Cybersecurity: la nuova sfida per imprese e consumatori

Articolo blog
Davide MONTANARO

Le tecnologie avanzano imperterrite e non c’è scampo da quella che è, a tutti gli effetti, uno tzunami che travolgerà ogni settore del tessuto sociale internazionale. Un’onda “anomala” non tanto per gli effetti benefici che porta con sé, quanto per le difficoltà che ci pone davanti. La prima, in assoluto, è proprio la sicurezza, dei nostri dati, delle infrastrutture e dell’economia che sulle tecnologie punta per prosperare.

Il rapporto Clusit 2017, sulla sicurezza ICT in Italia, fotografa una situazione di crescita degli attacchi informatici (+3,75% nel 2016, rispetto all’anno precedente) e di una loro mutazione, riguardo i settori bersaglio e le modalità con le quali questi vengono realizzati.

Elaborazione I-Com su dati Clusit, 2017
Elaborazione I-Com su dati Clusit, 2017

Sui 1050 casi gravi e di pubblico dominio, nel 2016, analizzati dal rapporto, 751 sono catalogabili come cibercrimini – i reati informatici compiuti con l’obiettivo di estorcere denaro, di sottrarre informazioni importanti richiedendone un riscatto per renderli nuovamente disponibili o con l’intento di frodare le vittime di phishing – cresciuti del 342% rispetto al 2011, seguiti dal ciberspionaggio, volto a sottrarre informazioni strategiche di tipo industriale e commerciale, con una variazione positiva del 283% nel periodo di riferimento; cresce del 257%, se pur ultimo in termini assoluti, la cyberwarfare – cioè tutte quelle azioni di tipo informatico in linea con le strategie militari, come l’intercettazione, la sottrazione di informazioni utili, la neutralizzazione di sistemi di comunicazione e infrastrutture critiche nemiche e il lancio di messaggi politici con chiari scopi di guerra psicologica. Anche gli hackeraggi – ad esempio, sottrazione di dati sensibili al fine di renderli pubblici, blocco dell’accesso a siti internet – salgono del 41% rispetto al quinquennio restando, tuttavia, secondi in termini di numero assoluto.

Elaborazione I-Com su dati Clusit, 2017
Elaborazione I-Com su dati Clusit, 2017

Verticalizzando gli attacchi per settori colpiti, quello istituzionale (governativo, militare, servizi sanitari essenziali ed intelligence), se pur con una leggerissima flessione nel 2016 (-1,35%), resta primo assoluto con 220 attacchi di pubblico dominio rilevati, pari ad un quinto del totale, seguito da quello dei servizi online e del clouding con 179 casi nell’ultimo anno. Interessante è il dato relativo al settore sanitario: con un incremento del 102% nel 2016, rispetto all’anno precedente, si attesta come il settore con il maggior aumento di attacchi rispetto all’anno precedente.

Elaborazione I-Com su dati Clusit, 2017
Elaborazione I-Com su dati Clusit, 2017

Le Istituzioni, a fronte di un evidente interesse generale e per tutelare le proprie attività e i relativi dati hanno aperto una nuova stagione legislativa, sia a livello nazionale che dell’Unione europea. I governi nazionali, tra cui quello italiano, e la Commissione hanno costruito delle risposte normative volte a sviluppare una struttura di cybersecurity efficiente ed efficace che saranno, oltretutto, oggetto di analisi approfondita nel Rapporto Consumatori 2017 dell’Istituto per la Competitività, in uscita nella seconda settimana di dicembre.

Il nostro Paese, all’inizio di quest’anno, ha presentato il nuovo Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica, con l’obiettivo di sviluppare il Quadro Strategico Nazionale (QSN) composto da 6 indirizzi strategici:

  1. Potenziamento delle capacità di difesa delle infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese;
  2. Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati;
  3. Incentivazione della cooperazione tra istituzioni ed imprese nazionali;
  4. Promozione e diffusione della cultura della sicurezza cibernetica;
  5. Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica;
  6. Rafforzamento delle capacità di contrasto alle attività e contenuti illegali online.

Il Piano Nazionale non è un mero elenco di buoni propositi, ma la strategia per rendere concreto l’innalzamento del livello di sicurezza informatica del Paese, traducendo quei 6 indirizzi strategici in 11 indirizzi operativi, interessando ogni singolo aspetto della cybersecurity nazionale:

  1. Potenziamento capacità di intelligence, di polizia e di difesa civile e militare;
  2. Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati;
  3. Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento;
  4. Cooperazione internazionale ed esercitazioni;
  5. 5. Operatività delle strutture nazionale di incident prevention, response e remediation;
  6. 6. Interventi legislativi e compliance con obblighi internazionali;
  7. 7. Compliance a standard e protocolli di sicurezza;
  8. 8. Supporto allo sviluppo industriale e tecnologico;
  9. 9. Comunicazione strategica e operativa;
  10. 10. Risorse;
  11. 11. Implementazione di un sistema di cyber risk management nazionale;

In soldoni, il PN punta ad una riorganizzazione della struttura italiana di difesa cibernetica, semplificandone la governance, ad un miglior coordinamento dei CERT (Computer Emergency Response Team) – attualmente presenti in diversi ministeri con un loro progressivo accorpamento in due macro organismi, quello Nazionale e quello della Pubblica Amministrazione.

