedere già dai primi mesi dell’anno prossimo quando saranno pubblicate le nuove ricerche del Clusit e del Politecnico di Milano.
Ma non si può non porre l’attenzione sul fatto che a livello europeo si sta anche lavorando su una nuova normativa su cui il Parlamento Europeo ha chiesto al Clusit di portare il proprio contributo.
Stiamo parlando del cosiddetto cybersecurity act che da un lato dovrebbe rafforzare il ruolo e il potere di ENISA e dall’altro dovrebbe portare a un quadro comune europeo sulle certificazioni della cyber-sicurezza.
Il Clusit e l’Osservatorio Sicurezza & Privacy del Politecnico di Milano hanno portato il loro contributo sul tema delle certificazioni in un public hearing tenutosi a dicembre a Bruxelles, tema spinoso perché se da un lato la certificazione, come noto, consiste nella valutazione formale dei prodotti, servizi e processi da parte di un organismo indipendente accreditato rispetto a una serie definita di criteri standard, ed è proprio per questi motivi che assume una rilevanza notevole nell’ambito della sicurezza informatica, tuttavia attualmente, il panorama europeo delle certificazioni in materia di cybersecurity dei prodotti e dei servizi ICT è piuttosto vario e frammentato. Tale situazione comporta un costante aumento dei costi e rappresenta un considerevole onere amministrativo ed economico per le imprese che operano in più Stati membri. E, difatti, l’obiettivo finale della Proposta di Cybersecurity act rimane quello di offrire diversi vantaggi ai cittadini e alle imprese.
Vedremo nei prossimi mesi in che termini il legislatore europeo procederà con questa nuova normativa che ci aspettiamo possa fornire un ulteriore fondamentale impulso alla attenzione sul tema e alla sicurezza dei cittadini, delle aziende e delle pubbliche amministrazioni.
