Anche nella sicurezza IT, parafrasando Seneca si potrebbe dire che “non c’è virus cui non si possa trovar difesa”. E considerando l’incremento degli attacchi ai dati aziendali le PMI devono prevedere opportuni sistemi e contromisure di difesa passiva o preventiva. Se ne è parlato al convegno sulla Cyber Security organizzato da Cestudis (Centro Studi Difesa e Sicurezza) in collaborazione con Finmeccanica, CERT Nazionale e DIS, esaminando realtà e vulnerabilità delle imprese italiane per formulare proposte di soluzione. A sostegno dell’iniziativa anche tante aziende come RSA, Microsoft, Cy4gate, Esco Veneto e Cleafy, ognuna con un proprio asset e capacità in supporto alle PMI con prodotti e/o servizi mirati.
=> Sicurezza informatica: rischi, sfide e opportunità
Anno dopo anno, le attività e gli appuntamenti del Centro Studi hanno contribuito a far conoscere in ambito politico ed istituzionale l’entità della minaccia cibernetica e a definire regole e procedure di contrasto (DPCM cyber 2013). Vediamo una sintesi delle evidenze emerse in questa edizione 2016.
Interventi istituzionali
Paolo Ciocca (Vicedirettore DIS) ha sottolineato la necessità di interventi per le PMI, evidenziando tre azioni prioritarie: sensibilizzazione e divulgazione per aumentare la awareness; più sicurezza nella filiera produttiva dei fornitori con requisiti minimi e cyber corral o standard tecnologici; un cloud pubblico con standard di sicurezza anche legale.
Tutto questo è necessario perché, come ha ben ricordato Umberto Gori (professore e politologo), nonostante gli attacchi colpiscano 50mila imprese ogni anno (un trend esponenziale), si pensa ancora che la minaccia non ci riguardi: ad esempio, mancano adeguate tavole attuariali che possano valutare il rischio cyber, con la conseguente inadeguatezza del sistema assicurativo rispetto al rischio. La mancata protezione degli asset aziendali ha un costo vivo che, a catena, coinvolge più imprese. Servono dunque investimenti statali per implementare ulteriori misure difensive.
=> Industria 4.0 e cyber security aziendale
Andrea Ardizzone (Assintel) ha poi rimarcato la cronica mancanza di cultura digitale e di sicurezza informatica, che nella PMI è ancor più accentuata. Serve quindi più integrazione con le camere di commercio per supportare le aziende e competenze specialistiche secondo la normativa delle “professioni non organizzate” basandosi sui profili eCF.
Corrado Giustozzi (Agid) ha esteso il dibattito alle PMI europee facendo notare come il livello di consapevolezza sui temi della sicurezza informatica sia comunque molto basso: basti pensare ai recenti attacchi ransomware (“ricatto digitale” e “cyberpizzo”), che ha colpito duramente molti imprenditori, ignari anche dei metodi di pagamento in bitcoin o di recupero dati da back up. Gravi sono anche le lacune in termini di normative e relazioni internazionali con quei paesi dove spesso si arenano le ricerche per l’attribuzione degli attacchi. Utili sarebbero azioni di sensibilizzazione con associazioni di categoria nazionali e una maggiore cooperazione internazionale, rendendo obbligatoria l’adozione di linee guida specifiche che altrimenti non diventeranno pervasive.
Rita Forsi (direttore ISCOM e responsabile del CERT Nazionale) ha fornito numeri e dati sul lavoro del CERT a supporto delle PMI, con bollettini informativi e azioni di awareness tramite news oline sul proprio sito.
Infine l’Amm. Osvaldo Brogi ha presentato una proposta di organizzazione del lavoro in team, creando un meccanismo per cui tutti si sentano parte di una impresa “facendo squadra”, con la verifica continua degli obiettivi raggiunti e degli scostamenti.
Infine il Prof, Baldoni Direttore del centro Cyber Intelligence e Information Security dell’Università di Roma “La Sapienza” e del Laboratorio Nazionale di Cybersecurity del CINI, ha presentato il Framework Nazionale per la Cybersecurity pensato e realizzato per aiutare le aziende nella valutazione del rischio IT.
=> Framework Nazionale per la Cybersecurity
Il convegno è stato chiuso dalle riflessioni dell’On. Gasparri e del Sen. Latorre, focalizzati sull’esigenza di condividere e acquisire maggiori informazioni sulle misure di intelligence, quasi a ricordare la massima di Nicolò Tommaseo per cui “Libertà è conoscere i limiti propri e altrui; questi e quelli difendere”.
In generale, il problema che hanno oggi i fornitori di soluzioni di sicurezza è quella di stabilire un legame di fiducia con l’azienda (potenziale cliente), che spesso non è consapevole del valore dei propri dati ed è restia ad affidarsi al “primo venuto” anche se noto sul mercato, competente o economico; e non è detto che le tre caratteristiche siano sempre presenti in contemporanea. Proprio la fiducia riveste invece una particolare rilevanza, ma ancora mancano strategia di consolidamento in questo senso, finora non trattate come invece meriterebbero.