Il 2018 si è concluso con il clamoroso arresto in Canada della numero due del colosso cinese delle ICT Huawei, accusato dagli USA di essere un’arma di spionaggio informatico al servizio di Pechino. Questo evento ha riacceso i riflettori dell’opinione pubblica sul delicato tema della tutela della sicurezza di cittadini, imprese e governi dai rischi connessi ad attacchi cibernetici, che negli ultimi anni è diventato tra i principali fattori di rischio per la stabilità globale.
Non si può prevedere se la minaccia cibernetica prenderà la forma prevalente di un attacco su larga scala a infrastrutture critiche e grandi aziende o piuttosto quella di una guerra di logoramento contro famiglie e aziende anche di piccole dimensioni. Il rischio di attacchi è comunque destinato a crescere, perché la digitalizzazione dei processi civili, sociali ed economici proseguirà sulle traiettorie esponenziali registrate nel corso degli ultimi anni grazie alle tecnologie IoT (Internet of things), aumentando la superficie d’impatto di azioni criminali intraprese sfruttando le interconnessioni alla rete internet. La pensa così anche l’80 per cento dei leader mondiali intervistati nell’ultima indagine annuale condotta dal World Economic Forum (WEF)17.
Come si struttura un attacco cibernetico
principali obiettivi degli attacchi cibernetici sono due: da un lato, compromettere la funzionalità dell’infrastruttura informatica – e a cascata dei dispositivi connessi – per ottenere riscatti, provocare danni o per testare la solidità dei sistemi di difesa; dall’altro, spiare, raccogliere e trasmettere informazioni riservate senza l’autorizzazione per carpire segreti industriali, informazioni sensibili per la sicurezza nazionale o per ottenere, anche in questo caso, riscatti dalle vittime.
Per raggiungere questi obiettivi gli hacker, criminali semplici ma sempre più spesso anche agenti al servizio di apparati pubblici, si affidano a strumenti molteplici. In testa i malware, programmi che vengono inseriti in un sistema informatico per compromettere la riservatezza, l’integrità o la disponibilità stessa dei dati, e che non solo sono adattabili a qualsiasi tipologia di obiettivo, ma sono anche in grado di sfruttare vulnerabilità non ancora note (Tabella 4.4)
Origini e destinazioni
Nonostante l’assenza di statistiche ufficiali, sulla base delle fonti disponibili è ragionevole attendersi che anche nel 2019 all’origine degli attacchi ci saranno soprattutto Stati Uniti e Cina19. Gli Stati Uniti sono, e resteranno, anche uno dei principali obiettivi degli attacchi provenienti dalle altre aree del globo.
Per far fronte alla crescente minaccia la UE – che nel 2018 è stata vittima del 12 per cento di tutti gli attacchi globali – già dal 2013 si è dotata di una Strategia per la cyber sicurezza; nel corso del 2019 dovrebbe entrare in vigore il Cybersecurity Act, che rafforzerà il ruolo dell’Agenzia europea per la sicurezza delle reti e delle informazioni e che prevede un nuovo sistema europeo di certificazione della sicurezza informatica.
Impatto in Italia e nel mondo
Cresce il numero di consumatori e imprese in rete Secondo le ultime stime di Business Insider, il numero di dispositivi elettronici connessi ad internet in tutto il mondo è destinato a superare i 40 miliardi entro il 2023, dai 20 miliardi attuali. Ciò equivale già oggi a circa tre apparecchi per ogni abitante del pianeta.
Gli investimenti sulle tecnologie di comunicazione mobile ultra-veloce (5G) saranno decisivi per poter sfruttare soluzioni di IoT applicate, tra gli altri, alla guida autonoma connessa, alla telemedicina, alla robotica collaborativa, all’automazione intelligente e alla realizzazione di smart city. In poche parole, perché si possa realizzare pienamente la rivoluzione digitale.
In Italia i primi servizi 5G dovrebbero essere attivi già entro la fine del 2019 ma la piena operatività della rete è prevista per il 2020, in linea con quanto sta avvenendo nel resto d’Europa.
