Archivio opinioni
Avv. Paolo Tetto
Sommario
- Premessa
- La via italiana alla Cyber Security
- Cyber Security e piccole e medie imprese
- L’importanza della formazione digitale nelle PMI
- Premessa
La profonda rivoluzione digitale in cui si caratterizza il mondo odierno sta spingendo sempre di più le realtà imprenditoriali del nostro Paese a dotarsi di sistemi informatici e connessioni a Internet per l’automatizzazione e velocizzazione del proprio sistema produttivo.
Con lo sviluppo delle tecnologie digitali, le aziende si trovano dunque a dover gestire un’ampia gamma di dati e informazioni che riguardano sia il proprio know how e i dipartimenti interni sia i propri clienti e fornitori.
A tale enorme movimentazione è connesso il c.d. rischio informatico, ovvero quel fenomeno che trova la sua origine nell’informatizzazione delle procedure di produzione e delle comunicazioni e che, pur costituendo un notevole beneficio per le imprese, potrebbe allo stesso tempo essere causa dell’utilizzo abusivo dei dati trattati. Tale è il fenomeno del Cyber Risk, il quale ormai da anni sta dilagando in tutti gli ambiti professionali e privati.
Proprio questa sua diffusione a macchia d’olio dimostra quanto sia necessaria una maggiore attenzione al tema della Cyber Security.
E allora risulta essere necessario, in primo luogo, domandarci che cosa si intenda effettivamente quando si parla di Cyber Security.
Questa terminologia è spesso utilizzata come sinonimo di Information Security ma in realtà ne rappresenta una sua sottoclasse, ovvero l’insieme dei mezzi, delle tecnologie e delle procedure utili a proteggere i sistemi informatici in termini di disponibilità, riservatezza e integrità dei dati e degli asset informatici.
Essa si concentra sugli aspetti legati alla sicurezza delle informazioni, rese accessibili da sistemi informatici, e pone l’accento sulle qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare gli attacchi informatici che possono colpire singoli individui, imprese private, enti pubblici e organizzazioni governative.
Dunque, con il termine “Cybersecurity” è da intendersi quell’insieme di tecnologie alle quali le aziende possono affidarsi per mettere al sicuro la propria infrastruttura IT e i dati immagazzinati nei vari terminali o nei vari server presenti in azienda.
La cybersecurity coinvolge qualsiasi azienda abbia accesso a Internet, ancor di più se la connessione è indispensabile per mantenere la produttività: possiamo parlare quindi di cybersicurezza sia nelle aziende che utilizzano un semplice server centrale per immagazzinare i dati (e per accedervi da remoto) sia per le imprese che usano le connessioni Internet per collegare interi reparti, stabilimenti o uffici.
- La via italiana alla Cyber Security
Dunque, la sempre più crescente necessità di creare un sistema di protezione informatica ha spinto l’Italia a sviluppare la propria strategia nazionale di cybersicurezza.
Lo scorso 18 maggio, il Comitato Interministeriale per la Cybersicurezza (CIC) presieduto dal Presidente del Consiglio Mario Draghi, ha approvato la strategia cyber predisposta dall’Agenzia per la cybersicurezza nazionale, una strategia programmatica da qui al 2026 la cui importanza è sottolineata dalle parole del Presidente del consiglio: “Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza”.
L’intenzione del Governo è quella di intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore e quindi garantire la sovranità digitale del Paese.
I recenti attacchi informatici che hanno colpito anche l’Italia nel contesto di una guerra ibrida acuitasi in seguito all’invasione russa dell’Ucraina, hanno dimostrato come da questo genere di attacchi possano derivare gravi danni economici e reputazionali per le imprese, oltre al blocco dell’operatività di infrastrutture energetiche, malfunzionamenti di sistemi informativi impiegati da aziende ospedaliere e sanitarie, fino alla diffusione di dati personali di figure pubbliche, giornalisti e attivisti politici col fine di screditarle mettendone talvolta in pericolo anche l’incolumità.
La strategia nazionale di cybersicurezza 2022-2026 si fonda dunque su determinati passaggi imprescindibili per la realizzazione del progetto poc’anzi evidenziato.
