Cybersecurity dopo il Covid-19: come proteggersi efficacemente?

Per saperne di più su risk management e cybersecurity BiMag ha intervistato Stefano Mele, Mele: per guardare a un futuro digitale, bisogna creare un perimetro di sicurezza cibernetica europeo cover cyber security mele, Stefano Mele, esperto di privacy e cybersecurity e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano

Pubblicato il 29 settembre 2020

Secondo il Data Breach Investigation Report 2020 pubblicato da Verizon Business, gli attacchi alla cybersecurity delle applicazioni web sono raddoppiati negli ultimi sei mesi rispetto ai valori raggiunti in tutto il 2019. Un dato questo che sottolinea come l’avvento del Covid-19 abbia consentito al cyber crime di essere ancora più performante nella sua attività.

Per rafforzare il perimetro di sicurezza digitale dell’azienda, Business International (divisione di Fiera Milano Media – Gruppo Fiera Milano), propone dal 29 settembre 2020 un percorso di formazione sulla cybersecurity e il risk management aziendale.

Se da una parte, infatti, la pandemia che stiamo vivendo ha stravolto la nostra vita quotidiana e professionale, oltre ai consueti flussi operativi delle imprese, dall’altra è vero anche che questa stessa situazione ha aperto le frontiere di nuove modalità di attacco da parte dei criminali informatici che hanno spostato così la loro attenzione dagli uffici alle abitazioni dei lavoratori, allargando il loro raggio d’azione e rendendolo ancora più capillare ed espansivo.

Un tema di grande attualità, quello dell’evoluzione del perimetro di sicurezza nazionale cibernetica, su cui abbiamo intervistato Stefano Mele, avvocato esperto di privacy e cybersecurity e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano, che parteciperà come relatore al percorso di alta formazione sulla “Cybersecurity e la gestione dei rischi per il mondo dell’impresa” previsto dal 29 settembre.

Con l’avvento del Covid-19 il tasso di attacchi alle reti domestiche e ai dispositivi connessi è aumentato a dismisura, raggiungendo livelli mai visti prima. Come sarà possibile arginare questa nuova situazione di rischio?
Mele: “Sicuramente ci sono alcuni consigli che possono aiutare a colmare il gap che società private e pubblica amministrazione si sono trovate ad affrontare con l’emergenza Covid-19. Nessuno era preparato, infatti, a gestire una migrazione di massa di tutti i propri dipendenti né sul piano tecnologico, né sotto il profilo delle policy e tanto meno dal punto di vista dei processi di security. Ci si è quindi dovuti adattare e chi non l’ha ancora fatto dovrà farlo adesso con grande urgenza, perché il pericolo purtroppo non è ancora finito. È un dato di fatto che, durante il lockdown, la quasi totalità delle aziende e delle pubbliche amministrazioni si sono trovate di fronte alla necessità di dover costruire, con estrema urgenza e praticamente da zero o quasi, la loro capacità di consentire a ogni singolo dipendente di fruire dei servizi lavorativi dal proprio appartamento.

In quel periodo, che purtroppo perdura, c’è stato innanzitutto un tema di messa a disposizione delle tecnologie nei confronti dei dipendenti e di allineamento di questi strumenti sotto il punto di vista dei processi di cybersecurity, con regole molto stringenti e soprattutto omogenee, al fine di evitare di avere tante minacce alla rete aziendale quanti sono i dipendenti connessi. Oltre a ciò, poi, c’è il discorso delle policy, ovvero della formalizzazione delle regole che ogni utente/dipendente dovrà seguire, in modo che esso comprenda molto bene il processo straordinario di trasformazione imposto dall’emergenza e le regole che dovrà seguire. Regole che, inevitabilmente, devono tener conto delle ormai numerose normative che producono effetti nel settore della sicurezza cibernetica, dall’ormai celeberrimo GDPR, fino al nuovo Perimetro di Sicurezza Nazionale Cibernetica, passando per norme europee fondamentali come la Direttiva NIS e il Cybersecurity Act”.

