La cyber security legata alla trasformazione digitale in Italia è stato argomento di dibattito nella tavola rotonda Le nuove sfide della cybersecurity nei giorni della pandemia voluta da Trend Micro, in cui esponenti del settore privato si sono confrontati con le parti politiche. L'obiettivo era creare una collaborazione virtuosa affinché il nostro Paese recuperi il terreno perduto e si faccia trovare pronta alle prossime e impegnative sfide.

Il punto di partenza ovviamente è la pandemia: nel 2020 Trend Micro ha rilevato nove milioni minacce legate al COVID. 119 minacce al minuto, che segnano un incremento del 20% rispetto al 2019. Gastone Nencini, Country Manager di Trend Micro Italia, ha ribadito quanto ha detto più volte in passato: la trasformazione digitale forzata ha creato problemi di cyber security perché "prima non era stata fatta un'analisi del rischio atta ad analizzare i fattori di rischio importanti e gli asset da proteggere, e per calibrare di conseguenza gli interventi da fare".

Il risultato è che quando la pandemia ha obbligato aziende, Governo e cittadini a usare il digitale per la maggior parte delle attività quotidiane, sono emerse tutte le lacune che erano latenti nei sistemi e nelle infrastrutture. È stata una lezione dura ma importante, come ha ricordato Francesco Taverna, Direttore Tecnico Capo della Polizia di Stato: "siamo in fase di rincorsa. Il panico e le vulnerabilità hanno favorito gli attacchi e le frodi contro enti pubblici e privati, che sono aumentati del 246% rispetto all'anno precedente. Ci sono state massicce campagne di phishing, mercati online per la vendita illegale di dispositivi medici e di vaccini falsi. L'enorme numero di nuovi servizi ha ampliato la superficie d'attacco e ha costretto il Sistema-Paese a una rincorsa per trovare nuove soluzioni e nuovi modelli per la protezione delle infrastrutture di rete".

Piano Nazionale di Ripresa e Resilienza

Il primo effetto positivo dei problemi evidenziati con il COVID è che la Politica ha compreso di dover agire, e in fretta. A sottolinearlo per primo è stato il sottosegretario di Stato al Ministero della Difesa Giorgio Mulè: "Il Governo ha dato indicazioni nuove, con l'obiettivo creare un'agenzia che unisca gli ambiti militare e civile e le imprese. La sicurezza non è più relegabile fra le varie ed eventuali, è una priorità".

Il riferimento è al Piano Nazionale di Ripresa e Resilienza (PNRR), che fra le riforme e gli investimenti contempla espressamente la "digitalizzazione, innovazione, competitività e cultura". È parte integrante del Next Generation EU, il programma di investimenti che l'Italia sta per presentare alla Commissione Europea.
Entra più nel dettaglio l'Onorevole Vincenza Bruno Bossio, Commissione Trasporti e Telecomunicazioni, Camera dei Deputati: il PNRR dimostra la presa di "consapevolezza da parte del Parlamento di mettere al centro del dibattito la competenza digitale. Italia ed Europa devono per forza affrontare la transizione digitale". L'Onorevole rivendica che qualcosa è stato fatto negli ultimi 10 anni, ma ammette che siamo molto indietro sulle competenze digitali. "Nel parere che abbiamo espresso abbiamo sottolineato che il digitale deve riguardare tutto, in maniera trasversale, perché si va verso un mondo che è sostenibile se digitalizzato. C'è un forte orientamento verso il cloud first, […] è necessario fare in modo che i dati della PA siano messi in sicurezza al fine di tutelare l'autonomia tecnologica del Paese. È necessario avere la possibilità di controllare i dati all'interno di una infrastruttura controllata dalle leggi italiane e con sede in Italia. Quello su cui bisogna investire è ricerca e competenze digitali".

