Il perimetro della cyber security e i rischi della crisi pandemica: i punti chiave - Cyber Security 360

L'APPROFONDIMENTO

Il perimetro della cyber security e i rischi della crisi pandemica: i punti chiave

Il ritardo nell’attuazione del Perimetro Nazionale della cyber security va considerato come una grave emergenza non secondaria rispetto al coronavirus che sta già indebolendo le difese delle aziende e delle istituzioni: restare indietro significa rendere le infrastrutture, il sistema produttivo e le nostre istituzioni più vulnerabili ad attacchi cyber. Ecco i punti chiave

19 Nov 2020
D
Mario Dal Co

Economista e manager, già direttore dell’Agenzia per l’innovazione


Il decreto del Presidente del Consiglio dei ministri (DPCM) 30 luglio 2020, n. 131, pubblicato in Gazzetta Ufficiale lo scorso 21 ottobre dà attuazione, in ritardo rispetto alle previsioni della norma istitutiva, a parte delle prescrizioni imposte dal Decreto-legge 21 settembre 2019, n. 105 che contiene le disposizioni urgenti in materia di Perimetro di Sicurezza Nazionale Cibernetica. Il perimetro della cyber security identifica attività e servizi pubblici e privati il cui “mantenimento… è fondamentale per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

Dopo aver ricevuto il via libera a livello europeo, il processo di identificazione dei soggetti titolari delle attività che rientrano nel perimetro della cyber security, viene avviato con il decreto divenuto operativo dal 5 novembre.

Le aree del perimetro della cyber security

Vi sono dieci aree individuate, al cui interno si collocano i soggetti che rientreranno nella lista segreta che sarà contenuta nel perimetro della cyber security (si stimano 150 soggetti):

  1. interno;
  2. difesa;
  3. spazio e aerospazio;
  4. energia;
  5. telecomunicazioni;
  6. economia e finanza;
  7. trasporti;
  8. servizi digitali;
  9. tecnologie critiche;
  10. enti previdenziali/lavoro.

È evidente che la pretesa di segretezza che dovrebbe caratterizzare la lista non ha molto senso. Quanti possono essere gli enti o le società che rientrano nel punto 10? E soprattutto, essendo che il grosso delle attività previdenziali è fatto dall’INPS, che protezione offre all’INPS mantenerne segreta la presenza nella lista?

Le aree mancanti nel perimetro della cyber security

Vi sono anche alcune aree mancanti, ad esempio ambiente e sanità. Perché mancano?

Per la sanità si potrebbe pensare che, essendo sottoposta allo stressante impegno contro la pandemia, vi sia una considerazione di opportunità “temporale”. In altre parole, non è il momento.

Non così per l’ambiente.

Ma le due aree indicate condividono la condizione di sussidiarietà confusa delle responsabilità tra Stato e Regioni. Quelle del Titolo V della Costituzione, che ha sollevato, prima del conflitto quotidiano sui provvedimenti contro la pandemia, un diluvio di conflitti di competenza davanti alla Corte costituzionale.

È questo il vero motivo della loro assenza.

La mancanza di omogeneità dei sistemi informativi della sanità, non solo tra Regioni, ma dentro alla stessa Regione, per non parlare di quelli relativi alla gestione dei rifiuti, ha imposto al legislatore un prudente rinvio.

Ma la prudenza di chi è impreparato è esiziale tanto quanto l’imprudenza di chi è preparato.

Sarebbe meglio essere preparati, tempestivi e prudenti.

Le incertezze sulla lista dei soggetti che rientrano nel perimetro

È recente l’effrazione dei sistemi informativi di Luxottica, azienda leader mondiale nella produzione di occhiali. Spionaggio industriale?

No, Luxottica intrattiene con i clienti attività di servizio, con interazioni che si configurano come servizi alla salute.

Quindi, la violazione del database, che ha coinvolto poco meno di un milione di clienti, riguarda non solo dati anagrafici, ma anche dati sensibili relativi alla salute, nonché quelli sulle carte di credito e via dicendo.

Luxottica, quindi, potrebbe entrare a pieno titolo nei soggetti del perimetro. Dove? Nell’area economia e finanza, nei servizi digitali? Con quale priorità?

WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

Il lavoro di stesura della lista del perimetro digitale potrebbe rivelarsi più complicato del previsto. Più lunga la lista, più lenta e incerta la compilazione.

Ce lo possiamo permettere?

La pandemia ha reso più fragile la difesa contro gli attacchi: mancano competenze, risorse, c’è più confusione, il lato esposto è più ampio, se vale l’adagio che il lato debole della cyber security è l’uomo alla tastiera: oggi molti lavorano da tastiere caserecce.

Coronavirus e vulnerabilità

Cisco ha registrato un aumento della popolarità dei termini correlati alla pandemia: pandemic, Covid, Corona. A febbraio 2020 Cisco-Talos ha indagato sulle e-mail contenenti quelle parole chiave. Cominciavano a manifestarsi con frequenza.

Ma già a marzo, con l’avvio del telelavoro, erano salite al 20% del totale. A quella data i ricercatori di Cisco-Umbrella (19 marzo) trovano che i clienti Enterprise si connettevano a 47 mila domini contenenti la parola “covid” o “corona”: di questi il 4% sono stati bloccati come malevoli.

