Secondo il Data Breach Investigation Report 2020 pubblicato da Verizon Business, gli attacchi alla cybersecurity delle applicazioni web sono raddoppiati negli ultimi sei mesi rispetto ai valori raggiunti in tutto il 2019. Un dato questo che sottolinea come l’avvento del Covid-19 abbia consentito al cyber crime di essere ancora più performante nella sua attività.
Per rafforzare il perimetro di sicurezza digitale dell’azienda, Business International (divisione di Fiera Milano Media – Gruppo Fiera Milano), propone dal 29 settembre 2020 un percorso di formazione sulla cybersecurity e il risk management aziendale.
Se da una parte, infatti, la pandemia che stiamo vivendo ha stravolto la nostra vita quotidiana e professionale, oltre ai consueti flussi operativi delle imprese, dall’altra è vero anche che questa stessa situazione ha aperto le frontiere di nuove modalità di attacco da parte dei criminali informatici che hanno spostato così la loro attenzione dagli uffici alle abitazioni dei lavoratori, allargando il loro raggio d’azione e rendendolo ancora più capillare ed espansivo.
Un tema di grande attualità, quello dell’evoluzione del perimetro di sicurezza nazionale cibernetica, su cui abbiamo intervistato Stefano Mele, avvocato esperto di privacy e cybersecurity e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano, che parteciperà come relatore al percorso di alta formazione sulla “Cybersecurity e la gestione dei rischi per il mondo dell’impresa” previsto dal 29 settembre.
Con l’avvento del Covid-19 il tasso di attacchi alle reti domestiche e ai dispositivi connessi è aumentato a dismisura, raggiungendo livelli mai visti prima. Come sarà possibile arginare questa nuova situazione di rischio?
Mele: “Sicuramente ci sono alcuni consigli che possono aiutare a colmare il gap che società private e pubblica amministrazione si sono trovate ad affrontare con l’emergenza Covid-19. Nessuno era preparato, infatti, a gestire una migrazione di massa di tutti i propri dipendenti né sul piano tecnologico, né sotto il profilo delle policy e tanto meno dal punto di vista dei processi di security. Ci si è quindi dovuti adattare e chi non l’ha ancora fatto dovrà farlo adesso con grande urgenza, perché il pericolo purtroppo non è ancora finito. È un dato di fatto che, durante il lockdown, la quasi totalità delle aziende e delle pubbliche amministrazioni si sono trovate di fronte alla necessità di dover costruire, con estrema urgenza e praticamente da zero o quasi, la loro capacità di consentire a ogni singolo dipendente di fruire dei servizi lavorativi dal proprio appartamento.
In quel periodo, che purtroppo perdura, c’è stato innanzitutto un tema di messa a disposizione delle tecnologie nei confronti dei dipendenti e di allineamento di questi strumenti sotto il punto di vista dei processi di cybersecurity, con regole molto stringenti e soprattutto omogenee, al fine di evitare di avere tante minacce alla rete aziendale quanti sono i dipendenti connessi. Oltre a ciò, poi, c’è il discorso delle policy, ovvero della formalizzazione delle regole che ogni utente/dipendente dovrà seguire, in modo che esso comprenda molto bene il processo straordinario di trasformazione imposto dall’emergenza e le regole che dovrà seguire. Regole che, inevitabilmente, devono tener conto delle ormai numerose normative che producono effetti nel settore della sicurezza cibernetica, dall’ormai celeberrimo GDPR, fino al nuovo Perimetro di Sicurezza Nazionale Cibernetica, passando per norme europee fondamentali come la Direttiva NIS e il Cybersecurity Act”.
Da quando è in atto la Pandemia gli obiettivi preferiti dei criminali informatici oltre alle email, sono diventati siti di eCommerce e applicazioni mobile, soprattutto di video streaming. Con una scuola che riprende in formato ibrido, le vendite crescenti tramite portali online e un utilizzo sempre più massivo dello smartphone, quali sono le precauzioni da prendere e gli asset da considerare per gestire la sicurezza?
Mele: “In realtà, l’asset principale su cui puntare e da tenere in considerazione per proteggere le persone sono le persone stesse. Non possiamo continuare a rincorrere le attività e ogni nuova modalità di attacco della criminalità informatica, perché altrimenti siamo e saremo sempre più di un passo indietro e quindi inevitabilmente sconfitti. In questo contesto, a mio avviso, potrebbe essere molto più interessante un approccio strategico che veda la formazione dell’utente/dipendente sui temi della security, del GDPR e della cybersecurity come un requisito fondamentale per operare in un’organizzazione, sia essa pubblica o privata, aiutando così a creare quell’indispensabile base di anticorpi necessari per far sì che attacchi banali come, ad esempio, il phishing, così come le nuove e più sofisticate azioni malevole contro siti di eCommerce, app e IoT di casa non vengano “rincorse” a seguito dei loro effetti, ma comprese o anche solo intuite in anticipo grazie a un set di comportamenti che sono alla base del patrimonio culturale di ciascun cittadino. Dobbiamo, quindi, creare una base culturale forte, fin dalle scuole primarie”.