Ad avvantaggiarsene saranno non solo i consumatori ma anche tutte quelle imprese che già da qualche anno hanno avviato la trasformazione digitale dei propri processi produttivi (la c.d. Industria 4.0), anche sfruttando il forte sostegno pubblico agli investimenti, ricevuto a partire dal 2017.
Secondo l’ultima rilevazione dell’Istat sulle tecnologie ICT, nel corso del biennio 2018-2019 il 51 per cento delle imprese italiane di grandi dimensioni e il 32 per cento tra quelle di medie dimensioni conta di investire in soluzioni tecnologiche 4.0. Le percentuali non si discostano di molto da quelle registrate nel biennio precedente (Grafico 4.3).
Crescono anche i rischi…
La crescita e la diversificazione dei dispositivi connessi ad internet impone nuove sfide per la sicurezza informatica rispetto a quelle a cui imprese, cittadini e istituzioni sono stati abituati negli ultimi due decenni. Perché nel momento in cui il mondo del software entra in modo pervasivo in connessione stabile con il mondo del reale degli oggetti fisici ad uso domestico, d’ufficio o industriale che siano, la protezione dagli attacchi informatici diventa non più solo protezione dei dispositivi ICT ma anche dell’intero sistema integrato di dispositivi connesso alla rete informatica.
… in primis per la scarsa cultura digitale
La minaccia informatica richiede non solo forti investimenti in software per la protezione dei dati e dei dispositivi connessi, ma anche e sempre di più investimenti sulla formazione digitale delle persone, perché la prima fonte di vulnerabilità da attacchi cibernetici è oggi rappresentata dalla disattenzione e da comportamenti inidonei compiuti dalle persone. In Italia, purtroppo, i dati mostrano che la cultura digitale di cittadini e imprese sia ancora oggi largamente insufficiente (25° posto nella UE in base al Digital Innovation Scoreboard del 2018). La vulnerabilità del Paese a minacce informatiche è quindi alta e destinata a crescere insieme alla digitalizzazione della società.
Nessuno è immune dal rischio
Secondo una ricerca condotta dal governo inglese, già nel 2014 il 90 per cento delle grandi corporation del paese e il 74 per cento delle sue piccole e medie imprese dichiarava di aver subito almeno un attacco cibernetico all’anno. Non è difficile immaginare che percentuali analoghe caratterizzassero paesi economicamente simili, come l’Italia, e che nel corso dei cinque anni trascorsi esse siano cresciute per numero e intensità della minaccia.
Alti i costi diretti e indiretti
I costi per l’economia derivanti dagli attacchi cibernetici e dalle loro conseguenze sono ingenti e persistenti nel tempo. Per la singola organizzazione ogni attacco ha un costo diretto che è tanto più alto quanto maggiore è il valore dell’informazione trafugata e/o quanto più significativo risulta compromessa l’operatività aziendale e la capacità quindi di produrre beni e servizi. Ma, indirettamente, la stessa organizzazione subisce un danno derivante dall’erosione della sua immagine agli occhi degli stakeholder.
Si riduce così l’interesse di investitori, dei consumatori, nonché di potenziali partner commerciali e industriali con cui cooperare. A questi effetti negativi si aggiunge la minore propensione ad investire in innovazione e la sfiducia verso le tecnologie digitali, che, se allargata ad un gran numero di imprese, a sua volta determina un rallentamento del ciclo degli investimenti, e quindi della crescita aggregata.
Secondo le stime di Zurich Insurance e dell’Atlantic Council, il 2019 potrebbe rappresentare l’anno in cui i costi globali derivanti dalla minaccia cibernetica supereranno per la prima volta i benefici economici della digitalizzazione. Secondo la stessa analisi, in assenza di aggiustamenti significativi rispetto agli attuali trend di crescita del fenomeno criminale, nel 2030 i costi annui degli attacchi potrebbero superare l’1,2 per cento del PIL mondiale.
