L’epoca attuale ci rende protagonisti - spesso incoscienti e inconsapevoli - di un cambiamento epocale segnato dalla nascita e dallo sviluppo della cybernetica, una nuova dimensione nella quale si svolgono le principali attività per la vita e lo sviluppo della società.
Ogni momento storico ha bisogno della propria consapevolezza, necessaria per poter essere in grado di vivere e non subire il proprio tempo ed è per questa ragione che già in passato abbiamo provato ad approfondire il tema - ad un primo approccio esotico per un portale come Exportiamo.it - sempre più decisivo nella definizione della competitività complessiva per il Sistema Paese nel complesso.
In un mondo sempre più “smart” crescono infatti anche i rischi, le vulnerabilità e le complessità da considerare, proprio perché la rete pervade la nostra quotidianità, le nostre relazioni e sempre di più - con la rivoluzione in atto dell’internet delle cose - anche gli strumenti del quotidiano, dalla lavatrice al televisore fino ad arrivare alle grandi infrastrutture critiche come le reti elettriche e idriche.
Inutile sottolineare - viste le premesse - come mettere a punto un sistema in grado di definire e guidare la struttura di difesa e contrasto alle minacce sempre maggiori e connesse alle evoluzioni tecnologiche, ricada sulle istituzioni ad ogni livello.
Già dal 2011 a livello comunitario, il mese di ottobre identifica il “Mese europeo per la cyber-security” (ECSM), ovvero la realizzazione di una serie di iniziative per promuovere una campagna di difesa europea a favore della sicurezza informatica e tesa innanzitutto, a favorire il cambiamento nella percezione delle minacce informatiche, attraverso la promozione di dati e informazioni di sicurezza, la formazione e la condivisione di best practices. Anche in questo 2015 l’impegno è stato mantenuto da parte dei promotori istituzionali - l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e la DG CONNECT della Commissione Europea – e dai diversi partner pubblici e privati, mentre di anno in anno crescono le iniziative e i paesi coinvolti.
Quest’anno i circa 250 eventi realizzati in oltre 32 paesi hanno orbitato intorno al tema “Stop, think, connect”, in sostanza un’esortazione per tutta la cittadinanza europea per provare a condividere buone abitudini online e ad aprire gli occhi sulle nuove minacce, coinvolgendo tutti gli attori chiamati in causa - tutti ugualmente vulnerabili - a partire dall’utente finale fino a giungere ad aziende, professionisti del settore ed istituzioni. I temi delle iniziative di sensibilizzazione previste sono stati molteplici, dagli incontri ristretti sull’impatto della cyber guerra sulla sicurezza nazionale a seminari aperti a tutti sull’uso pratico della valutazione del rischio nella sicurezza IT.
Sulla rete oggi, circolano oltre 150.000 virus e ogni giorno, migliaia di persone, subiscono attacchi informatici ed il fatto ancora più grave è l’emergere di un deficit di consapevolezza da parte della cittadinanza europea dal momento che solo il 47% si ritiene sufficientemente informato sui rischi della rete. Dati di sicuro preoccupanti per le istituzioni comunitarie, e proprio per questo motivo l’esortazione è quella di fermarsi, pensare e riflettere prima di connettersi.
Le ragioni e gli obiettivi del mese dedicato al tema della sicurezza informatica sono stati sintetizzati molto chiaramente dallo stesso Vice presidente della Commissione europea e Commissario per il mercato unico digitale, l’ex primo ministro estone Andrus Ansip:
“Fiducia e sicurezza sono componenti essenziali del Mercato unico digitale. Non possiamo tirare fuori il meglio dalle opportunità offerte da strumenti e network digitali se non ci fidiamo di essi. Per questo è vitale che le persone, quando sono online, possano fare scelte con il più alto numero di informazioni disponibili”.
L’Unione Europea ha avviato un’opera di rafforzamento sia in termini legislativi che di strutture, come dimostra la stessa inaugurazione lo scorso 30 settembre della nuova sede del CERT-EU, il team europeo impegnato già da quattro anni a collaborare con istituzioni e agenzie per contrastare le minacce sempre più sofisticate con le quali bisogna confrontarsi.
