TL;DR Ottobre era il mese europeo dedicato alla cybersecurity, con un gran fiorire di conferenze, incontri e iniziative focalizzate a stimolare consapevolezza sui rischi del mondo ICT. I dati però ci dicono che, seppur con un trend tendenzialmente positivo, le azioni concrete di Enti, aziende e Istituzioni non sono ancora adeguate alla gravità delle minacce.
“L’arma che causa i maggiori danni ad Internet è la tastiera.”
Sven Nielsen
I dati parlano chiaro: negli ultimi mesi stiamo assistendo ad un fortissimo aumento degli attacchi informatici.
I blog delle varie gang di ransomware pubblicano a cadenze ormai quasi quotidiane il loro “bollettino di guerra” sulle nuove vittime della doppia estorsione, causando danni per milioni di euro.
Ottobre era il mese europeo dedicato alla cybersecurity e fa quasi sorridere pensare che è stato “dedicato” un solo mese per cercare di catalizzare l’attenzione del pubblico e delle istituzioni su una problematica così seria, che riguarda tutto l’anno, 24h su 24h, senza interruzione di colpi. Un po’ come se si dedicasse un mese al “chiudere a chiave la porta di casa“, con un fiorire di conferenze a spiegare le tecniche e le tecnologie migliori per proteggere il proprio appartamento dai ladri.
Sia chiaro, molte delle conferenze a cui ho partecipato erano interessanti e assolutamente degne, con ospiti e interventi di prim’ordine. Ma, per citare un refrain cinematografico, “le chiacchiere stanno a zero, qui servono fatti”.
Il ventaglio degli attacchi è ormai decisamente ampio e anche nell’ambito della cybersecurity c’è chi ha iniziato, ormai da qualche anno, a specializzarsi sulle molteplici sfaccettature della materia, a conferma della complessità della tematica trattata, che sicuramente non può più (da tempo) ridursi a un firewall perimetrale e un antivirus.
Per fortuna anche l’ultimo rapporto Clusit conferma maggiore attenzione da parte delle Aziende e degli Enti sul tema, con un aumento degli investimenti a tal proposito degno comunque di nota: 1,5 miliardi di € nel 2020, anche se il costo delle conseguenze degli attacchi è stato di almeno 7 volte tanto. Secondo le stime del rapporto, nel caso il trend si confermasse anche per il prossimo futuro, nel 2024 in Italia arriveremo a 20-25 miliardi di € di danni da attacchi cyber.
Come più volte sottolineato, ormai gran parte delle attività sfruttano il mezzo informatico, tra cui è bene citare non solo le comunicazioni con i clienti ma anche le stesse attività di fatturazione e rendicontazione: un blocco dell’operatività delle stesse causa sia ingenti danni alla business continuity che d’immagine. Negli ultimi giorni lo hanno, purtroppo, imparato a loro spese la MECFOND di Napoli e la trevigiana Della Toffola Spa, colpite da ransomware.
I dati disponibili, come il report di ENISA sugli investimenti relativi alla direttiva NIS, offrono uno spaccato interessante sia sugli importi destinati alla cybersecurity che al diverso impegno per settori. Non sorprende, anche in conseguenza di direttive molto più stringenti come la PCI-DSS, che il settore bancario e finanziario (5,6%) sono tra quelli che, insieme al settore farmaceutico (5,5%), investono maggiori risorse in sicurezza. In fondo alla classifica troviamo il settore dei trasporti (1%), educazione (2%) e le vendite al dettaglio (2,3%).
Giusto per chiarire, negli USA l’investimento medio è il 6%. Dato che conferma come il vecchio continente abbia difficoltà a comprendere a pieno i rischi derivanti dagli attacchi cyber. Che però hanno, per le vittime, impatti economici rilevanti: delle 251 aziende intervistate da ENISA, 143 hanno subito attacchi gravi e per 61 di esse, il costo degli incidenti è oscillato tra i 250.000 e i 500.000€ (i settori più colpiti, senza sorpresa, sono quello bancario e quello farmaceutico).
Vale la pena citare che è il personale IT la maggiore voce di costo del budget dedicato alla cybersecurity (37%) a conferma di come il fattore umano sia ancora un elemento indispensabile per la sicurezza dei propri asset aziendali.
Nella PA italiana, purtroppo, non va molto meglio: anche se l’ultimo report a cura di AgID conferma un trend in miglioramento, rimangono ancora troppe criticità nelle infrastrutture ICT delle PA. Confermato, peraltro, anche da una recentissima analisi effettuata dall’azienda Swascan “Pubblica Amministrazione e Capoluoghi Italiani a rischio ransomware”, che dipinge un quadro non proprio roseo dello stato delle infrastrutture ICT della PA italiana.
La necessità di proteggere i propri dati e sistemi informatici spesso si percepisce dopo che si è stati vittima di un incidente informatico. Un po’ come chi –passatemi l’analogia– scopre l’utilità di una porta blindata e di un buon antifurto dopo aver avuto la propria casa svaligiata. Se però la percezione comune di dover installare serrande e contromisure fisiche adeguate per la propria abitazione è ormai assodata, molto meno lo è la consapevolezza della necessità di proteggere i propri dati e sistemi informatici.
La società civile non ha ancora metabolizzato a pieno i rischi derivanti dagli strumenti ICT, complice spesso una scadente qualità dell’informazione mainstream. C’è poi tutta quella strategia del vittimismo, strumentale a non far emergere le responsabilità di chi dovrebbe, secondo le normative, mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (art. 32 regolamento UE 2016/679), preferendo puntare il dito verso i cybercriminali dimenticando che, quando si lasciano le porte aperte, capita anche di trovarsi qualche sconosciuto in casa…
Responsabilità di cui non sempre c’è adeguata consapevolezza e cultura ma con conseguenze, oggigiorno, molto costose anche in termini economici: non è raro trovare persone che, davanti a una compromissione ai propri sistemi ICT connessi in Rete, dichiarano sorprese e sconvolte che “non capisco come sia successo: la porta del mio ufficio è sempre chiusa a chiave!” per poi magari dichiarare, candidamente, che “io di questi aggeggi non ci capisco niente!“.
Per questo credo che un grosso sforzo vada fatto verso la promozione di consapevolezza dei rischi cyber nei cittadini. Un impegno di cui devono farsi carico le istituzioni e sicuramente le numerose conferenze vanno nella direzione giusta, anche se intrapresa forse con qualche anno di (colpevole) ritardo. Il settore ICT, e quello della cybersecurity più che mai, corrono molto veloce, richiedendo agli esperti una dedizione pressoché quotidiana per restare al passo con lo stato dell’arte. È sorprendente pensare a quante migliaia di euro spendono le aziende e gli Enti per servizi di sorveglianza privata sul loro perimetro fisico, esposto solo per quelle centinaia di metri degli edifici, mentre per esposizioni di gran lunga superiori, rivolte all’intero pianeta, non si ha la medesima attenzione e spesso si cerca di contrarre i costi e ridurre i già scarsi investimenti.
Nell’Era dei Dati, patrimonio immateriale di valore inestimabile e ormai fondamenta delle nostre Democrazie, la sicurezza delle infrastrutture e dei sistemi ICT riveste importanza strategica e fondamentale: se ne parla molto, anche all’interno delle Istituzioni, forse anche troppo. Adesso è arrivato il momento delle azioni concrete.