La resilienza denota la capacità di un materiale di ritornare alla forma originaria dopo aver subìto una compressione o deformazione. Ma noi non vogliamo tornare allo stato pre-Covid. Non come Paese, e ancor meno nella cybersecurity.
Quest’anno è servito per capire. Neanche trecento webinar e conferenze all’anno avrebbero avuto, e in effetti non hanno avuto, lo stesso effetto di consapevolezza paragonabile alle conseguenze del lockdown. Tommaso Bonaccorsi di Patti, Responsabile Offer Go to Market Management di TIM ha partecipato il rapporto TIM-Censis in cui si rileva il balzo in avanti della digitalizzazione del nostro Paese. Contemporaneamente, i vigliacchi attacchi che hanno colpito qualsiasi organizzazione, compresi ospedali, centri di ricerca sanitari, gli impianti israeliani di distribuzione idrica alla popolazione, e addirittura le onlus, tra cui l’Istituto per ciechi, ci hanno fatto capire quanto sia vulnerabile un Paese più digitale.
Arriva sempre un momento in cui la società prende atto della quotidianità di un problema, dichiara “adesso basta” e reagisce. Nel nostro Paese, è successo per i rapimenti, per il terrorismo interno, per la corruzione dilagante e manifesta; forse qualcosa sta maturando nei confronti del cyber. Possiamo istituire centri studi, istituti, corsi di laurea e fondazioni, tutti necessari ma non sufficienti. Non si risolve un problema fin quando questi non arriva tra le massime priorità dell’agenda politica, delle imprese e dell’intera società.
Sono fiducioso, c’è un cambiamento in atto: non devo promuovere alcuna iniziativa come vent’anni fa; le iniziative mi vengono “a prendere a casa”. E posso assicurare che accade a tutti gli esperti di sicurezza, ma la strada è complessa e ben distante dai film e dalle serie TV. È sorprendente il numero di giovani che mi contatta perché vuole diventare un esperto di cyber security e rimane sorpreso e spesso infastidito dalla mia “pretesa” che un esperto di sicurezza informatica debba conoscere bene l’informatica, ma non solo.
Sarà per questa complessità che la cybersecurity non è sexy come altri termini alla moda. Tuttavia, la sicurezza informatica rimarrà una priorità fin quando esisterà la società digitale; assisterà alla comparsa e al declino di tante buzzword (oggi si porta intelligenza artificiale, ieri altro), che non sono altro che varianti delle metodologie informatiche e delle loro pervasive applicazioni. In fin dei conti, anche il marketing può essere accettabile se fa comprendere dove è meglio investire le risorse, in quanto non solo di resilienza si tratta, ma di salto reattivo di un Paese che si sta informatizzando e che è bene che lo faccia in modo sicuro.
Le metodologie realizzative possono essere ondivaghe, contraddittorie, parziali, opportunistiche, ma la direzione strategica è chiara, per il nostro Paese così come per i nostri alleati europei e della Nato. Hollywood l’aveva capito molto prima della politica. La famosa discussione in terrazza tra Ben Kingsley e Robert Redford è di una modernità impressionante: “C’è una guerra là fuori, amico mio. Una guerra mondiale e non ha la minima importanza chi ha più pallottole. Ha importanza chi controlla le informazioni. Ciò che si dice, si sente, come lavoriamo, cosa pensiamo. Si basa tutto sull’informazione”. Onore allo sceneggiatore Phil Alden Robinson di The sneaker che ha scritto tale verità nel 1991, ben prima che il pubblico conoscesse Internet e il Web, quando Larry Page e Sergey Brin avevano 18 anni, e Mark Zuckerberg ne aveva appena compiuti 7.
“C’è una guerra là fuori, amico mio” chiarisce il senso più profondo del titolo della Cyber Warfare Conference che l’Ing. Paolo Lezzi e il Prof. Gori hanno ideato più di dieci anni fa con lodevole lungimiranza. Non eserciti formalmente schierati in un’epica quanto simmetrica guerra, ma come ha sostenuto Tofalo, Sottosegretario di Stato alla Difesa con delega al cyber, un pericoloso rumore di fondo, continuo che, quando decide di colpire, riesce nel suo intento. E chi attacca vince perché la cyberwarfare è asimmetrica a totale sfavore dei difensori.
Per questo, bisognerebbe ripensare la postura cyber totalmente difensiva del nostro Paese, ma la politica ha bisogno di tempo per maturare e la nuova amministrazione statunitense la aiuterà in tal senso (“We will elevate cybersecurity as an imperative across the government and expand our investment and the infrastructure and people we need to defend against cyberattacks. We will impose substantial costs on those responsible for such malicious attacks”, ha dichiarato Biden, riferendosi alle infiltrazioni scoperte di recente da molteplici strutture e agenzie americane.)
