“Invece di continuare a contenere molti attacchi specifici bisogna creare un ambiente complessivamente più sicuro”: le parole di Amir Rapaport, Founder di Cybertech, sintetizzano bene il messaggio del Cybertech Europe 2018, organizzato anche quest’anno a Roma con Leonardo e Accenture. Un po’ tutti i partecipanti hanno infatti sottolineato la necessità di far evolvere l’approccio alla protezione delle reti e delle infrastrutture critiche da parte delle imprese e dei Governi.

Il punto fondamentale non è più bloccare azioni di attacco più o meno evolute, bensì garantire una difesa continua integrata a livello infrastrutturale. Sempre Amir Rapaport presenta un parallelo significativo: per evitare le epidemie si garantisce in primis un ambiente “igienico”, si reagisce in forze e in modo mirato solo quando si verificano emergenze. L'una cosa non esclude l'altra.

Bisogna fare un salto di qualità nella cybersecurity soprattutto perché lo ha fatto, già da tempo, chi attacca imprese e infrastrutture. E perché parallelamente stanno cambiano le infrastrutture stesse, oltre ai modelli organizzativi delle imprese, mandando in pensione molti approcci tradizionali alla protezione dei sistemi.
La criminalità informatica è organizzata, internazionale, specializzata e dotata degli strumenti che le servono. Eugene Kaspersky, CEO di Kaspersky Lab, lo ha sottolineato chiaramente: le minacce più organizzate oggi sono persino state-sponsored e il rischio per le nazioni (non solo le imprese) si fa elevato.

Ora al centro dell’attenzione dei gruppi criminali più sofisticati ci sono le infrastrutture critiche, in un mondo - quello industriale - che vedrà sempre più sabotaggi mirati per la vulnerabilità delle sue reti. Anche qui conta il concetto di igiene della sicurezza, che per Eugene Kaspersky diventa una vera e propria immunità. “Un sistema è immune - spiega - se il costo di un attacco che lo ha come bersaglio diventa superiore al possibile ritorno economico per chi attacca”.

È poi l’evoluzione stessa delle imprese ad aumentare la complessità. Ci sono esempi macroscopici come il modello Internet of Things, che aumenta esponenzialmente sia i possibili punti vulnerabili sia il volume delle informazioni di sicurezza e di monitoraggio da gestire. Ma il fenomeno è più generalizzato: la Digital Transformation cambia le imprese e le rende più digitali, quindi i “digital risk” della cyber sicurezza non sono un mondo a sé ma diventano rischi operativi da mitigare all’interno di una visione complessiva di risk management. Che molte imprese però non hanno.
È necessario un cambio di passo anche perché Governi e organismi sovranazionali accettano sempre meno che le imprese siano tanto meno organizzate di chi li attacca, e stanno integrando questo concetto nelle normative collegate alla sicurezza. Le aziende europee ne hanno visto un primo indiretto accenno con il GDPR e molte devono confrontarsi con il nuovo “tormentone” del recepimento della Direttiva NIS, ma è importante comprendere che è il clima generale intorno alla sicurezza cyber ad essere cambiato.

La UE sta ad esempio lavorando per definire una posizione comunitaria unificata di fronte ai pericoli del cybercrime, posizione che serve anche come deterrente: chi attacca deve sapere che ci sarà uno sforzo comune per identificare la fonte dell’attacco. E che ci sarà anche una risposta collettiva. Tutto questo diventa più complicato se le aziende non badano alla propria “igiene cyber”, tanto che l’agenzia europea per la sicurezza - Enisa - spingerà iniziative di promozione finanziaria e strutturale per le imprese sul fronte alla sicurezza e ha aperto alla possibilità di certificazioni nel campo degli oggetti smart e connessi.

Sull’idea delle certificazioni - dell’Enisa o di qualsiasi altro organismo - ci sono diverse perplessità e anche questo è un aspetto della diatriba tra innovazione e sicurezza (o privacy) che stiamo vedendo a vari livelli. Ma se si continua a innovare senza tenere la sicurezza in mente, quindi senza un approccio di security by design, tutto si complica. Per i vendor l’obiettivo dell’innovazione è dare un vantaggio competitivo, non più sicurezza. Ma dare ad aziende e consumatori l’opportunità di acquistare prodotti intrinsecamente sicuri serve a raggiungere quella “igiene” complessiva della cybersecurity che ormai appare irrinunciabile.