Nel 2013 è stato grazie alla direttiva europea sugli attacchi informatici che sono diventati punibili penalmente gli accessi irregolari e le interferenze su dati e sistemi e questo ha certamente aiutato gli stati membri a rafforzarsi in previsione di eventuali attacchi su larga scala ad organizzazioni governative o economiche, oltre a favorire la cooperazione tra di loro, il solco è tracciato come conferma sempre Ansip:
“Stiamo procedendo bene anche con la revisione delle regole Ue sulla protezione dei dati e con la direttiva sull’ePrivacy, che daranno certezza legale e rafforzeranno la fiducia nel mercato digitale, ma l’obiettivo è portare a termine le trattative sulla direttiva per la sicurezza dei network e delle informazioni”.
Obiettivo fondamentale da raggiungere perché una volta operativa, questa direttiva porterà le compagnie che operano in settori sensibili, come quello finanziario, energetico e dei trasporti, ad aumentare le pratiche di risk management, segnalando alle autorità nazionali i rischi che possono interessare il mercato unico, favorendo così una sempre maggiore cooperazione all’interno dell’Ue nella lotta al cyber crimine.
In Italia invece lo scorso 16 novembre è stato presentato presso il Senato della Repubblica lo studio “Il futuro della cyber security in Italia. Un libro bianco per raccontare le principali sfide che il nostro Paese dovrà affrontare nei prossimi cinque anni per rimanere nel gruppo dei paesi avanzati”, volume realizzato all’interno delle attività del Laboratorio nazionale di cyber security che ha visto il coinvolgimento di un gruppo multidisciplinare di cinquanta ricercatori italiani provenienti da una ventina tra le più prestigiose Università del nostro Paese aderenti al Consorzio Interuniversitario per l’Informatica (CINI).
Titolo e sottotitolo sembrano definire in maniera molto chiara la portata della sfida che attende tutti noi perché la costante riduzione dei costi di accesso e lo sviluppo della banda larga accresceranno ulteriormente l’importanza strategica del cyberspace per la crescita economica e sociale, senza dimenticare che gran parte delle reti e dei sistemi che lo compongono, sono stati progettati e realizzati senza dare la giusta considerazione agli aspetti di sicurezza.
Più che un’esortazione, quella di mettere in atto vere e proprie strategie difensive senza le quali secondo i dati del Report Global Risks 2014 del World Economic Forum, nel 2020 le perdite economiche causate da attacchi cyber potrebbero arrivare fino a 3.000 miliardi di dollari, diviene quindi un obbligo per tutti, così come la consapevolezza della minaccia, ma soprattutto un miglioramento dei propri livelli di protezione. E’ stato lo stesso Presidente Obama a rilevare già nel 2009, come l’interdipendenza tra i sistemi informatici delle economie mondiali, rendono il cyber crime un fenomeno del quale è impossibile prevedere le conseguenze nel medio-lungo periodo.
Nel concludere l’introduzione al citato libro bianco, i redattori sono ancora più cristallini e saggiamente catastrofici, laddove si afferma:
“L’assenza di una politica digitale in un Paese può produrre danni gravissimi nel breve e nel medio periodo, esponendolo al rischio di perdere rilevanti opportunità di crescita, quali posti di lavoro qualificati in tutti i settori industriali e nei servizi, ricerca universitaria e privata, produzione di know how, imprese innovative e startup. La sicurezza informatica non va dunque considerata un costo superfluo, o peggio un freno all’attività, ma, al contrario, una precondizione indispensabile per il suo esercizio, che per le imprese si traduce in un vantaggio in termini di competitività. Il diffondersi di una cultura della sicurezza informatica è un fattore decisivo per il Paese, in chiave non solo difensiva ma soprattutto di crescita economica.”
Le conseguenze di un’errata o mancata implementazione di un piano di sicurezza cibernetica a livello nazionale vengono in sostanza descritte come catastrofiche ma nella raccomandazioni del capitolo finale si vanno invece ad indicare come e dove agire.