Si parla in particolare:
del miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali volti alla messa a punto di azioni idonee ad analizzare, prevenire, mitigare e contrastare efficacemente i rischi di una minaccia multidimensionale;
del potenziamento della capacità di difesa delle infrastrutture critiche delle nazioni e degli attori di rilevanza strategica del sistema Paese;
dell’incentivazione della cooperazione tra istituzioni e imprese nazionali al fine di tutelare la proprietà intellettuale e di preservare le capacità di innovazione tecnologica del Paese;
del rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali online, e ciò anche al fine di rispettare le normative nazionali e internazionali di settore;
del rafforzamento della cooperazione internazionale in materia di cybersicurezza.
Oltre ai punti appena elencati, aspetto chiave della strategia messa in atto dal Governo è quello legato all’accrescimento delle competenze degli utenti sulla materia qui in esame.
Diventa dunque fondamentale l’ottenimento di una maggiore consapevolezza della trasformazione digitale e dei rischi che possono presentarsi nell’utilizzo delle nuove tecnologie.
Per il conseguimento di tale obiettivo, è prevista la promozione e diffusione della cultura della sicurezza cibernetica sia tra i cittadini che all’interno delle Istituzioni e ciò anche attraverso un sempre maggiore coinvolgimento della ricerca e delle università.
Le criticità e la debolezza dell’aspetto culturale del nostro Paese è stato sottolineato in particolare dal Direttore generale dell’Agenzia per la cybersicurezza nazionale, Roberto Baldoni, secondo il quale il cambiamento culturale che si ha in mente dovrà portare “velocità” di analisi, sia tra i cittadini che nelle pubbliche amministrazioni, per recuperare i ritardi che l’Italia nel tempo ha accumulato nel campo della digitalizzazione.
Baldoni evidenzia, infatti, come ad oggi l’Italia sia indietro di almeno 30 anni rispetto alla Germania e 15 rispetto alla Francia in materia di cyber security.
- Cyber security e piccole e medie imprese
Da quanto sin qui detto, sembrerebbe che il problema della sicurezza informatica sia legato principalmente alle Pubbliche Amministrazioni e alle Imprese di grandi dimensioni e ciò potrebbe a sua volta portare a pensare che le piccole realtà imprenditoriali del Paese abbiano sotto tale aspetto meno problemi.
Al contrario, quando si parla di cyber security per le piccole e medie imprese, paradossalmente, il concetto dovrebbe essere ribaltato. E difatti, le PMI, che in Italia rappresentano una grossa percentuale del tessuto produttivo, si trovano a dover fronteggiare minacce che, fino a qualche anno fa sembrava non poterle interessare.
Qui, dunque, nasce un ulteriore problema che è quello della carenza di consapevolezza, da parte della PMI, dell’effettiva portata dei rischi derivanti da un eventuale attacco informatico.
In particolare, a penalizzare le piccole e medie imprese, ricollegandoci agli obiettivi di cui alla strategia nazionale di cybersicurezza poc’anzi evidenziati, è un retaggio culturale del Paese che considera le PMI una categoria esente da minacce informatiche.
Tale errata considerazione deriva in particolare da un periodo storico in cui gli asset digitali erano considerati aspetto fondamentale riservato solo ed esclusivamente alle aziende tecnologiche o per quelle imprese che, in virtù delle loro grandi dimensioni, hanno dovuto creare degli appositi sistemi informatici per la gestione e la velocizzazione delle attività produttive.
Tuttavia, la rivoluzione digitale ha evidenziato come sia anche cambiato il panorama di interesse dei c.d. “cyber criminali”.
E difatti, l’universo digitale attuale dimostra come vi sia una sempre più crescente attenzione da parte dei cyber criminali per le piccole e medie imprese, attenzione che trova le sue fondamenta dietro un aspetto che potremmo definire meramente opportunistico.
Nella logica criminale, infatti, la circostanza che gli strumenti di cyber security nelle piccole e medie imprese siano spesso sottodimensionati, rende queste realtà bersagli più appetibili poiché permette al c.d. hacker di fronteggiare sistemi di protezione meno efficaci e, molto spesso, una scarsa preparazione dell’impresa a far fronte a un attacco di questo tipo.
Ora, se consideriamo che un attacco informatico a un’impresa ha il più delle volte un fine estorsivo, potremmo ipotizzare che il criminale possa avere più interesse ad attaccare un’azienda di grandi dimensioni con l’auspicio di ottenere un maggiore guadagno dall’attività criminosa.
