mercoledì 15 novembre 2017

La nuova Cybersecurity nazionale alla prova dei fatti – 360 Summit

Sintesi dei lavori del convegno tenutosi da esperti del settore il 14 Novembre a Roma

Le misure europee in materia di privacy e cybersecurity impongono ancora una volta un adeguamento normativo anche al nostro Paese, da compiere entro maggio 2018. Ciò rende necessario un aggiornamento dei dati di settore, che il Clusit, associazione operativa nel campo della sicurezza informatica, riassume come preoccupanti rispetto al numero di attacchi hacker verificatisi negli ultimi anni a livello globale, circa 6.093 attacchi analizzati dal 2011 al 2017. In media negli ultimi sei mesi sono stati classificati come gravi 95,2 incidenti al mese, ogni mese (83 al mese negli ultimi 5-6 anni). Rispetto al secondo semestre 2016, nel primo semestre 2017 in percentuale diminuiscono le vittime di area americana (dal 55% al 47%), ed asiatica (dal 16% al 10%). Crescono, invece, gli attacchi verso l’Europa (dal 16% al 19%), e sono in crescendo i dati relativi ai tentativi di spionaggio e sabotaggio dei dati sia nel settore privato che in quello pubblico.
Nel 2017 si sono spesi 720 mila euro da parte di grandi imprese e PMI per attuare misure di sicurezza informatica, di fronte però ai 65 milioni di euro per la spesa informatica generica, quindi il minimo in proporzione, non garantendo così standard adeguati di sicurezza rispetto alle attuali minacce presenti in rete.
La maggior parte delle imprese intervistate sostiene che circa la metà dei rischi di attacco ai dati aziendali potrebbe derivare dagli stessi lavoratori interni, per svariate ragioni, incompetenza, inconsapevolezza delle policy aziendali, distrazione. Tutto ciò rende necessari interventi concreti per ridurre le minacce, adottando misure di safety, considerando ad esempio l’opportunità di una cybersecurity as service, ossia destinando tale “servizio aziendale” a specialisti del settore, affidando in outsorcing tali commesse.
Molte volte, manca proprio la consapevolezza dell’esistenza del proble, in quanto circa il 95% delle industrie meccaniche intervistate ritiene che i propri dati siano al sicuro, ma la cosa grave è che gli attacchi cibernetici più pericolosi sono quelli di cui non si ha traccia, gli hacker entrano nel data center aziendale “catturando” la rete di vendita e di produzione aziendale, ai fini di una concorrenza sleale e illecita che rischia di mandare in crisi l’intero sistema Made in Italy, come sostiene Alberto Tripi, Delegato per la Cybersecurity di Confindustria. L’industria 4.0 si fonda su strutture come il cloud, i big data, l’e-commerce, che anche se ovviamente sorretti da architetture solide e sicure, sono i più esposti ad attacchi. Risulta essere così necessario un aggiornamento delle competenze e delle conoscenze di questo settore, alla luce del nuovo contesto economico di riferimento, del contesto tecnologico attuale e del settore normativo attinente.
La globalizzazione dei mercati, infatti, ha reso la sicurezza informatica come un costo da tagliare perché a volte è lo stesso management aziendale che non ne capisce davvero l’importanza. Le nuove tecnologie, allo stesso tempo, se non opportunamente gestite creano maggiori falle per la sicurezza e il fattore umano incide molto in tale senso. Il GDPR si prefigge, quindi, come obiettivo quello dell’adozione di infrastrutture minime e necessarie per diventare complainers della normativa stessa. A oggi, le aziende non sono state tutte pronte a implementare misure di sicurezza adeguate, tranne le cosiddette aziende virtuose, che sono state obbligate da normative specifiche. E’ importante, a tal fine, basarsi su nuove competenze specifiche, nuovi professionisti in grado di ascoltare i “rumori di fondo” che lasciano presagire un attacco e che riescano ad analizzare soluzioni efficaci per proteggere il data center, facendo la distinzione tra la protezione dei dati e la difesa degli stessi, come due operazioni interconnesse tra di loro. Proteggere significa mettere delle barriere, costruire delle infrastrutture, dei meccanismi di salvaguardia. Difendere, invece, è un passaggio che deve essere inteso come capacità di analisi della situazione nel