A maggio (solo due mesi più tardi) il numero è aumentato a 71 mila domini, di cui il 34% sono stati bloccati come malevoli.

La pandemia offre opportunità insperate a coloro che intendono sfruttare le smagliature organizzative, la scarsità di risorse, la confusione organizzativa prodotte dalla pandemia, per portare avanti i propri attacchi informatici.

Dal sondaggio Cisco eseguito durante la prima fase della pandemia, risulta che in Italia il 30% delle aziende intervistate dichiara di aver subito una effrazione dovuta a vulnerabilità non corrette.

Le criticità per la compliance in fase di pandemia

CIRA, l’Autorità canadese per la registrazione di internet, ha registrato un aumento del 39% degli attacchi durante la prima fase della pandemia, diretti contro clienti della sanità. Inoltre, gli intervistati lamentano una riduzione delle risorse necessarie per fronteggiare gli attacchi.

Nel frattempo, la normativa richiede sempre maggiori adempimenti e questo porta ad una situazione di stress nel settore della difesa dagli attacchi, che potrebbe riguardare anche il nostro Paese. Tre intervistati su dieci rispondono di aver subito più attacchi durante la pandemia rispetto a prima.

Questo stress sta già evidenziando i suoi effetti negativi: sempre secondo l’indagine di CIRA, le organizzazioni stanno dimostrando affaticamento dal punto di vista della compliance: la disponibilità a comunicare alle autorità le effrazioni cyber subite sta diminuendo.

Solo il 36% delle organizzazioni ha informato il regolatore dopo l’effrazione, una riduzione di 20 punti rispetto al 2019.

Sul versante dei clienti l’effetto è minore, segno di una insofferenza più accentuata contro il “martello” del regolatore: nel 2020 il 44% delle organizzazioni ha comunicato l’effrazione ai clienti, contro il 48% del 2019. Un calo assai più contenuto.

Il futuro incerto della finanza

È sempre il settore finanziario quello più aggredito, anche se l’impatto del ransomware contro ospedali e aziende sanitarie suona particolarmente odioso.

Nella finanza si stanno delineando sviluppi importanti, che la crisi del P2P, gli investimenti ad alto rischio via internet, non deve impedirci di leggere con attenzione in prospettiva.

Il 5 novembre avrebbe dovuto svolgersi la quotazione iniziale (IPO) di Ant, la fintech di Alibaba. Ma il regolatore ha bloccato questo collocamento.

Il regolatore è la Borsa di Shanghai, dove avrebbe dovuto avvenire parte della sottoscrizione per un controvalore totale atteso di 34 miliardi dollari; l’altra metà avrebbe dovuto avvenire a Hong Kong.

Motivo?

Il motivo per il congelamento della colossale offerta iniziale di sottoscrizione, che avrebbe dato uno smalto e un’autorevolezza sconosciuti alla piazza di Shanghai, e quindi al governo cinese, sta nel timore che il regolatore ha provato di fronte all’impulso che Ant avrebbe dato ad una concezione nuova del credito. Il regolatore, come tutti i regolatori, riflette anche le preoccupazioni delle banche cinesi, largamente sotto controllo pubblico.

Il regolatore è avverso al rischio, per definizione, e poiché l’innovazione è portato della capacità di assumere rischi, il regolatore è sempre contrario all’innovazione.

Il prospetto informativo dell’IPO non sarebbe, secondo la Borsa di Shanghai, rappresentativo della realtà, stante le decisioni che il regolatore sta per prendere in materia di finanza on line.

Jack Ma, il fondatore di Alibaba aveva sfidato, in un coraggioso e visionario intervento al Summit finanziario di Shanghai il 24 ottobre, non solo il regolatore cinese, ma l’intera comunità finanziaria internazionale.

Aveva citato prudentemente due volte Xi Jinping, cercando di portarlo dal suo lato, quello dell’innovazione del credito. Non è bastato. Forse questo intervento gli costerà caro, ma vogliamo ricordare le parole che ha usato in quel contesto:

“Una buona innovazione non ha paura della regolamentazione, ma ha paura di essere sottoposta al modo di regolamentare di ieri. Non possiamo usare il modo di gestire una stazione ferroviaria per gestire un aeroporto. Non possiamo usare il modo di ieri per gestire il futuro.

Conclusioni

Il ritardo nell’attuazione del Perimetro Nazionale della Cybersecurity non deve essere considerato un fatto “fisiologico”, dovuto alla tradizionale inefficienza attuativa della pubblica amministrazione italiana.

Va considerato come una grave emergenza, non secondaria rispetto al coronavirus, perché il coronavirus sta indebolendo le difese delle aziende e delle istituzioni, in un momento in cui esse sono più esposte proprio per lo stress organizzativo, finanziario e di risorse umane che stanno attraversando.

Abbiamo bisogno di più risorse umane qualificate in un progetto essenziale come la messa in sicurezza del Perimetro cyber.

Se restiamo indietro diventeremo il ventre molle, quello dove più facile sarà condurre attacchi al nostro alle infrastrutture, al sistema produttivo e alle nostre istituzioni.

Le risorse ci sono, meno sussidi e più lavoro qualificato: è lo slogan appropriato.

WEBINAR
Vantaggi di business dei Data Center 100% sostenibili
Datacenter
Trade

@RIPRODUZIONE RISERVATA

Articolo 1 di 5