Al Security Day di Milano, Fortinet coinvolge tutto l’ecosistema per affrontare a 360 gradi il tema della cybersecurity. Parlando ad una platea di circa 700 ospiti non si entra troppo nel dettaglio delle tecnologie ma si cercano soprattutto risposte per affrontare uno scenario delle minacce sempre più insidioso e imprevedibile. Si discute della mancanza di competenze specifiche sulla sicurezza, originata da una scarsissima educazione digitale, e della necessità di formare un fronte comune che crei cultura a tutti i livelli, a partire dalla scuola. Nel dibattito, entra ricorrente anche il tema dell’artificial intelligence come leva per fronteggiare il cybercrime ma anche un potenziale elemento di rischio se mal gestita.
Minacce cibernetiche
Il 2022 è stato un ennesimo anno nero per la cybersecurity, in particolare per l’Italia che è chiaramente nel mirino. Ce ne parla in una tavola rotonda Massimo Palermo, country manager di Fortinet partendo da alcuni dati di scenario. Nel 2022 nel nostro Paese gli attacchi rilevati (la punta dell’iceberg) e andati a segno sono cresciuti +169% mentre quelli con finalità di cybercrime sono cresciuti del +150%, pari al 93% dei casi contro una media mondiale dell’82%. Lo scorso anno, l’Italia è stata vittima del 7,6% degli attacchi globali, contro il 3,4% del 2021. I dati sono quelli del Clusit, i cui trend convergono con quanto riportato nella Relazione annuale di intelligence presentata al Parlamento e con quelli dell’ultimo report semestrale elaborato dai FortiGuard Labs, laboratori che dispongono di un ampio archivio di vulnerabilità raccogliendo dati da oltre 10 milioni di apparati (il 50% della quota di mercato globale di Next Generation Firewall). “I nostri studi rilevano che, insieme all’aumento della superficie di attacco legato alla crescente digitalizzazione delle infrastrutture critiche, anche il cybercrime cambia volto, con competenze in vendita sul Dark Web che democratizzano la possibilità di sferrare gli attacchi e abbassano notevolmente l’asticella sulla sicurezza” spiega Palermo, e aggiunge: “Il 2022 è stato anche l’anno del ransomware (il 67% delle imprese ha rivelato di avere avuto almeno un attacco di questo tipo) e prevediamo che il fenomeno non si arresti con il crescente dilagare del Ransomware as a Service dove l’industrializzazione e la ripetitività a basso costo segna la strada al Crime as a Service“.
Al fianco del cybercrime che adotta tattiche Apt per sviluppare e scalare attacchi più velocemente, persistono vecchie minacce, a fronte di una “fragilità intrinseca” legata ad una soglia di attenzione ancora bassa da parte degli utenti, spiega Palermo: “Abbiamo ormai capito che la tecnologia non basta e che il fattore umano è sempre critico. L’80% delle violazioni di cybersicurezza è riconducibile a utenti maldestri, disattenti o non sufficientemente preparati. C’è un problema di attenzione, consapevolezza e preparazione a livello umano”. Basti pensare che 123456 è la password più usata in Italia nel 2022.
Si sottolinea l’importanza di un nuovo approccio alla sicurezza che preveda la forte collaborazione con l’ecosistema attraverso soluzioni aperte per formare un fronte comune. “Il 75% delle grandi aziende che hanno un numero elevato di soluzioni stanno attivamente perseguendo una strategia di vendor consolidation, adottando 3-4 piattaforme, un approccio che paga”, sottolinea Palermo. La piattaforma Fortinet Security Fabric integrata e automatizzata è lo strumento che l’azienda propone per ridurre la complessità e favorire l’interoperabilità.
Una strategia di semplificazione dei processi per ridurre i rischi cyber è oggi il modello adottato non solo dalle grandi organizzazioni ma da aziende di ogni dimensione e settore. Ne porta una testimonianza Filippo Minini, IT manager de La Piadineria dimostrando come l’artigianalità possa sposarsi con la digitalizzazione e la sicurezza. “La nostra azienda gestisce 350 ristoranti e cresce al ritmo di un nuovo punto vendita a settimana, con un team che conta oggi 2.200 dipendenti. Produciamo 20 milioni di piadine all’anno; un prodotto artigianale ma dai processi industriali. La nostra rete cominciava ad essere sempre più complessa e utilizzare Fortinet ci ha aiutato a ottimizzare tutte le operazioni. Potevamo andare su altre scelte, ma sarebbero venute meno la semplicità e la quantità di risoluzione dei problemi, grazie ai due filoni – sicurezza e tecnologia – che parlano tra loro”.
