Cybersecurity: Istituzioni e imprese italiane in pericolo. Ecco le 15 regole per tenere lontani gli hacker
Tenere lontano gli hacker è semplice, se si rispettano 15 regole. Parola del report “2016 Italian Cybersecurity Report – controlli essenziali di cybersecurity” del Research center of cyber intelligence and information security della Sapienza di Roma e del Laboratorio nazionale Cini, che spinge micro, piccole e medie imprese italiane ad investire nella sicurezza informatica. Prevenire e proteggersi costerà molto meno che affrontare i danni generati da eventuali attacchi. Approfondiamo insieme.
Italia in pericolo
In tema di cybersecurity, l’Italia rischia grosso. Partiamo da questo e dall’allarme lanciato dall’intelligence. “Il monitoraggio dei fenomeni di minaccia collegati con il cyberspace ha evidenziato un costante trend di crescita in termini di sofisticazione, pervasività e persistenza, a fronte di un livello non sempre adeguato di consapevolezza in merito ai rischi e di potenziamento dei presidi di sicurezza”, si legge in un documento redatto dal Dis.
Nel Belpaese, c’è una “persistente vulnerabilità di piattaforme web istituzionali e private, erogatrici in qualche caso di servizi essenziali o strategici, che incidono sulla sicurezza nazionale. Attori statali ostili ma anche organizzazioni criminali, gruppi terroristi o antagonisti, fanatici di varia natura o anche singoli individui, beneficiano sovente nel cyberspace di un gap securitario che deve essere, in larga misura, rapidamente colmato”.
Manca una strategia nazionale
L’Italia non riesce stare al passo in fatto di sicurezza informatica, come evidenzia la diciannovesima edizione dell’EY Global Information Security Survey (GISS), che ha coinvolto 1.735 organizzazioni a livello globale.
In Italia, ben il 97% degli intervistati, dichiara di avere una funzione di Cybersecurity non pienamente in linea con le proprie esigenze. Di questi, il 65% non dispone di un programma formale e strutturato di Threat Intelligence, mentre quasi la metà non possiede metodi e strumenti tecnologici adeguati per identificare le vulnerabilità. Dunque, mentre le minacce di attacco informatico si moltiplicano ogni giorni, le aziende ancora fanno troppo poco per metter su un sistema efficiente di protezione.
“Attualmente, l‘Italia tra i Paesi OCSE, è quello che è ritenuto meno sicuro dal punto di vista della sicurezza informatica. Dobbiamo precisare che tra qualche anno, il punteggio sulla sicurezza informatica sarà fattore di valutazione geopolitica, influenzando anche il futuro economico nazionale. Le aziende investono in un Paese quando questo garantisce una certa stabilità politica. I grossi gruppi industriali e le grandi multinazionali, da qualche anno, già considerano il livello di capacità di difesa nel cyberspazio come fattore di stabilità politica”, ha affermto a Start Magazine Gianni Cuozzo, Chief Executive Officer & Founder di Aspisec s.r.l..
“In Italia manca, sicuramente, una visione e una strategia politica nazionale chiara in fatto di cyber sicurezza. Se è vero che ogni azienda deve fare la sua parte per mettere al sicuro i propri dati, è vero anche che questi non saranno mai ben protetti se l’infrastruttura Paese non garantisce una protezione adeguata. Lo Stato dovrebbe anche intervenire per modificare il nuovo codice degli appalti: le aziende di sicurezza informatica non sono grandi aziende (massimo 20-30 persone). In Italia ci saranno massimo 150 esperti del settore. Le singole società, dunque, non vantano fatturati tali per poter accedere ad alcune gare: il codice degli appalti attuale favorisce le grandi aziende, che poi subappaltano i lavoro alle piccole società, ad un prezzo inferiore. La cosa non è di poco conto: gli esperti ed i professionisti preferiscono lavorare in altri Paesi in cui possono guadagnare stipendi molto più alti. La fuga dei cervelli in questo settore, dovuta anche alla fiscalità che grava sulle aziende, ci rende ancora più vulnerabili”.
Quanto vale il business della Cybersecurity
E’ un business che vale e potrebbe valere tanto. Siamo sempre più connessi e abbiamo sempre più esigenza di tutelarci. Anche le aziende, per esser considerate competitive, devono investire in cybersecurity.
“In Italia il business della cybersecurity, entro il 2020, varrà almeno 1 miliardo e 700 milioni di euro, a cui si aggiunge un altro miliardo di euro per la sicurezza informatica personale, quella dei singoli cittadini all’interno del cyberspazio” ha continuato Gianni Cuozzo. “Internet of things sarà un catalizzatore per il business della cybersecurity”.
Costa meno prevenire, che curare
Dicevamo, alle imprese conviene prevenire. A darci un’idea dei costi di prevenzione e danni è sempre il report della Sapienza. Una micro impresa, per proteggersi dagli hacker, dovrebbe affrontare indicativamente un costo iniziale di 2.700 euro e un costo annuo di 7.800 euro. Una media impresa, invece, avrà un costo totale di 25.000 euro circa (4.650 euro di costi iniziali e 19.800 euro di costi annui). Subire un attacco, invece, significherebbe per le aziende un danno medio stimato, su un periodo di 5 anni, di 175mila euro, sia per le micro sia per le medie imprese.
Le 15 regole per tenere lontani gli hacker
1. Verificare che l’azienda abbia ( e aggiorni in modo costante) un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
2. Registrarsi ai servizi web (social network, cloud computing, posta elettronica, spazio web, ecc) strettamente necessari.
3. Individuare tutte le informazioni, i dati e i sistemi critici per l’azienda e fare in modo che siano sempre protetti.
4. Individuare un responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
5. Identificare e rispettare le leggi e i regolamenti in materia di cyber.
6. Dotarsi dei migliori software di protezione (antivirus, antimalware, ecc…), e aggiornarli periodicamente.
7. Controllare che le password siano diverse per ogni account, della complessità adeguata, valutando anche l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio, come l’autenticazione a due fattori).
8. Verificare che il personale autorizzato all’accesso ai dati dell’azienda e ai servizi informatici abbia utenze personali non condivise con altri.
9. Permettere ad ogni utente di accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
10. Sensibilizzare in modo adeguato il personale, sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali.
11. Scegliere personale esperto per la configurazione iniziale di tutti i sistemi e dispositivi e verificare che le credenziali di accesso di default siano sempre sostituite.
12. Eseguire periodicamente il backup delle informazioni e dei dati critici per l’azienda, conservandoli in modo sicuro.
13. Verificare che le reti e i sistemi siano protetti da accessi non autorizzati.
14. In caso di incidente, informare (tramite sistemi specifici)i responsabili della sicurezza.
15. Aggiornare, sempre all’ultima versione, i software in uso (inclusi i firmware).
Un corso sulla Cybersecurity
Se l’Italia è poco sicura sul cyber spazio è anche perchè mancano esperti di settore. Ed è per quello che all’università La Sapienza di Roma è nata, finalmente, la prima laurea magistrale in cybersecurity.
Il corso di studi nasce con l’obiettivo di colmare un vuoto formativo. Sono previsto due anni di formazione in lingua inglese, con l’obiettivo di creare “tecnici contaminati con competenze di tipo economico, giuridico e gestionale”.
Una delle figure professionali che usciranno dal nuovo corso è quella dello Chief security officer, cioè una figura in grado di individuare i veri obiettivi degli hacker e le tecniche di attacco, per sviluppare poi le tecniche di difesa.
