Non c’è convegno Ict, analisi, strategia aziendale o pubblica che oggi non citi tra i suoi impegni quello sulla cybersecurity, uno degli ambiti in cui la spesa Ict cresce in modo importante nel 2022 e che rimarrà una voce di spesa significativa anche negli anni a seguire. Complici la guerra, lo smart working, la crescita delle minacce cyber, la componente di errore umana.
Tutti elementi che trovano riscontro nel Barometro Cybersecurity 2022 giunto alla sua sesta edizione, nato nel 2017 da un’idea di NetConsulting cube, Eucacs (European Center for Advanced Cybersecurity) e InTheCyber, presentato negli scorsi giorni a Milano nell’ambito della tredicesima edizione della conferenza Cyber Warfare Conference 2022.
Non solo lo spunto per definire lo scenario della cybersecurity nel 2022 (principali fonti di rischio, tentativi di attacco e conseguenze, impatti dei nuovi modelli di lavoro) ma anche per dare concretezza ai dati e definire azioni, ribadendo l’importanza della governance della cybersecurity nella strategie di aziende e pubbliche amministrazioni. Guardando a sistemi di difesa e detection (Soc, attività di vulnerability assessment, penetration test, strumenti avanzati di analisi, cyberthreat intelligence, data protection), sfide e priorità, collaborazioni pubbliche e private, come quella sempre più centrale con l’Agenzia Nazionale per la Cybersecurity (Acn).
Va diretto al punto Paolo Lezzi, executive vice president di Eucacs, in apertura del convegno: “L’Italia ha fatto passi da gigante in questi due anni per darsi un assetto avanzato, anche grazie alla creazione dell’Agenzia di cybersecurity nazionale (Acn), ma serve piena collaborazione tra pubblico, privato e accademia per un pieno governo della tematica cyber. Il comparto produttivo è una infrastruttura critica per il Paese, e la minaccia cyber non si stanca mai. Per questo c’è la necessità di una presa di responsabilità sociale da parte di azionisti, aziende, PA per la loro messa in sicurezza”.
Se da una parte c’è una progressione costante delle minacce, dall’altra c’è un miglioramento continuo soprattutto da parte delle grandi imprese per adottare protezione cyber in ogni aspetto del business. “Il presidio cyber deve proteggere ogni singolo processo, sia in fase preventiva che di allerta e deve estendersi a tutto il comparto. Da questo punto di vista è essenziale promuovere adozione anche da parte delle Pmi, tassello strategico del tessuto produttivo economico. Qui il ruolo di guida di Acn diventa fondamentale con le autorità locali, con il difficile compito di creare una rete tra le miglior aziende cyber e i laboratori competenti sul territorio, perché si possa garantire un supporto anche in caso di incidente con prossimità e immediatezza. Serve fare prevenzione”.
La cybersecurity è un orizzonte
Due punti importanti fanno da filo conduttore al convegno: la creazione di un vero e proprio piano di cyber education nazionale e regionale, che possa permettere a qualsiasi livello della società (singoli cittadini, studenti, realtà aziendali, grandi imprese e Pmi) di fare crescere la consapevolezza delle minacce (1) e la spinta per incentivare la creazione di una tecnologia cyber nazionale, che potrebbe nei prossimi 5-10 anni arrestare la dipendenza pressoché totale nei confronti di tecnologie straniere (2). “E qui il ruolo dell’Agenzia di Cybersicurezza nazionale è fondamentale, per il coordinamento, la verifica di esigenze e di requisiti sul territorio, per fare lavorare insieme accademia e aziende per lo sviluppo degli aspetti più strategici. Le imprese utente saranno poi piloti di questi progetti”.