momento in cui si verifica, e saper decidere tempestivamente sul da farsi. Acquista valore aggiunto oltre alla formazione, la consulenza da parte di esperti del settore. Il 2016 è stato l’anno delle normative europee e il 2017 si è attuato un atteggiamento nazionale di strategia di difesa più attenta e mirata, che si concluderà proprio con il GDPR. All’interno del nostro piano nazionale c’è l’intenzione di creare un centro di ricerca e sviluppo sul tema cybersecurity, con grande attenzione pe la tematica dell’industria 4.0, come risposta a una realtà complessa rispetto a un tema collegato con l’interconnettività mondiale, come presa responsabilità di fronte a questo vasto scenario, ma anche come nuovo motore che genera grosse opportunità future. Proprio a garanzia dell’integrità dei prodotti o internet data e quindi di tutti gli oggetti interconnessi che entrano quotidianamente nelle nostre case e nelle aziende, è stato studiato un protocollo di certificazione specifico sul prodotto stesso, un framework europeo condiviso, con caratteristiche di industry friendly, con costi non eccessivi e da attuare in tempi relativamente brevi. Si ha oggi una nuova presa di coscienza per arrivare poi a predisporre strumenti per minimizzare le superfci di attacco. Gli aspetti di protezione in quanto tali, vanno verso esigenze di adozione, di pratica e sviluppo di sistemi di innovazione; proprio in questo tipo di scenario gli standard si configurano come necessari. Si dovrebbe ripartire dalla formulazione delle competenze di base, con una nuova modalità di insegnamento delle stesse materie alla base dell’informatica. E’ quello che sta succedendo in università all’avanguardia come a Roma, Milano e Trento, che hanno nell’ultimo anno istituito dei corsi di laurea proprio improntati sul tema della cybersecurity. L’aspetto culturale andrebbe però introdotto intercettando persone con un percorso di studio che addirittura non hanno ancora iniziato un percorso universitario, quindi dalle scuole superiori, senza tralasciare, in questo momento la social del cittadino.
Le aziende, le PA e le PMI spendono sempre più in sicurezza, ma probabilmente per fare la differenza ciò che è necessario è un cambio di approccio a queste tematiche. I dati e gli oggetti interconnessi viaggiano verso i 20 miliardi previsti per il 2020, e ogni oggetto che si connette nel cyber space attua almeno tra le 10 e le 100 vulnerabilità che si inseriscono all’interno del sistema. La ricerca sta andando avanti nei vari settori per ridurre questa vulnerabilità, che comunque sarà sempre presente, perché legata almeno in parte al fattore umano nello sviluppo e nell’utilizzo del SW e perché il ciclo di vita stesso di quest’ultimo non è legato alla sicurezza. Questo impone a tutti di ripensarsi come possibile target del cyber space e quindi come possibile vittima di un attacco. E’ necessario quindi formarsi e informarsi per potersi difendere meglio ed essere più competitivi sul mercato. Se non saremo in grado di implementare un piano integrativo multisettoriale di processi che convergono tutti in una direzione, aumenteranno le vulnerabilità esponenziali. Avremo così i Paesi che riusciranno a mettere in pratica un piano adeguato del rischio e quelli che creeranno processi slegati tra di loro e che non riusciranno a difendersi in caso di attacchi mirati.
Roberto Baldoni, Professore Ordinario si Sistemi Distribuiti, presso la Facoltà di Ingegneria dell’Informazione dell’Università degli Studi Sapenza di Roma, ha infine sottolineato che essendo i dati di tutti, sono di tutti e in mano di tutti, quindi tutti devono sentirsi partecipi di questo processo che è di social responsability e che necessita una Information Sharing, intesa come una condivisione delle informazioni, che ha alla sua base una più reale intenzione di condividere soluzioni, facendo squadra, collaborando anche tra pubblico e privato, mettendo in sintonia processi che vanno verso l’innalzamento della difesa nazionale, attraverso interventi multidimensionali, e multidisciplinari, creando in primis nuove expertices e skills nei vari campi per avere una sempre maggiore workforce nei vari settori.

#CySec360summit

Nessun commento:

Posta un commento