In materia cybersecurity l’Italia “conquista” un triste primato: il nostro paese è risultato il primo in Europa per attacchi ransomware a marzo.
“Dall’attacco ransomware alla Regione Lazio fino agli attacchi Ddos al Senato. Momenti che ci hanno reso chiaro quanto sia fondamentale la sicurezza informatica per un paese che ambisce a ricoprire un ruolo da protagonista e alla digitalizzazione dei propri servizi”.
È quanto ha spiegato Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (Acn), all’evento “Cybersecurity – Amministrazione pubblica e imprese sicure“, organizzato dal Centro Studi Americani in collaborazione con Open Gate Italia e Paesi Edizioni. L’Acn è l’autorità nazionale di cyberiscurezza deve innalzare la resilienza cyber del paese.
“Oltre a investire sulla digitalizzazione bisogna parlare anche di sicurezza dei sistemi. Finalmente questo argomento ha la dignità che merita. Noi addetti ai lavori scontavamo un po’ una periferia di pensiero, al di fuori dei consessi non era preoccupante per tutti questo settore. Oggi l’argomento è balzato tristemente agli onori della cronaca. È in questo momento che nasce l’Agenzia per la cybersicurezza nazionale (Acn), in ritardo rispetto agli altri paesi europei non lo si può nascondere. Arriviamo e scontiamo un ritardo, in una situazione che non è rosea. In tutto questo però ci sono forti elementi di positività: la velocità con la quale l’agenzia è stata costituita, e non è banale”, ha sottolineato Ciardi.
Ecco tutto quello che è emerso dall’incontro al quale hanno partecipato tra gli altri Giuseppe Russo, Security Assurance Manager di Amazon Web Services Italy, e Cristiano Alborè, Portfolio Development Director di Telsy (gruppo Tim).
I CYBER-CRIMINALI SI EVOLVONO RAPIDAMENTE
“È un fenomeno emblematico, un malware che cifra i dati rendendoli completamente indisponibili al titolare. Se mi viene chiesto un riscatto per decifrare questi dati sono tentato di pagare. La difesa più ovvia è creare un backup, così da avere una copia staccata dalla rete. Ma la criminalità si evolve rapidamente, il ransomware si è evoluto e gli aggressori non richiedono più il riscatto per decifrare i dati bensì per non pubblicarli. Si va incontro al rischio di danno reputazionale enorme per l’immagine dell’azienda colpita”, ha spiegato la vice direttrice dell’Acn.
Inoltre, ha sottolineato Ciardi, “un attacco ransomware è difficilissimo da scoprire, una forza di polizia che arriva sulla scena del crimine si trova di fronte a dati tutti cifrati e tutte le operazioni avvengono in criptovalute (compreso il riscatto) nel dark web dove troviamo server distribuiti in ogni parte del mondo. L’attività investigativa è complessa e molti sono tentati a pagare. Purtroppo le aziende hanno la tentazione a non denunciare, pagare per mettere a tacere tutto e non subire il danno d’immagine. Si va da 500mila euro agli 8 milioni di euro, cifre altissime che vanno a foraggiare la criminalità informatica, che già cresce tantissimo”.
COME DIFENDERSI
“La soluzione è difendersi meglio, investire in sicurezza — ha evidenziato la numero due dell’Agenzia per la cybersicurezza nazionale — Bisogna capire che la sicurezza non è un costo ma un investimento. Di solito gli investimenti si fanno a valle di un attacco, sarebbe meglio farlo prima per cercare di ridurre e di molto la possibilità di essere attaccati”. “Sgombriamo il campo dall’idea che si possa raggiungere la sicurezza assoluta, ma dobbiamo raggiungere un livello accettabile dove rischi e benefici riescano a trovare un loro equilibrio, un livello sufficientemente buono”.
Pertanto, ha ricordato Ciardi, “l’Acn avrà compiti per aiutare le imprese nella prevenzione degli attacchi e nella remediation, ovvero una volta colpiti, siamo a fianco dei soggetti nell’attività di ripristino dell’operatività dei loro sistemi (come nei casi degli attacchi a Ferrovie e Mite)”.
IL COMPITO DELL’ACN: STIMOLARE L’AUTONOMIA TECNOLOGICA
Innanzitutto, la vice direttrice dell’Acn ha segnalato: “Noi europei siamo dei grandi utilizzatori di tecnologia ma non produciamo tecnologia nostra”. Quindi “l’Acn ha il compito di stimolare un’autonomia tecnologica, europea in prima battuta e italiana in seconda. L’autonomia tecnologica rappresenta un volano per l’economia del paese ma perché rappresenta sicurezza, significa altrimenti scontare un deficit in sicurezza”.