Lo conferma Gianluca Galasso, capo operazione dell’Acn, che definisce l’Agenzia un vero asset per lo sviluppo del Paese. “Siamo una PA che lavora anche cercando il privato, perché è importante capire come la strategia di Acn non sia dell’Agenzia ma dell’Italia. Bisogna lavorare coinvolgendo le aziende anche su progetti a lungo termine perché la cybersecurity è un orizzonte, un punto spostato sempre più in là dalle tecnologie degli attaccanti. Ma bisogna agire in maniera proattiva con strumenti dedicati e in modo coordinato con tutti gli attori perché non è pensabile che le crisi cyber siano gestire dalla sola Agenzia. Per questa ragione bisognerà creare dei meccanismi all’interno dei quali i player privati potranno definire il loro ruolo – precisa Galasso –. Sarà strategico definire un’autonomia della strategica nazionale e contrastare la disinformazione online, nel più ampio contesto della cosiddetta minaccia ibrida”.
L’Agenzia agirà come un catalizzatore di società civile, settore privato, settore pubblico, accademia e ricerca e si muoverà attorno alle 81 misure definite dalla strategia (come ha ribadito in settimana anche Roberto Baldoni, direttore generale di Acn, al convegno Anitec-Assinform sulla presentazione dei dati del mercato digitale in Italia).
A breve saranno presentati al parlamento i Kpi per monitorare come le misure vengono adottate ed è in realizzazione un hyper Soc, con lo scopo di portare in correlazione eventi che accadono all’interno di reti pubbliche e private per mettere a sistema il bagaglio informativo per prevenire e gestire gli attacchi. A questi progetti si aggiungono la Rete nazionale dei Cert per promuovere e finanziare la realizzazione di Cert pubblici e settoriali, la rete nazionale Isac oltre alla costruzione di Isac settoriali. “Percorsi formativi dedicati, sostegno alla manifattura locale, sistema nazionale di certificazione, incentivi e accrescimento della consapevolezza sono infine necessari – continua Galasso -. Ma dobbiamo creare le condizioni per creare gli addetti, i ‘soldati’ della cybersecurity anche senza la laurea, attraverso gli Its Academy che lasciano alle regioni ampia libertà per creare una rete di collaborazioni. C’è uno skill shortage non tanto di ‘generali’ ma soprattutto di operatori”.
La fragilità della supply chain
Ritorna sul tema della compartecipazione anche Alessandro Manfredini, direttore group Security e Cyber Defence del gruppo A2A e presidente della Associazione Italiana Professionisti della Security Aziendale (Aipsa), un’associazione nata negli anni ’80 a valle dei periodo del terrorismo e che oggi si concentra sulla minaccia ibrida. “Oggi si parla di sicurezza partecipata, un cambio di paradigma rispetto al passato. Non solo appannaggio dello stato come in passato, che garantiva la sicurezza e rilasciava solo in via sussidiaria alcuni compiti (come ad esempio quelli di vigilanza), ma oggi compartecipata dai privati. Gli sforzi che lo stato sta facendo sono esemplari ma non possiamo pensare che sia solo Acn a risolvere i problemi delle minacce che gravano sulle nostre aziende e associazioni”.
Il partnerariato pubblico e privato crea occasioni di confronto concrete e permette di collaborare su tavoli tecnici per proposte future, “ma ognuno degli associati deve farsi promotore nelle proprie organizzazioni per creare la giusta consapevolezza – puntualizza Manfredini – perché non possiamo più avere anelli deboli nella supply chain, non possiamo lasciare indietro i fornitori, perché gli attaccanti sfruttano le vulnerabilità lunga l’intera filiera. Dobbiamo credere molto nel partnerariato pubblico-privato per il sostegno che le grandi aziende possono dare alle media e piccole realtà, e al rapporto nato con la collaborazione con l’Agenzia”.
Appunto la supply chain, un anello debole in cui si annidano le minacce, come analizza lo stesso Barometro: solo il 34% delle aziende pubbliche o private richiede attenzione alla sicurezza nei rapporti con i fornitori a monte e a valle, e se lo fa solo nel 18% dei casi effettua delle verifiche. Il Barometro misura nella sua analisi le priorità delle aziende, il livello di adozione degli strumenti di difesa e di detection, i modelli organizzativi, fino alla maturità cyber.