Focus sul gap di competenze
Oltre alle tecnologie, servono procedure per il presidio dei dati e delle infrastrutture più sensibili e un controllo sull’artificial intelligence. Perché l’AI di ChatGpt è ad esempio uno strumento molto efficace di analisi dei dati ma può al contempo rappresentare una minaccia se messa al servizio del cybercrime. “Puntiamo sull’AI come scommessa perché stiamo andando verso la singolarità tecnologica, un’era in cui l’uomo non sarà più in grado di comprendere la tecnologia e di gestirla”, interviene Alessandro Curioni, presidente DI.GI. Academy, mettendo al tappeto una serie di criticità da affrontare legate alla sicurezza. Come il fatto che “non abbiamo player in grado di competere con Usa e Cina” e che “il peso dell’Europa nel contesto globale è prossimo allo zero” con la Ue cerca di “normare la sovranità digitale per elevare il livello di sicurezza”.
Altro tema chiave sono le competenze. In Italia, infatti, mancano 100mila esperti di cybersecurity (lo ha dichiarato da Roberto Baldoni, capo dell’Agenzia Nazionale di Cyber Security), e le ricerche di questi profili stanno esplodendo. “Non abbiamo creato cultura e nella scuola manca l’educazione digitale – afferma Curioni -. Inoltre, la cybersecurity è oggi una materia complessa e articolata, fatta di un buon numero di specialità che stanno aumentando e il progressivo impegno delle università non basta. Perché tutti avanzano in ordine sparso e siamo in assenza di un quadro di riferimento delle professionalità e ancora meno dell’indicazione di quali, per ognuna di esse, debbano essere le competenze necessarie da acquisire”. Trovare quei 100mila profili mancanti sembra pertanto impossibile, almeno in un prossimo futuro, incalza Curioni, poiché “sulla base degli elementi di calcolo oggi disponibili, avremo risolto il problema probabilmente attorno al 2038, e tale data, oggettivamente lontana, potrebbe rivelarsi persino ottimistica perché i nostri diplomati e laureati saranno nel frattempo attratti dalle sirene straniere”.
Interviene per controbilanciare questa visione pessimista Gennaro Boggia, professore e direttore del Dipartimento di Ingegneria Elettrica e dell’Informazione del Politecnico di Bari, confermando l’evidente mancanza di risorse sottolineando però come sulla formazione le università siano già pronte e distribuite. “Il sistema educativo nazionale è in movimento – dichiara –; tutte le accademie si stanno attrezzando per la formazione sulla cybersecurity immaginando quello che verrà “. Dal canto suo, il Politecnico di Bari ha avviato alcuni anni fa lo sviluppo di percorsi dedicati per una formazione specifica sulle tematiche della sicurezza informatica nell’ambito dei propri corsi di Laurea Magistrale di Ingegneria delle Telecomunicazioni e di Ingegneria Informatica. E per consentire di acquisire competenze sperimentando le tecnologie più moderne, i percorsi si integrano con il Fortinet Academic Partner Program e i relativi corsi per ottenere le certificazioni Nse. “Grazie a queste strategie, oggi il Politecnico di Bari rappresenta un’eccezione nel panorama del Sud – sottolinea Boggia -. Sono 1.000 le nostre matricole ogni anno, con il 70% degli studenti che restano poi in Puglia, dove si è creato un ecosistema virtuoso con le aziende sul territorio”.
La necessità di passare ai fatti in termini di education facendo divulgazione, la sottolinea anche Cesare Radaelli, senior channel director Italy&Malta di Fortinet che sulla base di stime aziendali conferma una carenza di competenze di sicurezza informatica per il 68% delle aziende. “Difficile è anche mantenerle queste competenze – spiega -, perché il capitale umano è altamente volatile. Servono skill profondi sulla tecnologia e un focus sulla sostenibilità che vive di pari passo con la cybersecurity e ha scalato le vette dei board”. Anche Fortinet vuole dare il proprio contributo formando professionalità sul mercato. Sono 1 milione le persone formate ad oggi sul mercato, con l’obiettivo di arrivare a 2 milioni nel 2026, con 220mila già skillate.
© RIPRODUZIONE RISERVATA