L’IMPORTANZA DI PARTENARIATI PUBBLICO-PRIVATI
Inoltre, “occorrono professionalità precise: noi abbiamo una carenza che non è soltanto italiana ma globale. quelle poche competenze italiane sono però andate fuori” ha rimarcato Nunzia Ciardi. “L’Acn sta cercando di farli tornare oltre a stimolare professionalità nuove con asset di partenariati con scuole ed enti di ricerca e collaborazioni pubblico-private e internazionali. La rete ha sbriciolato ogni confine spazio temporale pertanto la collaborazione deve essere un’arma fondamentale per gestire la sicurezza cyber”.
COMPRARE NAZIONALE
Dello stesso avviso è anche il mondo dell’impresa.
“La sinergia è fondamentale e così come la partnership pubblico-privata perché le istituzioni devono investire e comprare prodotti italiani”, ha detto Emanuele Galtieri, ceo di Cy4Gate. “Gli altri paesi (americani, israeliani per esempio) comprano nazionale, noi finora abbiamo privilegiato prodotti esteri”, ha sottolineato il numero uno di Cy4gate.
E a proposito dell’autonomia tecnologica, secondo Galtieri “si persegue tramite le partnership. Imprese e istituzioni devono lavorare insieme e superare le dicotomie, per raggiungere quel grado sufficiente di cybersecurity fino al punto di portare il sistema paese alla tranquillità cibernetica. Il paradigma per fare un salto di qualità è appunto partnership pubblico-privata” evidenzia il ceo di Cy4gate.
IN ARRIVO LA NIS 2
Inoltre, a breve sarà adottata la Nis 2, ovvero la proposta di aggiornamento della Direttiva Nis del 2016 con cui l’Ue punta a rafforzare il quadro della sicurezza cibernetica a livello europeo. Pertanto “abbiamo solo 2 anni per adeguarci alla direttiva che richiede un alto livello di sicurezza informatica”, ha segnalato Annita Sciacovelli, docente di Diritto internazionale presso l’Università degli Studi di Bari Aldo Moro e la Unint di Roma e Cybersecurity specialist, Research Visiting Fellow presso il Jerusalem Institute for Strategy and Security.
“Possiamo creare cento Agenzie, ma dobbiamo adottare le misure effettive. Possiamo anche creare la migliore infrastruttura di cybersecurity ma poi dobbiamo fare anche un adeguato risk management e risk assessment”, ha puntualizzato Sciacovelli.
NON SOLO PA, UN CLOUD NAZIONALE ANCHE PER LE PMI
A imprimere un’accelerazione nella digitalizzazione c’è “Il Pnrr che è importante per colmare una lacuna, ma il settore è in continua evoluzione. Le organizzazioni criminali trovano sempre come evolversi”, ha notato Stefano Mele, Partner dello Studio Legale Gianni & Origoni e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano.
“E poi c’è il tema delle Pmi in Italia che hanno un valore sul piano economico di oltre 60% del Pil, ma non hanno cultura risorse e forza lavoro per raggiungere gli obiettivi del perimetro di sicurezza cibernetica. Quindi è la politica che deve trovare una soluzione. Infatti si sta andando verso la creazione del Psn (Polo strategico nazionale per il cloud nazionale) per le Pa ma va creato anche per Pmi”, ha auspicato Mele. Pertanto, secondo Mele “è compito dello stato di offrire una soluzione in più: un cloud nazionale per le Pmi simile a quello per le Pa, facoltativo, con un piccolo pagamento in ingresso, con gli stessi livelli di sicurezza cibernetica messi a disposizione per le Pa”.
PUNTARE ALL’AUTONOMIA STRATEGICA
Infine, “al di là della formazione è necessario far interagire pubblico-privato e tendere all’autonomi strategica”, ha ricordato Federica Dieni, deputata pentastellata e vice presidente del Copasir.
“È necessario farlo almeno a livello europeo e Nato. Il decreto Ucraina con gli art 28 e 29 ha affermato la possibilità di far rientrare il cloud all’interno della normativa golden power, e questo è fondamentale per preservare l’indipendenza strategica nazionale e dell’Ue, al tempo stesso ha consentito di poter differenziare le funzioni di sicurezza e obbligare le Pa a diversificare. Bisogna capire che non si può mettere a gara per l’offerta più vantaggiosa per la sicurezza della nostra pubblica amministrazione con tutti i rischi connessi” ha concluso Dieni.