Da quando è in atto la Pandemia gli obiettivi preferiti dei criminali informatici oltre alle email, sono diventati siti di eCommerce e applicazioni mobile, soprattutto di video streaming. Con una scuola che riprende in formato ibrido, le vendite crescenti tramite portali online e un utilizzo sempre più massivo dello smartphone, quali sono le precauzioni da prendere e gli asset da considerare per gestire la sicurezza?
Mele: “In realtà, l’asset principale su cui puntare e da tenere in considerazione per proteggere le persone sono le persone stesse. Non possiamo continuare a rincorrere le attività e ogni nuova modalità di attacco della criminalità informatica, perché altrimenti siamo e saremo sempre più di un passo indietro e quindi inevitabilmente sconfitti. In questo contesto, a mio avviso, potrebbe essere molto più interessante un approccio strategico che veda la formazione dell’utente/dipendente sui temi della security, del GDPR e della cybersecurity come un requisito fondamentale per operare in un’organizzazione, sia essa pubblica o privata, aiutando così a creare quell’indispensabile base di anticorpi necessari per far sì che attacchi banali come, ad esempio, il phishing, così come le nuove e più sofisticate azioni malevole contro siti di eCommerce, app e IoT di casa non vengano “rincorse” a seguito dei loro effetti, ma comprese o anche solo intuite in anticipo grazie a un set di comportamenti che sono alla base del patrimonio culturale di ciascun cittadino. Dobbiamo, quindi, creare una base culturale forte, fin dalle scuole primarie”.

Il futuro della cyber security dipenderà dall’introduzione nelle scuole di un’educazione civica digitale?
“Credo che per il futuro del digitale sarà fondamentale porre delle norme di comportamento sul convivere online. Vi è un disallineamento tra la capacità della nostra mente di imparare e la costante evoluzione tecnologica. A mio avviso, quindi, è sia un tema di ricambio generazionale, che di rincorsa alle novità tecnologiche, le quali hanno spesso bisogno di un differente approccio all’utilizzo, così come alle regole di sicurezza. Per questo, secondo me, occorre far sì che le regole base non cambino, ma varino solo le metodologie attraverso cui si applicano queste regole”.

Come giudica i provvedimenti presi dal Governo italiano e su cosa bisognerà concentrare l’attenzione per evitare di fare errori che potrebbero essere difficili da recuperare?
Mele: “L’Italia è stata tra gli stati capofila dell’attuazione della Direttiva NIS, ovvero la direttiva europea che richiede a tutti gli Stati membri di innalzare i livelli di cybersecurity anzitutto nei confronti delle società che forniscono servizi essenziali e servizi digitali per i cittadini. Il nostro Paese, quindi, è stato tra i due o tre stati dell’Unione Europea che hanno portato ad attuazione questa normativa prima degli altri.

Detto ciò, il perimetro di sicurezza nazionale cibernetica è una normativa molto intelligente e lungimirante, perché con essa il legislatore italiano comprende che non solo gli operatori privati che erogano i servizi essenziali sono importanti per la sicurezza nazionale dell’Italia, ma anche la pubblica amministrazione con, ad esempio, gli ospedali pubblici e i Ministeri, così come numerose altre società private, spesso piccole e medie imprese operanti sul territorio nazionale. In funzione di ciò, quindi, si è giustamente pensato di creare un “perimetro” che ricomprendesse anche questi soggetti”.

In questi giorni l’UE si sta accingendo a revisionare la Direttiva NIS. Quale aspetto sarebbe da modificare per fare tornare la norma al passo con i tempi?
Mele: “Il problema che possiamo sottolineare con maggiore evidenza è la non omogeneità delle misure di sicurezza all’interno degli Stati membri dell’UE. L’Unione Europea, infatti, ha imposto un obiettivo di sicurezza e ha indicato come raggiungerlo. Tuttavia, per il principio di sussidiarietà, l’UE non ha potuto legiferare anche in maniera specifica in relazione alle misure di sicurezza richieste a tutti gli operatori di servizi essenziali e ai fornitori di servizi digitali presenti all’interno dei confini europei, lasciando spazio al legislatore nazionale di ogni singolo Stato membro. Ciò, com’è facile immaginare, ha creato numerosi problemi soprattutto per le società multinazionali o per gli operatori che svolgono la propria attività in più Paesi dell’Europa a causa dell’ovvio disallineamento tra Stati in relazione alle misure di sicurezza da applicare. Lo sforzo richiesto, pertanto, è sicuramente sproporzionato e, quindi, immagino che questo sarà senz’altro il primo tema da valutare in fase di aggiornamento”.

