Cyberspace, la guerra corre sul web

Lo scenario è inquietante. Le armi assolutamente non convenzionali. Benvenuti nell’era dell’insicurezza digitale

Ci sono tanti strati della popolazione (soprattutto i Millennials) non attenti alle cyber minacce. Gabriele Faggioli, Presidente del Clusit (Associazione Italiana per la Sicurezza Informatica), denuncia un vero e proprio gap tra percezione e rischio effettivo ed evidenzia l’aumento di attacchi al mondo governativo e militare, ma anche una poco confortante crescita del phishing e degli attacchi in ambito sanitario.

Sul fronte più squisitamente aziendale l’ecosistema digitale da gestire e mettere in sicurezza annovera oramai una moltitudine di dispositivi non accompagnati da adeguata consapevolezza degli utenti, pensiamo alla diffusione di computer portatili, tablet e smartphone ed al rischio del loro smarrimento o vulnerabilità. A questo proposito Fabio Cappelli, partner EY e responsabile Cyber security per l’Italia nella edizione 2016 della Global Information Security Survey dichiara: «Rivoluzione industriale 4.0 e crescita esponenziale dell’Internet of Things, infrastrutture immateriali ed ecosistemi interoperabili sono solo alcuni dei trend che stanno modificando i modelli operativi e tecnologici delle aziende: i dati della nostra survey, in particolare per l’Italia, ci confermano che tali evoluzioni non risultano sincronizzate con la necessaria evoluzione delle modalità di protezione».

«Ben due aziende su tre lamentano la mancanza di un programma strutturato di cyber intelligence, e la stessa percentuale dichiara di aver recentemente subito un incidente significativo di sicurezza. Analytics, robotics e intelligenza artificiale sono tecnologie ad oggi disponibili e che dovranno contribuire a migliorare il nostro approccio alla Cyber security. La posta in gioco è alta: la Cyber security è la vera sfida dei nostri giorni per garantire la sopravvivenza delle aziende».

Tale scenario ha determinato un incremento della spesa in sicurezza informatica che nei prossimi anni proseguirà ad un ritmo crescente, con la previsione di un tasso medio annuo superiore al 5%, mediamente più elevato rispetto al mercato digitale complessivo. In particolare, gli investimenti negli anni scorsi si sono concentrati sull’aggiornamento degli strumenti di sicurezza per la protezione di reti e dati (Data Loss & Intrusion Prevention, Firewall), sul rafforzamento delle policy e sul ricorso ai servizi (Risk e Vulnerability Assessment) che consentono di individuare le vulnerabilità dei sistemi e le azioni da intraprendere.

Per il prossimo biennio, la principale tendenza di investimento sarà rappresentata dalla diffusione e dall’aumento della domanda di servizi di sicurezza gestiti, con conseguente aumento dell’adozione di servizi di sicurezza Cloud. Oramai si sta consolidando la coscienza che il cyberspace è una condizione necessaria per la prosperità economica di un Paese. Dopo l’economia anche la definizione classica di Difesa si trova a dover aggiornare i propri assiomi, infatti nello scorso giugno gli omologhi ministri dei Paesi Nato hanno approvato il riconoscimento del cyber-spazio come quinto scenario di conflittualità, dopo le classiche terra, aria, mare e spazio, determinandone l’estensione della clausola di difesa collettiva.

Questo scenario non coglie l’Italia impreparata che già nel 2015 con il “Libro Bianco per la Sicurezza Internazionale e la Difesa” ne fa una delle sue priorità strategiche ed uno dei più importanti programmi di investimento. Analogamente l’Italia proporrà al G7 un codice di condotta internazionale per limitare la proliferazione di cyber armi. Infatti in questi scenari le nuove armi si chiamano ora, per esempio, DGAs.

Cosa sono? In tutti i cyberarsenali non mancano i “Domain generation algorithms”, ossia algoritmi capaci di generare fino a 50.000 domini al giorno utilizzati dai botnets per mascherare le loro attività e restare in funzione più a lungo a produrre effetti indesiderati. Con la crescente ed inarrestabile digital transformation in corso in tutti i settori dell’organizzazione sociale ed economica, con l’emergente Industry 4.0 ed IoT, i nostri destini sono sempre più affidati ai presidii digitali, pensiamo a quali conseguenze porterebbe una inadeguata protezione.

Saremmo organizzati per tornare agli anni ’70 con un colpo di clic? Dopo una lunga gestazione anche la normativa europea si è profondamente aggiornata attraverso due principali provvedimenti, ossia il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (EU-GDPR) e la Direttiva Network and Information Security (NIS) che delineano un corpus normativo comune in materia di tutela dei dati personali e regolamentazione della esportazione al di fuori dell’Unione Europea, introducendo per le aziende la responsabilità dell’integrità dei dati che trattano, obbligandole ad adottare adeguati processi di gestione e notifica nei casi di violazione di sicurezza e di incidenti con impatto significativo sulla continuità dei servizi essenziali, delineano pertanto un vero e proprio obbligo di denuncia da parte di chi ha subito un danno cibernetico.

Sarà un cambio radicale rispetto alla passata “omertà” giustificata da malintesi pudori reputazionali che impedivano di delineare correttamente l’effettivo profilo di rischio in cui versano settori chiave del nostro sistema produttivo e, più in generale, del nostro sistema paese. Anche il recente Codice degli Appalti dovrà integrarsi con la Direttiva NIS che prevede che gli Stati membri dovranno assicurare l’adozione, da parte delle PA e dei gestori del mercato, di appropriate misure e tecniche organizzative per la gestione dei rischi e per la sicurezza delle reti e dei sistemi informativi.

“Certus an incertus quando”, ossia la domanda corretta sugli scenari plausibili di cyber attacchi non è “se” verremo aggrediti, ma “quando” e con quali impatti. Gli effetti dei richiamati interventi legislativi, se correttamente recepita a tutti i livelli, produrrà maggior consapevolezza dei rischi ed un comportamento più adeguato con importanti benefici concreti nella operatività quotidiana delle imprese, delle istituzioni e dei cittadini.

Non possiamo infatti trascurare l’elemento umano e culturale, spesso l’anello debole nella catena tra l’aggressore ed il pc è il soggetto alla tastiera… Come afferma Giampiero Massolo, già Direttore Dipartimento delle Informazioni per la Sicurezza, in una recente intervista alla Stampa: «Molto è stato fatto in Italia e nell’Ue sotto questo profilo, ma è un processo destinato a continuare. Nessun sistema di sicurezza è efficace se non si basa sulla stretta collaborazione tra chi tutela e chi viene tutelato. Anche il più sofisticato dei sistemi, tuttavia, non può esimerci dall’uso responsabile della rete».