Le statistiche per l’Italia
Non esistono statistiche per l’Italia relative ai costi subiti da imprese, famiglie e pubbliche amministrazioni a causa degli attacchi cibernetici. In base ai dati rilasciati dai servizi di sicurezza nella relazione al Parlamento dello scorso febbraio e riferiti all’anno 2018, sappiamo però che nel corso dell’ultimo anno gli attacchi cibernetici sono quintuplicati. Almeno il 20 per cento di essi, rivolti contro obiettivi pubblici e privati, è stato perpetrato da gruppi di spionaggio, quindi con finalità di sottrazione di informazioni sensibili, mentre il 5 per cento ha una matrice terroristica; le percentuali reali potrebbero però essere superiori in entrambi i casi, essendo la quota riferita ad attori non classificati pari al 9 per cento29 (Grafico 4.4). Gli attacchi hanno colpito a largo spettro diversi settori economici, con in testa quello dell’energia (11 per cento del totale), seguito da trasporti, telecomunicazioni e finanza (in tutti e tre i casi con una quota del 6 per cento). Non è chiara, in base alle informazioni rilasciate, la provenienza geografica di queste azioni ostili.
Agevolare investimenti in cyber-security
La presenza di una miriade di imprese ad alta specializzazione ma a ridotta scala dimensionale rappresenta un potenziale ostacolo agli investimenti in tecnologie digitali, ivi compresi quelli in cyber security. Ciò non solo espone molte PMI a rischi rilevanti di attacchi informatici, ma può compromettere seriamente il sistema di protezione dell’intera supply-chain. È necessario quindi sostenere gli investimenti privati in sicurezza informatica con misure d’incentivo pubblico, a partire dagli sgravi fiscali per l’acquisto di servizi di cyber-security, attualmente riconosciuti dal Governo.
Puntare sulle competenze digitali
Investire in tecnologie non è però sufficiente, se le persone che sono chiamate ad interfacciarsi con esse non hanno le adeguate competenze digitali. In quest’ottica, è importante che cittadini e imprese colmino il forte ritardo che la separa dal resto d’Europa, puntando, da un lato, a creare un eco-sistema della formazione rivolto alle nuove generazioni (dalla scuola primaria alle università), e dall’altro, che riqualifichi in ottica digitale, la forza lavoro esistente. A questo proposito, è importante che il Governo abbia confermato per il 2019 il credito d’imposta alle imprese per i costi di formazione del personale in tecnologie 4.0, che comprende anche le competenze in materia di cyber-secuirity. Sarebbe altrettanto importante che questa misura fosse confermata anche in futuro.
Creare una filiera nazionale della cyber-security
Al fine di costruire una strategia nazionale della sicurezza informatica e di valorizzare il know-how in materia di cui già oggi il Paese dispone, è poi fondamentale costruire una filiera nazionale della cyber-security, che coinvolga le istituzioni pubbliche, le imprese, le università e i centri di ricerca attivi nel settore.
Rafforzare il ruolo della UE
Ma è altrettanto fondamentale che le politiche nazionali di contrasto ai crimini informatici si inscrivano in una cornice condivisa a livello UE, attraverso il rafforzamento della Strategia europea per la cyber sicurezza, secondo le linee stabilite nel dicembre 2018 all’interno del Cybersecurity Act. Auspicabile che questa Strategia possa, in tempi brevi, arricchirsi anche della proposta della Commissione europea di aggregare in un network comune gli oltre 660 centri di cyber sicurezza oggi esistenti su tutto il territorio europeo e di istituire uno European Cybersecurity Industrial, Technology and Research Competence Center. Ciò consentirebbe di realizzare una piattaforma comune tra stati membri per mettere a fattor comune conoscenze, esperienze, infrastrutture informatiche e di coordinare gli sforzi innovativi per il contrasto agli attacchi cibernetici.
Articoli correlati
Europa, quanto vale l’accesso in semifinale per Roma, Atalanta e Fiorentina
Perché sul rinnovo del contratto dei metalmeccanici c’è subbuglio
Problema cybersecurity per Microsoft?
Le news su Enel green power, Tim, Google, La7, Repubblica, Iran, Israele e non solo