Bisognerebbe espandere il perimetro di sicurezza a tutto il territorio europeo?
Mele: “Si, l’idea potrebbe essere proprio questa: creare un Perimetro di Sicurezza Nazionale Cibernetica Europea, partendo dall’esempio italiano e dal grande lavoro fatto dalla Direttiva NIS e dal Cyber Security Act, normativa, quest’ultima, incredibilmente ancora troppo poco analizzata e dibattuta. Un’occasione, questa, anche per ricomprendere le piccole e medie imprese, ad oggi il vero motore economico dell’Italia e dell’intera Unione europea. Ovviamente, si dovrà pensare a una soluzione per garantire i medesimi livelli alti di sicurezza cibernetica richiesti dal legislatore europeo anche per queste aziende che purtroppo non hanno la capacità economica di spendere decine di milioni di euro all’anno su questo tema. In tal senso, guardo con estremo interesse al progetto “Gaia-X”, purché venga davvero realizzato come un consorzio tra tutti gli Stati membri e non come il volere di pochi, forti, Stati europei a esclusivo vantaggio delle loro economie. Siamo, insomma, all’alba di una prova di maturità dell’Europa nel settore tecnologico e della cybersecurity”.

* Leggi l’articolo completo su Bimag

Matteo Castelnuovo



Contenuti correlati

  • Macchine Protette 2023: il programma

    L’appuntamento con la cybersecurity industriale è a Macchine Protette, il 4 aprile ad Expo Fiere Piacenza con Mindsphere World. Una giornata dedicata alle normative del settore – il Nuovo regolamento macchine – agli strumenti utili per la...

  • Socomec ottiene la certificazione ISO/IEC 27001 a garanzia della sicurezza di prodotti e servizi

    Al giorno d’oggi la sicurezza informatica è diventata una sfida strategica fondamentale; il tasso di attacchi informatici è aumentato in modo esponenziale dal 2020 e il settore manifatturiero è ora il secondo settore più colpito. Socomec non prende...

  • Honeywell Safety Watch massimizza la sicurezza del personale

    Honeywell Safety Watch è una soluzione di localizzazione in tempo reale (RTLS) per applicazioni industriali, progettata per fornire alle aziende informazioni riguardo i propri lavoratori e asset, al fine di garantirne la loro sicurezza. “Sapere dove si...

  • Zanardi Fonderie trasforma i processi e le modalità di lavoro con WeAreProject

    Zanardi Fonderie, storica società veronese specializzata nelle fusioni in Fonderia di ghisa sferoidale e ghisa sferoidale austemperata, con un’offerta a ciclo completo che include attività di progettazione, fusione, trattamento termico, sbavatura, lavorazione meccanica, verniciatura, controllo e certificazione...

  • Come fare per evitare l’arresto della produzione

    Anche se le norme e specifiche pertinenti non sono state ancora formulate fino all’ultimo dettaglio, l’argomento della sicurezza è già da tempo sul tavolo. Oggi l’idea della linea di produzione come sistema isolato può essere archiviata definitivamente....

  • hacker cybersecurity
    6 errori di cybersecurity che espongono le imprese agli attacchi

    Di Angelo Rosiello, Partner Utilities & Digital Oliver Wyman Ormai da molti anni, il sistema economico in cui viviamo, ma anche le nostre stesse vite, sono stati investiti da una crescente digitalizzazione, che ci ha resi sempre...

  • TXOne Networks: la cybersecurity in ambito OT

    Nata da una joint venture fra Moxa, realtà di riferimento nel campo delle soluzioni di connessione, e Trend Micro, esperta nell’ambito della cybersecurity, TXOne Networks opera specificatamente nel campo della sicurezza delle reti industriali, tema sempre più al centro dei pensieri...

  • Dassault Systemes skill manufatturiero
    Manifattura sostenibile, quali sono le skill richieste?

    Dassault Systèmes ha reso noto quali sono le skill chiave per accelerare la trasformazione del settore manifatturiero, con l’obiettivo di creare esperienze sostenibili. La progettazione sostenibile, la meccatronica, l’Additive Manufacturing, la Data Science e l’ingegneria dei sistemi basata...

  • Clusit: buon lavoro al neodirettore di ACN Bruno Frattasi

    Nel ringraziare il professor Baldoni per aver avviato e indirizzato il lavoro fondamentale dell’Agenzia per la Cybersicurezza Nazionale dalla sua costituzione, Clusit – Associazione Italiana per la Sicurezza Informatica, accoglie con soddisfazione la nomina del prefetto di...

  • Ucimu Bilancio di Sostenibilità 2021
    1° Bilancio di Sostenibilità Ucimu: attività ESG in corso, ma manca la formalizazione dei processi

    È stato presentato il primo Bilancio di Sostenibilità dedicato al settore delle macchine utensili, realizzato da Ucimu-Sistemi per produrre, l’associazione dei costruttori italiani di macchine utensili, robot e automazione, in collaborazione con Altis, Alta Scuola Impresa e...

Scopri le novità scelte per te x