Questa visione implicherebbe una sorta di perimetro. Come quello a cui fa riferimento più espressamente Taverna, quando accenna al Perimetro di Sicurezza Nazionale Cibernetica, che secondo il Direttore Tecnico Capo della Polizia di Stato è un passaggio importante perché indica che il legislatore ha messo grande attenzione sulla sicurezza e ha rafforzato gli investimenti. "La legge nazionale sul Perimetro di Sicurezza Cibernetica ha il ruolo di innalzare le difese ".
Perimetro che tuttavia nel linguaggio della cyber security rappresenta semanticamente un anacronismo. Gastone Nencini non ha mancato di rimarcare che "non abbiamo più un concetto di dato rinchiuso in un perimetro. La tecnologia è globale, non si può rinchiudere dentro a una scatola".

Sullo stesso argomento è stato ancora più incisivo Ezio Ricca, Associate Partner, Security Reply: "non si è dematerializzato solo il confine dell'azienda, ma di tutta la Nazione. Dobbiamo considerare che ci sono aziende che competono sul mercato globale. Le minacce stesse sono globali, a prescindere che siano portate avanti da gruppi privati o finanziati da stati-nazione".

La consapevolezza e la formazione

A prescindere dai punti di vista differenti sugli aspetti tecnici della difesa, tutti i partecipanti alla tavola rotonda hanno convenuto che nessun provvedimento avrebbe effetto se non si considera il fattore umano. La persona che è interposta fra il dato da tenere al sicuro e la rete, dove le minacce risiedono, è di fatto l'anello debole della catena.

Ezio Ricca ha sottolineato che "bisogna spostare tutte le misure di sicurezza sulla periferia, sul singolo punto di gestione del dato, ed è fondamentale lavorare sulle persone, che sono quelle che trattano il dato. La soluzione non può essere una semplice somma di misure tecnologiche". Taverna ha aggiunto che finché la sicurezza informatica è un obbligo, o un costo senza ritorno immediato, rincorreremo sempre il cybercrime invece di anticiparlo. Un piano di educazione digitale deve includere una parte di security awareness. "Basti pensare che il 46% degli indicenti informatici è il risultato di incuria o di mancanza formazione, e nella maggior parte dei casi gli incidenti non vengono segnalati perché non ne viene percepita la gravità. Il danno economico di un data breach raggiunge un milione di dollari per le aziende enterprise e centomila dollari per le PMI: abbastanza per mettere in ginocchio le imprese e le famiglie dei dipendenti che ci lavorano".

Giorgio Mulè, sottosegretario di Stato al Ministero della Difesa Formazione che non dev'essere limitata ai lavoratori dipendenti. Dev'essere inclusa nel programma scolastico, per assicurarsi che i cittadini di domani saranno consapevoli dei rischi informatici. È una questione culturale.  Oggi, nelle realtà più piccole dov'è difficile far passare l'idea dell'importanza della cyber security, spetta ai system integrator disseminare conoscenza, consapevolezza e awarenss. Un system integrator può portare le best practice in tutti i settori e nel mondo istituzionale, spiegare i punti di forza e indicare dove c'è da lavorare.

Su questo tema è intervenuto anche l'Onorevole Angelo Tofalo, sottosegretario alla Difesa: "non ci stiamo muovendo alla giusta velocità perché manca la cultura. La sicurezza dev'essere vista come un investimento, non come un costo. La direzione in cui ci stiamo muovendo è quella giusta, ma non tutti ci mettono il giusto impegno". Tofalo invoca la costituzione di un'agenzia come la statunitense NSA e il coinvolgimento di tutti i Ministeri nella questione della cyber security, perché non è un problema che riguarda solo la Difesa o la Presidenza del Consiglio. È necessario che tutti facciano la propria parte: singoli cittadini, aziende pubblico/private e istituzioni.

Supply chain

Tofalo solleva poi un'altra questione che non è stata trattata dagli altri intervenuti: gli attacchi alle supply chain, citando espressamente il caso Solar Winds. Certo, è un argomento tecnico, ma nella definizione di una politica nazionale per la cyber security non si può trascurare un evento di questa portata. Non volendo scendere nel tecnico, Tofalo si è limitato a sottolineare che la supply chain può diventare un punto di attacco. In realtà l'esempio di Solar Winds è quello più calzante della dissoluzione dei perimetri e della mancanza di confini nazionali nei cyber attacchi.

