Investimenti, cultura, condivisione: sono questi i tre elementi che esperti e addetti ai lavori considerano indispensabili per rendere il Sistema-Italia resiliente di fronte alle minacce cibernetiche. Nonostante il tempestivo aggiornamento del piano e dell’architettura nazionale di sicurezza cibernetica realizzato lo scorso anno, sono ancora molti i problemi rimasti aperti. In primo luogo, le risorse investite risultano ancora largamente insufficienti, soprattutto se paragonate a quelle impiegate da alleati e competitor. Ciò pregiudica notevolmente la possibilità di mettere in campo tecnologie adeguate a contrastare efficacemente una minaccia ibrida, pervasiva e trasversale, che il World Economic Forum colloca tra i primi cinque fattori di rischio a livello globale. Gli attacchi cibernetici impattano sia sul versante civile che su quello militare e non ne è quasi mai chiara la provenienza.
In una situazione di questo genere è fondamentale trovare strumenti e procedure idonei per dotarsi – senza contravvenire alle regole della concorrenza e del libero mercato – di prodotti tecnologicamente avanzati in grado di salvaguardare la sicurezza nazionale.
Per procedere concretamente in questa direzione occorre, da una parte, che la ricerca e le aziende si orientino decisamente verso il principio della cosiddetta security by design, prevedendo sin dalla progettazione dei dispositivi gli accorgimenti necessari per garantire i più elevati standard di sicurezza; d’altro canto si deve pensare, come sta facendo in questo momento l’Italia, all’istituzione di un Centro di Valutazione e Certificazione Nazionale (CVCN) che passerà al vaglio hardware e software, destinati ad essere usati nell’ambito di infrastrutture critiche o da operatori per i quali sussista comunque un interesse nazionale.
La strategia italiana prevede anche l’istituzione di un Centro di ricerca nazionale in cyber security al quale si lega la creazione di un non meno importante polo che si occupi, invece, di strumenti e codici crittografici al servizio dei livelli istituzionali. Cruciale è anche il ruolo svolto da forze di polizia e di intelligence, investite della responsabilità di strutturare partnership sempre più efficaci con il settore privato (PPP), orientate alla condivisione dell’informazione e allo scambio delle migliori pratiche. Investimenti, ricerca, innovazioni istituzionale e strategie operative possono dare frutti soddisfacenti solo se prendono corpo in un contesto culturale adeguato, che investa ogni ramo della società, aziende in primis.
A questo riguardo si deve rilevare che in Italia banche e finanza hanno saputo reagire prima e meglio di altri settori alle crescenti ondate dei cyber attacchi, mentre a forti difficoltà sono andate incontro le Piccole e Medie Imprese, meno dotate dal punto di vista economico e culturale ma al tempo stesso in molti casi detentrici di know how di assoluto rilievo. A ciò deve aggiungersi che proprio le PMI spesso rappresentano il punto d’entrata per chi vuole arrivare a colpire – passando dall’anello debole della supply chain – una realtà di grandi dimensioni.
Questi attacchi, si è più volte sottolineato, sono in costante aumento nel numero, rivelandosi sempre più sofisticati, anche grazie all’uso di intelligenza artificiale (utilizzata per altro anche in fase difensiva). Ad oggi si può comunque dire che in molti casi, come ad esempio quello del phishing evoluto, la capacità di risposta è ancora legata alla disponibilità di risorse umane di qualità. Resta fondamentale, pertanto, investire nella formazione del personale e delle giovani generazioni, uscendo dall’equivoco che i ‘nativi digitali’ siano per forza anche naturalmente consapevoli dei rischi che le nuove tecnologie pongono e in grado di fronteggiarli.
Sullo sfondo ci sono, per i Paesi della UE, alcune importanti novità regolatorie, destinate ad entrare in vigore tra poche settimane: le Direttive NIS e PSD2 – la prima reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, mentre la seconda riguarda i servizi di pagamento – e il GDPR (nuovo Regolamento Ue sulla Privacy).