Il futuro della cyber security dipenderà dall’introduzione nelle scuole di un’educazione civica digitale?
“Credo che per il futuro del digitale sarà fondamentale porre delle norme di comportamento sul convivere online. Vi è un disallineamento tra la capacità della nostra mente di imparare e la costante evoluzione tecnologica. A mio avviso, quindi, è sia un tema di ricambio generazionale, che di rincorsa alle novità tecnologiche, le quali hanno spesso bisogno di un differente approccio all’utilizzo, così come alle regole di sicurezza. Per questo, secondo me, occorre far sì che le regole base non cambino, ma varino solo le metodologie attraverso cui si applicano queste regole”.
Come giudica i provvedimenti presi dal Governo italiano e su cosa bisognerà concentrare l’attenzione per evitare di fare errori che potrebbero essere difficili da recuperare?
Mele: “L’Italia è stata tra gli stati capofila dell’attuazione della Direttiva NIS, ovvero la direttiva europea che richiede a tutti gli Stati membri di innalzare i livelli di cybersecurity anzitutto nei confronti delle società che forniscono servizi essenziali e servizi digitali per i cittadini. Il nostro Paese, quindi, è stato tra i due o tre stati dell’Unione Europea che hanno portato ad attuazione questa normativa prima degli altri.
Detto ciò, il perimetro di sicurezza nazionale cibernetica è una normativa molto intelligente e lungimirante, perché con essa il legislatore italiano comprende che non solo gli operatori privati che erogano i servizi essenziali sono importanti per la sicurezza nazionale dell’Italia, ma anche la pubblica amministrazione con, ad esempio, gli ospedali pubblici e i Ministeri, così come numerose altre società private, spesso piccole e medie imprese operanti sul territorio nazionale. In funzione di ciò, quindi, si è giustamente pensato di creare un “perimetro” che ricomprendesse anche questi soggetti”.
In questi giorni l’UE si sta accingendo a revisionare la Direttiva NIS. Quale aspetto sarebbe da modificare per fare tornare la norma al passo con i tempi?
Mele: “Il problema che possiamo sottolineare con maggiore evidenza è la non omogeneità delle misure di sicurezza all’interno degli Stati membri dell’UE. L’Unione Europea, infatti, ha imposto un obiettivo di sicurezza e ha indicato come raggiungerlo. Tuttavia, per il principio di sussidiarietà, l’UE non ha potuto legiferare anche in maniera specifica in relazione alle misure di sicurezza richieste a tutti gli operatori di servizi essenziali e ai fornitori di servizi digitali presenti all’interno dei confini europei, lasciando spazio al legislatore nazionale di ogni singolo Stato membro. Ciò, com’è facile immaginare, ha creato numerosi problemi soprattutto per le società multinazionali o per gli operatori che svolgono la propria attività in più Paesi dell’Europa a causa dell’ovvio disallineamento tra Stati in relazione alle misure di sicurezza da applicare. Lo sforzo richiesto, pertanto, è sicuramente sproporzionato e, quindi, immagino che questo sarà senz’altro il primo tema da valutare in fase di aggiornamento”.
Bisognerebbe espandere il perimetro di sicurezza a tutto il territorio europeo?
Mele: “Si, l’idea potrebbe essere proprio questa: creare un Perimetro di Sicurezza Nazionale Cibernetica Europea, partendo dall’esempio italiano e dal grande lavoro fatto dalla Direttiva NIS e dal Cyber Security Act, normativa, quest’ultima, incredibilmente ancora troppo poco analizzata e dibattuta. Un’occasione, questa, anche per ricomprendere le piccole e medie imprese, ad oggi il vero motore economico dell’Italia e dell’intera Unione europea. Ovviamente, si dovrà pensare a una soluzione per garantire i medesimi livelli alti di sicurezza cibernetica richiesti dal legislatore europeo anche per queste aziende che purtroppo non hanno la capacità economica di spendere decine di milioni di euro all’anno su questo tema. In tal senso, guardo con estremo interesse al progetto “Gaia-X”, purché venga davvero realizzato come un consorzio tra tutti gli Stati membri e non come il volere di pochi, forti, Stati europei a esclusivo vantaggio delle loro economie. Siamo, insomma, all’alba di una prova di maturità dell’Europa nel settore tecnologico e della cybersecurity”.