Non stupisce che la questione sia passata sotto traccia. Lo stesso dibattito sulla cyber security a livello europeo, incentivato da Kaspersky, ha rivelato che i 27 Paesi dell'Unione non riescono a smarcarsi dal concetto di confine geografico e faticano persino a trovare una definizione comune di "infrastruttura critica". Insomma, si tratta di un problema generalizzato legato a una cultura superata, ma ancora troppo diffusa.
Tuttavia è imperativo affrontarlo, perché si lega a un altro concetto che invece è al centro del dibattito europeo: quello del secure by design. Ezio Ricca sottolinea come la realizzazione di prodotti che abbiano la sicurezza al centro fin dalla progettazione consenta di risolvere molti problemi di sicurezza fin da subito.

Gli fa eco Gastone Nencini, che ricorda come una infrastruttura sia composta da un alto numero di elementi hardware e software, ciascuno dei quali può essere affetto da problematiche di sicurezza. Questo comporta che tutto dev'essere gestito da esperti, interni se il capitale umano è disponibile, o tramite servizi gestiti qualora manchino le competenze interne.

Tempi di risposta

Ezio Ricca ha sollevato un'ultima questione di grande rilevanza: i tempi di risposta. Anche qualora si riuscisse a definire il percorso di digitalizzazione, gli elementi innovativi da introdurre, gli strumenti a protezione delle infrastrutture, e la formazione, per ottenere successi tangibili occorrono procedure snelle per la reponse in caso di attacchi. In altre parole, i processi devono essere integrati con la velocità di risposta.

Un obiettivo raggiungibile solo sfruttando l'automazione, che sgrava gli addetti dalla rincorsa a milioni di alert da verificare manualmente, arrivando in ritardo sui pochi che richiedono davvero la massima attenzione. Molti attacchi verificatisi nel 2020 hanno dimostrato come la velocità di intervento possa fare la differenza fra la business continuity e un blocco produttivo di giorni o di settimane.
In questo la normativa può essere d'aiuto, fissando dei paletti ben precisi. L'attuale GDPR ha introdotto un tempo limite per le notifiche di incidenti a 72 ore. Il PNRR prevede misure più stringenti, con notifica addirittura entro l'ora per gli attacchi più gravi. Significa avere processi snelli e veloci, e personale altamente qualificato, che è un altro nodo dolente dell'Italia. Come ha evidenziato l'Onorevole Bruno Bossio, "una debolezza fondamentale dell'Italia sono le competenze. Non riusciremo a fare questo processo [la digitalizzazione, ndr] se mancano ricerca e formazione, saremo sempre subalterni" rispetto ai Paesi tecnologicamente più avanzati.

Un esempio virtuoso

L'esperienza di Vodafone, partner di Trend Micro, dimostra che è pssibile coniugare business, sicurezza e formazione. Al dibattito è intervenuta Sabrina Baggioni, Business Products & Corporate Marketing di Vodafone Italia. Ammette che i clienti non hanno ancora espresso richieste relative alla dissoluzione del perimetro, il che indica quanto la consapevolezza della cyber security sia limitata. Tuttavia l'azienda sta offrendo loro gli strumenti di difesa di cui necessitano, come i firewall gestiti, soluzioni di autenticazione multifattoriale e di protezione dei dati sui prodotti mobili, fra cui servizi di device management per la definizione delle policy aziendali di autorizzazione e protezione dati aziendali, fino ad antivirus e antimalware.
In parallelo Vodafone lavora alla formazione, con servizi di phishing awareness per testare il livello consapevolezza dei dipendenti e poi agire con la formazione. Offre il supporto di esperti e la condivisione di articoli su temi di cybersecurity indirizzati sia alle PMI sia all'enterprise. Il mantra è che "non puoi fare digitalizzazione se non supporti i clienti anche sul tema della security".