Nella realtà, il fatto che i potenziali guadagni per i pirati informatici siano inferiori rispetto a quelli che ci si potrebbe aspettare quando si colpisce un’impresa di grandi dimensioni, è compensato dalla circostanza che un attacco a una piccola realtà ha maggiori probabilità di successo se si considera che la PMI potrebbe essere indotta al pagamento del riscatto dalla paura di non riuscire successivamente a fronteggiare l’eventuale danno derivante dall’attacco.
Nel corso dell’evento Cybertech Europe 2022, tenutosi lo scorso 10 maggio presso La Nuvola Convention Center di Roma, il Dott. David Gubiani, Regional Director SE EMEA Southern di Check Point Software Technologies, azienda leader nella fornitura di soluzioni di sicurezza informatica per governi e imprese a livello mondiale, ha evidenziato come uno degli aspetti più problematici della cyber sicurezza per PMI è quello della prevenzione, laddove molto spesso quello che succede è che nelle piccole imprese manchi personale sufficiente e qualificato per poter seguire e poter mettere in piedi una vera e propria strategia di cyber security.
- L’importanza della formazione digitale nelle PMI
Nel 2021, la European Union Agency for Cybersecurity, ha pubblicato un report molto interessante e dettagliato riguardante la sicurezza informatica nel tessuto della micro, piccola e media impresa, con lo scopo di trasmettere delle linee guida per rendere sicura l’attività imprenditoriale.
Nel documento in questione viene evidenziato come la pandemia abbia dimostrato quanto siano diventate importanti le tecnologie per le piccole e medie imprese.
Difatti, il cloud, il potenziamento delle connessioni a Internet e dei servizi connessi, una modernizzazione dei siti web e degli spazi di condivisione dei dati e l’uso di strumenti innovativi hanno consentito a molte piccole realtà una continuità operativa durante le fasi di lockdown permettendo in molti casi di superare indenni la crisi.
Ciò che in particolare viene sottolineato è l’importanza di sviluppare, anche nelle micro, piccole e medie imprese, una corretta cultura della cybersicurezza.
E allora, di vitale importanza diventa il coinvolgimento dei dipendenti mediante un’efficace comunicazione da parte della dirigenza, la quale dovrà sostenere apertamente le iniziative in materia, definendo regole chiare e specifiche al riguardo nelle politiche aziendali e offrendo infine a tutti i dipendenti percorsi di formazione adeguati
La formazione dell’essere umano, una formazione che sia di sostanza e non di forma, è anch’essa una misura di sicurezza di primaria importanza. Avere un dipendente consapevole e sicuro alza tantissimo la sicurezza generale di tutta la realtà di cui ci occupiamo.
Occorre, allora, fornire consapevolezza adeguata circa la necessità di percorsi di training di cyber security per tutti i dipendenti, al fine di assicurare che gli stessi siano in grado di riconoscere tutte le varie minacce informatiche e di gestirle in maniera accurata, consapevole e corretta.
Questo training, secondo ENISA, dovrebbe avere due caratteristiche:
dovrebbe essere personalizzato, con riferimento ai contenuti, per le piccole e medie imprese e la loro realtà;
dovrebbe focalizzarsi su situazioni reali.
Promuovere la cultura della sicurezza e formare le competenze necessarie per riconoscere, comprendere e affrontare le minacce cibernetiche è inoltre uno degli obiettivi della Leonardo S.p.a., a dirlo è proprio il suo Amministratore Delegato, Dott. Alessandro Profumo, intervenuto in occasione dell’evento Cybertech Europe 2022, il quale ha sottolineato come, se pur vero che la Leonardo S.p.a. si rivolge essenzialmente alle Istituzioni e alle grandi realtà imprenditoriali del Paese, le PMI non possono di certo essere esentate da una corretta formazione sulla cyber security.
È con questo spirito che nasce la Cyber & Security Academy di Leonardo quale nuovo polo di alta formazione per le aziende e del quale faranno uso anche provider di formazione terzi che si rivolgeranno anche alle piccole realtà imprenditoriali del Paese. L’obiettivo di Leonardo s.p.a. è quello di creare un “ecosistema” di formazione anche per le PMI.