Viene resa obbligatoria, in attuazione della Direttiva NIS dell’Unione europea, la comunicazione di eventi cibernetici significativi da parte dei servizi di comunicazione elettronica, delle reti pubbliche di comunicazione, degli operatori dei servizi essenziali e delle infrastrutture critiche. Se pur resta da sciogliere il nodo della divergenza normativa tra il nuovo Regolamento Generale per la Tutela dei Dati Personali (GDPR) e la già citata Direttiva NIS, in quanto quest’ultima prevede l’obbligo, nei confronti dei settori strategici ed essenziali, di comunicare ogni evento d’impatto sulla fornitura dei servizi stessi esclusivamente alle autorità competenti, per evidenti motivi di sicurezza nazionale; diversamente, il nuovo Regolamento sulla Privacy (a pieno regime da maggio 2018) impone la notifica di violazioni dei dati anche ai “data subjects”, ovvero i soggetti a cui quelle informazioni violate facciano riferimento.

Tornando alla struttura di difesa cyber nazionale, un ruolo centrale sarà ricoperto anche dall’AgID, l’Agenzia per l’Italia Digitale, chiamata a dettare indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e dei relativi standard, assicurandone una qualità tecnica elevata ed un costante controllo dei sistemi informatici pubblici e della loro rete di interconnessione, attenzionando i piani ICT delle diverse amministrazioni pubbliche.

Elaborazione I-Com su dati Governo, 2017
Elaborazione I-Com su dati Governo, 2017

Interessante risulta anche la rilevanza assegnata al settore R&S e alla formazione: il Piano punta alla costituzione di una rete che metta a sistema il mondo accademico e della ricerca, anche attraverso un soggetto giuridico dedicato (es. una fondazione), offrendo impulsi positivi e sostegno a questo ambito da cui non si potrà prescindere per migliorare le capacità di ciberdifesa del Paese, in particolare, attraverso iniziative di finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali d’interesse, attraverso le venture capital; la costituzione di un “Centro nazionale di Ricerca e Sviluppo in Cybersecurity”, con un’attività rivolta, principalmente, nei settori della malware analysis e della security governance; e di un “Centro nazionale di crittografia” da impiegare nella progettazione di cifrari, algoritmi e di una blockchain nazionale.

Ancora più recente è stato l’intervento della Commissione europea che, durante il discorso del Presidente Juncker sullo Stato dell’Unione, lo scorso 13 settembre, ha presentato una roadmap europea sulla cybersecurity, ponendola ai primi posti della propria agenda, affianco ai principali nodi economici e allo stringente problema dell’immigrazione.

Quattro pilastri europei sulla cybersecurity: collaborazione tra gli Stati membri, costante ricerca, tempestivo controllo e risposte adeguate. Per ognuno di questi obiettivi, la Commissione offre delle risposte attraverso la proposta di Regolamento presentata proprio durante lo Stato dell’Unione.

Protagonista della nuova azione dell’UE sulla cybersecurity è la nuova Agenzia europea per la Cybersecurity, evoluzione dell’attuale ENISA (l’Agenzia dell’UE per la Sicurezza delle Reti e dell’Informazione) il cui mandato scadrà nel 2020 e che sarà rinnovato attribuendole maggiori poteri, adeguate risorse, per un termine permanente. Il suo principale compito sarà di coordinare gli Stati riguardo le operazioni di difesa cibernetica, di migliorarne le capacità e la formazione al fine di una struttura di cyber defense solida e senza punti deboli nella maglia di cotta della cybersecurity europea. L’attività dell’Agenzia sarà rivolta anche al mercato, attraverso la preparazione dei sistemi europei di certificazione.

Proprio riguardo la certificazione sulla cybersecurity, la Commissione punta a sgomberare il campo dai differenti standard di sicurezza, attualmente presenti tra gli Stati membri, che hanno partorito singole certificazioni nazionali con problemi relativi al riconoscimento di queste all’interno del Mercato Unico. Un unico sistema di certificazione cyber comporterà un duplice vantaggio: da una parte costi più bassi e unici per i produttori che si ritroverebbero a richiedere la verifica dei propri prodotti una sola volta (es. il certificato degli smart meter, i contatori intelligenti, in Germania ha un costo di 1 milione di euro, diversamente da Regno Unito e Francia dove lo stesso si aggira intorno ai 150mila euro).

Riguardo la deterrenza delle azioni criminose, la Commissione intende procedere con un adeguamento della politica criminale degli Stati UE più stringente riguardo i ciberattacchi (es. le frodi), con l’allargamento della cornice edittale dai 2 ai 5 anni, a seconda delle tipologie e gravità dei reati commessi, e con dure sanzioni per le persone giuridiche coinvolte in attività di cibercriminalità. Il diritto penale sarà il binario parallelo a quello dell’attività diretta delle Istituzioni europee e nazionali al contrasto alla criminalità cibernetica.

A conclusione, per maggiori dettagli riguardo i dati circa le incidenze degli attacchi informatici nell’economia e nello sviluppo economico e sociale del nostro Paese e di come il problema sia più diffuso che mai, potete consultare il nuovo rapporto 2017 dell’Osservatorio Consumatori di I-Com, Istituto per la Competitività.