Il punto di partenza è la creazione di una struttura in grado di essere per l’intero paese, quello che l’Agenzia per l’Italia Digitale (AgID) rappresenta per la pubblica amministrazione, capace però di fornire input strategici e non di trasformarsi in un livello burocratico ulteriore che si sostanzia nella verifica di adempimenti procedurali da una prospettiva legalistico-giuridica e si fa presente come strutture simili siano presenti anche in altri Paesi industrializzati (Regno Unito, Germania, Francia, Israele, Estonia, ecc.) capaci di rendere la digitalizzazione un rilevante fattore di crescita economica.
E’ più che auspicabile come si ripete da sempre tra gli addetti ai lavori che si riesca ad andare oltre uno scenario di competenze e responsabilità distribuito e frastagliato, puntando a una centralizzazione delle competenze e delle responabilità, per delineare obiettivi strategici che rendano il nostro un Paese “sicuro” ovvero con il rischio minimo di furto di informazioni digitali e massima sicurezza nelle transazioni online.
La sfida della Cyber Security rappresenta in tutto e per tutto un obiettivo strategico e per questo è necessario garantire investimenti e finanziamenti al settore anche perché - nell’incontro/scontro con i partner/competitor - riuscire a mantenere il maggior grado di indipendenza possibile nella prevenzione e nella gestione dei rischi.
In questo momento storico abbastanza effervescente ai suoi confini reali, ad esempio dal 1° gennaio 2016 nella Federazione Russa entrerà in vigore una nuova normativa con l’intento dichiarato – attraverso il divieto di acquisto per la PA di software stranieri se presenti tra le produzioni nazionali - di agevolare la produzione domestica di software rispetto alla concorrenza estera stimolando, al contempo, lo sviluppo dell’industria informatica interna e l’afflusso di tecnologie e risorse nel Paese.
Sul versante statale risulta invece fondamentale un piano di sviluppo organico delle infrastrutture informatiche della PA. Vi è poi la proposta della creazione di un “Cyber Security Center” che dovrebbe rappresentare un’evoluzione costruttiva e strategica delle coessenziali relazioni tra pubblico, privato e accademico e quella di favorire l’affermarsi di una cultura della sicurezza informatica a tutti i livelli.
Subito dopo la presentazione del libro bianco, è stato il Centro di Ricerca di Cyber Intelligence e Information Security (CIS) dell’Università “La Sapienza” a iniziare a dare concretezza all’ultima raccomandazione che prevede l’introduzione di un “Framework Nazionale di Cyber Security” e la contestuale apertura di una consultazione pubblica fino al prossimo 10 gennaio, i cui risultati saranno parte integrante del “Cyber Security Report 2015” che verrà presentato il prossimo 4 febbraio.
Il documento in sostanza offre una guida per incrementare il livello di cyber security per la Piccola Media Impresa italiana e raccomandazioni per il top management di grandi aziende e infrastrutture critiche su come organizzare processi di cyber security risk management. Non si tratta di uno standard di sicurezza, ma di un quadro di riferimento nel quale possono essere inquadrati gli standard e le norme di settore esistenti e future.
Naturalmente il documento sarà in continua evoluzione e verrà integrato a intervalli regolari da feeback e best practices e come si legge nel testo:
“L’adozione di questo framework da parte delle organizzazioni residenti nel nostro Paese può portare ad un irrobbustimento dell’intero sistema paese rispeto ad attacchi di tipo cibernetico.”
In conclusione oggi paradossalmente per tutti noi, da più fronti, è in atto una vera e propria “chiamata alle armi” in materia di sicurezza informatica, ma in questo caso per evitare una guerra.
Il punto di partenza per tutti gli attori protagonisti e non, ma anche per le comparse e dunque a partire dall’utente finale, fino a chi prende le decisioni, rimane la necessaria consapevolezza di come oggi sia sempre più determinante per lo stesso benessere di un Paese, per i suoi cittadini e per attrarre potenziali investitori, poter e saper garantire uno spazio cibernetico “sicuro”. Il punto di arrivo invece non deve essere la guerra che sarà certa - rimanendo nel paradosso - se non si corre in fretta alle armi e non si decide come nella migliore tradizione italica “chi fa cosa” in maniera chiara e univoca.
Fonte: a cura di Exportiamo, di Antonio Passarelli, redazione@exportiamo.it
© RIPRODUZIONE RISERVATA