Come ha evidenziato Andrea Chittaro, presidente di Aipsa, la superficie di attacco è talmente estesa che nessuno può pensare di non avere qualche vulnerabilità in atto. All’attaccante basta una fessura per entrare (un software non aggiornato, un dispositivo configurato male, una password debole), mentre il difensore deve conoscere ed essere in grado di sistemare tutte le vulnerabilità: procedurali, umane e tecnologiche. Un lavoro immane, quotidiano e aziendalmente meno rimunerativo di tanti altri in termini di potere e visibilità.
Bisogna avere l’indole adatta per svolgere il ruolo di cybersecurity manager, sempre più strategico in qualsiasi organizzazione che sta transitando verso il digitale. Sono loro che, interfacciandosi con i fornitori adeguati, sanno mettere a terra le norme, gli standard, le metodologie della cybersecurity in un processo di miglioramento continuo. Servono persone competenti che sappiano parlare con il top management, interfacciarsi con l’IT e con i fornitori, ma siano anche in grado di motivare tutti i dipendenti, vera prima linea sotto il fuoco degli attaccanti.
Tutte le aziende hanno colto che i propri lavoratori sono molto vulnerabili, e la loro vulnerabilità non dipende dal fatto che lavorano da casa, ma che hanno accesso a troppi dati e servizi aziendali. I dati aziendali non dovrebbero trovarsi sul laptop di qualsiasi dipendente in smart working, ma neanche sul pc dell’ufficio. Comprendere un problema è il primo passo per provare a risolverlo.
Dall’XI edizione della Cyber Warfare Conference portiamo a casa tante lezioni. In primis, l’evidenza del trend positivo emerso dai dati del Barometro Cybersecurity 2020 che NetConsulting cube raccoglie ed elabora da tanti anni. Valori confermati dalle presentazioni dei rappresentanti delle grandi aziende presenti (Ravenna di Acea, Manfredini di A2A, Maldino di Barilla, Rosa di Bpm, Sotira di Poste Italiane, Chittaro di Snam, Corrado Corradini di Vodafone), concordi e generosi nel descrivere le proprie attività cyber. Pare siano finalmente passati i tempi delle lamentele sulla scarsità di risorse (sempre insufficienti per definizione) e sulla sordità del top management. È iniziato il tempo dell’orgoglio per quanto si sta facendo e si farà nei prossimi anni. I cantieri di riorganizzazione e investimenti cyber, a livello di governance e di tecnologie, sono aperti ovunque. E lo rimarranno per sempre perché la cybersecurity è, scusandomi per l’autocitazione, una “maratona senza traguardo”.
Anche gli interventi dei prestigiosi provider che hanno vivacizzato il panel (Marco Giusti di Akamai, Andrea Negroni di Cisco, Tommaso Bonaccorsi di Tim, Giovanni Napoli di Rsa, Fabrizio Corradini di Sonicwall) sono cresciuti di livello parallelamente alla consapevolezza dei clienti: per le grandi aziende, il cyber non è più un lemon market. Confrontandomi con loro anche dietro le quinte, ho trovato persone sinceramente interessate a migliorare la postura cyber dell’Italia. Tutti dobbiamo vivere in questo splendido Paese, e abbiamo figli e attività da svolgere; è interesse comune che le infrastrutture critiche siano sempre operative e che la società digitale italiana diventi veramente sicura by design. E anche se alla fine dell’anno la valutazione dei fornitori passa dalle fatture emesse, operare in un contesto collaborativo e di supporto consulenziale rispetto alle vere necessità e priorità del cliente è meglio. Nessuno si è più permesso di affermare di avere la soluzione tecnologica magica per tutti i rischi cyber. Al contrario, tutti hanno evidenziato che la sicurezza è un processo lungo che passa anche dalle tecnologie, ma non solo.
Nel 2020, i difensori evidenziano un trend positivo nella cyber awareness, nelle nuove governance cyber, nell’adozione della threat intelligence. Al contrario, tre sono percepiti come rischi irrisolti e crescenti: vulnerabilità dei cyber physical system, industrializzazione della criminalità informatica, skill shortage. È bene sapere in quale direzione orientare la cyber resilienza e il suo superamento per il prossimo quinquennio, almeno a livello di grandi aziende, di centri di ricerca, di strutture statali e di università. Tuttavia, non va dimenticato il mondo delle Pmi, dove la scarsità di consapevolezza e di risorse viene colmata frettolosamente solo in seguito ad attacchi cyber. Tutti loro dovranno crescere per non mettere a rischio il business, a cominciare dai molteplici fornitori delle grandi che cominciano a diffondere la cultura della sicurezza informatica mediante meritori “patti etici di responsabilità cyber”.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2020
© RIPRODUZIONE RISERVATA