Il contesto, la prima causa
Se è vero che il contesto geopolitico e il contesto macroeconomico sono le principali cause che hanno esposto le aziende a nuovi rischi, sono altrettanto pericolosi i comportamenti dei singoli utenti. “Complessivamente quello accaduto negli scorsi anni – digitalizzazione dei servizi ai cittadini, smart working – ha amplificato le minacce legate all’ampliamento del perimetro aziendale – esordisce Rossella Macinante, practice leader di NetConsulting cube che ha curato la ricerca – e questo tema impatta su tutti i dispositivi connessi, Iot, industrial Iot e OT. Le minacce sono cresciute in tutto il contesto europeo ma in Italia l’impatto è stato ancora più rilevante, in particolare nel settore PA e in sanità sempre più nel mirino degli attaccanti”.
I gap da colmare sono legati alla gestione dei dati per la maggioranza dei casi (64%), seguiti dalla necessità di aumentare il controllo sulle reti e sulle telecomunicazioni OT (51%) oltre che su software (49%) e accessi (40%).
Di conseguenza crescerà la spesa in cybersecurity anche nel 2023: la stima è quella di un +13,4 % per un valore complessivo di 1.788 milioni di euro, contro i 1.576 del 2022 (un mercato a sua volta cresciuto del 13,5% rispetto al 2021). “Cresce la spesa allocata in cyber: il 70% indica una spesa crescente in cybersecurity e il 51% afferma di allocarne il 5-10% del proprio budget IT. Questo perché non è possibile innovare modelli di business senza considerare il tema della cyber come parte integrante della strategia di sviluppo. I driver di crescita degli investimenti sono anche legati alle normative e alle direttive previste dall’Agenzia anche se gli interventi istituzionali restano motore importante per gli investimenti in cybersecurity. Il contributo del Pnrr ad oggi sembra ancora sfumato rispetto all’impatto che avrà: solo il 26% dichiara di finanziare progetti di cybersecurity grazie al Pnrr, ma l’impatto sarà maggiore nei prossimi tre anni”.
Il cloud richiese attenzione particolare
Sulle strategie cyber inciderà anche l’adozione del cloud computing, dal momento che il 60% delle aziende ritiene il cloud una tecnologia strategica per l’evoluzione del proprio business (“una scelta obbligata per flessibilità, solo per una parte residuale del campione una scelta tattica”, precisa Macinante) con il 51,3% sempre più spostato su una strategia multicloud ibrida (era il 42% nel 2021). “Aumenta l’esigenza al crescere del cloud di dotarsi di nuove competenze e strumenti per protezione dei dati, dalle soluzioni di backup e di recovery”. Il tema è di alta attenzione perché ancora oggi le modalità di protezione più adottate sono la strong authentication a due fattori e username/password, mentre solo un terzo applica un sviluppo DevSecOps, che invece sarebbe necessario perché rispecchia l’adozione della logica di security by design, con soluzioni sviluppate direttamente su piattaforme cloud con la sicurezza intrinseca.
