Secondo appuntamento per trattare il tema della sicurezza nel web, evento, che al pari di quello precedente incentrato sulla situazione internazionale, le guerre asimmetriche e la quinta dimensione, ha avuto luogo lo scorso 16 maggio presso il Centro Studi Americani in via Michelangelo Caetani a Roma. Stavolta al centro del dibattito sull’universo del cyber c’è stata la sicurezza informatica per amministrazioni pubbliche e imprese, mentre in calendario per giugno c’è l’ultimo incontro durante il quale verrà affrontata la materia relativa alla sicurezza dei dati personali.
THE HUMAN FACTOR
Di questi tempi si è andata profilando una vera e propria urgenza sociale e, al riguardo, il malware «ransomware» ne è divenuto il fenomeno emblematico, qualcosa che infatti è rapido ed elastico oltreché difficile da scoprire e investigare. In Italia ne sono stati registrati innumerevoli casi che hanno portato alla richiesta di un riscatto pagato in criptovalute nel dark web, pena la mancata restituzione dei dati sottratti o presi in ostaggio, ovvero ancora la loro pubblica divulgazione. È facile comprendere quale danno apportano queste pratiche alle imprese o, ad esempio, ai titolari di carte di credito. In questo paese l’80% delle vittime non denuncia e paga il riscatto ai criminali. L’Italia, paese dal tessuto imprenditoriale costituito prevalentemente da piccole e medie entità, non infrequentemente a conduzione familiare o allargata, imprese spesso gestite da titolari che non posseggono la consapevolezza dei rischi e per questo li sottovalutano. In assenza di tale consapevolezza, tali utenti del web andrebbero formati alle fondamentali buone pratiche comportamentali, implementandone, ove ravvisabili, i loro pur esigui patrimoni tecnologici.
ACCRESCIUTA VULNERABILITÀ: I RECENTI ATTACCHI INFORMATICI
Gli ultimi attacchi informatici sono stati compiuti di recente, una sorta di sciame che si è manifestato già prima della data di inizio del massiccio attacco «cinetico» delle truppe di Vladimir Putin all’Ucraina. A venire colpiti, tra gli altri, il Senato della Repubblica e il Ministero della transizione ecologica. Tuttavia, già in precedenza l’Italia aveva subito questo genere di iniziative, come nel caso dell’attacco hacker alla Sanità regionale del Lazio, perpetrato in piena pandemia da coronavirus e che comportò il temporaneo blocco delle prestazioni sanitarie. I cyberattack non rappresentano certamente una novità, né sul piano delle operazioni condotte da Stati e da servizi di intelligence di essi (si pensi all’attacco israeliano alle centrifughe nucleari iraniane) né su quello della criminalità. Tuttavia, oggi la vulnerabilità dei sistemi si è di molto accresciuta.
UNA NUOVA AGENZIA PER LA SICUREZZA CIBERNETICA
L’incremento del livello di rischio è strettamente correlato all’ineludibile processo di digitalizzazione del Paese, al suo ammodernamento che è chiave di sviluppo, un processo che, però, si riflette sulla sicurezza degli apparati pubblici, delle imprese private e dei singoli cittadini, anche e soprattutto alla luce della direzione che i dati hanno preso: verso il cloud, la nuvola condivisa. È oltremodo evidente come la sempre più capillare digitalizzazione di uffici, infrastrutture, servizi e abitazioni private accentui i pericoli in sé insiti. Tuttavia, in Italia quella della sicurezza informatica è una delicata materia che, finalmente, sta ricevendo la dignità che merita, prova ne è, tra l’altro, la recente istituzione dell’Agenzia per la cybersicurezza nazionale (ACN). Una struttura che ha avviato il suo significativo percorso lo scorso settembre praticamente priva di organici, poiché dalle allora due persone in servizio presso di essa oggi ne sono un centinaio e, si auspica, che crescano almeno a trecento.
LA SICUREZZA ASSOLUTA NON ESISTE
Ma, quale potrebbe essere un livello di sicurezza possibile nei confronti degli attacchi informatici? La risposta data dal qualificato panel del convegno di via Caetani coincide con il termine, forse abusato, ma che ha assunto senza dubbio l’immagine di questi turbolenti tempi, cioè «resilienza». Resilienza – si è affermato – intesa quale sufficiente complesso di caratteristiche atte a garantire una accettabile equilibrio tra rischi e benefici che siano adeguati alle opportunità, questo poiché non esiste una sicurezza assoluta. Ne deriva che bisogna investire a monte e non a valle di un attacco, riducendone in questo modo la probabilità di messa in opera e di conseguente successo. Al giorno d’oggi, ormai superata (ma non del tutto messa da parte) la componente «fisica» della sicurezza preventiva, le indefettibili misure del caso vanno assunte sul piano virtuale, nel cyberspazio.
SINERGIE NEL SISTEMA-PAESE
Nel convegno al Centro Studi Americani di Roma si è affrontato il problema della edificazione di fondamenta sempre più solide dell’architettura di sicurezza all’interno del perimetro nazionale ed europeo. Di intervenire nella fase di interfacciamento tra settore privato e settore pubblico in attesa della imminente prossima certificazione standard comunitaria NIS2, fortemente voluta Emmanuel Macron, che ambisce a introdurla entro la fine del periodo di presidenza di turno francese dell’Unione Europea. Per restare al sistema-paese Italia, la conclusione è quella che si renderà il necessario contributo di tutte le sue componenti al fine di fare fronte una minaccia a tal punto complessa.
Di seguito è possibile ascoltare la registrazione audio integrale del convegno “Cybersecurity: Amministrazione pubblica e imprese sicure” (A443)