Sul tema della security cloud una testimonianza su tutte, quella di Lorenzo Gubian, direttore generale di Aria, l’in-house di regione Lombardia già in multicloud (“usiamo due nostri data center di cui uno presto in chiusura, oltre a servizi di Aws, Google Cloud e Microsoft”), un progetto frutto di uno spostamento verso il cloud di 20 aziende sanitarie lombarde che utilizzavano già i servizi IaaS di Aria (“anche se in modo parziale”) ma con una roadmap che prevede il porting in cloud di tutte le 40 aziende sanitarie di Regione Lombardia nei prossimi anni. “I tre attacchi dolorosi che abbiamo ricevuto lo scorso anno a causa di ransomware (dicembre 2021, 1 maggio, metà maggio) hanno causato il down dei servizi, in alcuni casi di poche ore, in altri di giorni. Per far fronte a questi danni ingenti abbiamo messo in piedi una task force per fare assesment di tutte le aziende sanitarie, sia di quelle a bordo sia di quelle che lo saranno. Il risultato è che c’è molto da lavorare. L’investimento fatto negli ultimi anni in cybersecurity non è stato adeguato all’evoluzioni degli attaccanti, le superfici di attacco sono aumentate grazie alla digitalizzazione dei servizi ma non è stata messa adeguata protezione. Abbiamo così riformulato un piano triennale sulla cybersecurity, quello in vigore scade a dicembre. Il piano del prossimo triennio è molto più impegnativo perché per volontà di regione Lombardia entra più nel dettaglio delle aziende sanitarie e dovrà esser discusso in consiglio regionale. Ma se ci sono i tool, ma manca la cultura sulla sicurezza da parte degli utenti, gli strumenti non servono. Non basta digitalizzare i servizi, serve un approccio security by design, che sposta nei processi una serie di analisi per verifiche fatte a monte e non a valle. E’ questa un’azione importante che stiamo facendo e che è nella nostra programmazione”.
Un tema comune anche per Corrado Lonati, head of Cybersecurity Strategic Intelligence, Policy and Culture in Intesa Sanpaolo. “Manca spesso il mindset, la capacità di avere delle persone che abbiano un approccio già 4.0 nella trasformazione cloud. Il cloud è un cambiamento epocale con logiche diverse di business, le competenze sono limitate ancora perché i percorsi si stanno consolidando, serve la capacità di realizzare un progetto sicuro fin dall’inizio. Qui ci deve essere una funzione che non deve essere tecnologica ma che può aiutare il business a pensare in maniera diversa. Ci vuole un po’ di contaminazione tra chi ha esperienza di dati e chi di sicurezza”.
Maturità nella gestione anche del lavoro ibrido
Un tema che tocca anche il lavoro ibrido: oggi 80% del campione del Barometro dichiara di gestire l’organizzazione del lavoro da remoto e questo comporta anche una maggiore consapevolezza dei rischi. “E’ vero le aziende adottano maggiori strumenti antiphishing – precisa Macinante – ma serve fare cultura a tutti i livelli, anche all’interno della fabbrica dove gli ambienti connessi OT hanno un ruolo più strategico. Per il 30% del campione, negli ambienti OT le sfide tecnologiche preoccupano più delle sfide organizzative questo perché gli ambienti OT sono spesso costituiti da apparati obsoleti che richiedono un adeguamento dei livelli di protezione e l’adozione di strumenti che consentano di automatizzare e di mappare gli strumenti connessi”. Per 2022 e 2023 le aziende andranno a focalizzarsi su attività di formazione e il 56%, che lamenta forte carenza in termini di risorse umane, dedicherà risorse alla cybersecurity.
Ma il mercato fotografato dal maturity model – che da 7 anni permette alle aziende di fare un’autovalutazione sia degli ambiti di governance (struttura e processi) sia tecnologici (difesa e detection) – mostra un incremento dell’index composito, basato su un algoritmo, da 64 punti a 73. “Questo miglioramento di 7 punti percentuali, in tutti i settori – dal bancario primo in termini di maturità a PA, Gdo, retail e sanità in passato piu restii – è ancora insufficiente rispetto al livello da raggiungere, che è 100” conclude Macinante, invocando tra le azioni da intraprendere per il 2023 una maggiore protezione dei dati end to end, delle reti in ambienti OT, dell’intera supply chain con audit puntuali dei fornitori, con una impostazione di security by design in qualsiasi processo innovativo. Elementi che contribuiranno alla crescita attesa del +13,4% per il 2023.
Leggi tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2022
© RIPRODUZIONE RISERVATA
