Il furto di informazioni è uno dei fattori più rilevanti nel calcolo del costo della criminalità informatica. Le stime dell’ECIPE per il 2018 prevedono una possibile perdita di 60 miliardi di euro nella crescita economica e quasi 289.000 posti di lavoro nella sola Europa a causa del cyber-furto di segreti commerciali.
Una cosa è certa: il cyber crime e le tipologie di minacce sono in continuo sviluppo, al fine di aggirare le soluzioni realizzate da chi si deve difendere.
Il problema, dunque, riguarda da vicino il business, con un impatto sulle aziende sicuramente negativo: in termini di investimento nell’innovazione, a causa del rischio di appropriazione indebita della propria R & S; a livello di reputazione, le aziende possono subire un deprezzamento sostanziale se la notizia della violazione viene resa pubblica e a questo si aggiunge il valore perso delle relazioni con i clienti, la perdita di contratti e la svalutazione del nome commerciale.
Ma vi possono essere costi anche in termini di opportunità di affari persi o minore produttività, perdita del vantaggio competitivo, perdita di redditività o persino perdita di intere linee di business a vantaggio dei concorrenti.
Indice degli argomenti
Il Cybersecurity Act e la security by design
In questo scenario, il Cybersecurity Act è un nuovo strumento normativo europeo che ha lo scopo di garantire una sicurezza informatica più coesa e collettiva, un Regolamento che mira a creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.
La domanda che allora sorge spontanea è: “questo strumento sarà in grado di supportare il mercato digitale?”.
Secondo Veronica Leonardi, CMO & Investor Relations Manager presso Cyberoo: “l’adozione del Cybersecurity Act rappresenta un importante passo avanti verso la piena attuazione del principio della cosiddetta security by design, ovvero la presa in considerazione della sicurezza informatica dei processi aziendali, a partire dagli stadi iniziali della progettazione dei prodotti ICT”. Infatti, obiettivo principale di Cyberoo, come azienda che si occupa di cyber security, è quello di analizzare le imprese dal punto di vista dei processi e di offrire una serie di tecnologie che possano prevenire e rispondere a determinate problematiche.
“Un aspetto da tenere saldamente in considerazione”, continua Veronica Leonardi, “è il panorama dell’industria in Italia, che è costituito sostanzialmente da PMI, una realtà numericamente molto significativa, che non è in grado di strutturarsi internamente per stare al passo con le esigenze di digital trasformation e di cyber security”.
Tutto questo accade perché il tessuto imprenditoriale italiano si concentra sul proprio core-business, tralasciando questi fondamentali aspetti. Dunque, non solo le aziende di alto profilo, ma anche le PMI sono un obiettivo primario per i cyber attacchi: piccoli fornitori o partner possono essere infatti utilizzati come punto di accesso a tutta la Supply Chain.
Dal Rapporto Clusit 2019 emerge che l’impreparazione è dovuta al fatto che fino ad oggi in Italia sono mancati una visione, una strategia e un commitment commisurati al contesto e rispetto al 2018 il numero degli attacchi gravi dichiarati sono notevolmente aumentati.
Attacchi complessi e soprattutto vulnerabilità zero-day, sono sempre più diffusi per due ragioni fondamentali: da un lato le vittime non sono assolutamente strutturate per difendersi da questa tipologia di attacchi, dall’altro forze dell’ordine e servizi di sicurezza non hanno le risorse sufficienti per presidiare efficacemente questo fronte, considerando che la superficie di attacco potenziale è sostanzialmente infinita.
Furto di informazioni: soluzioni a salvaguardia delle imprese
Il cyber crime, infatti, colpisce le imprese sfruttando molteplici vettori d’azione, valutando il costo-beneficio in termini di monetizzazione.
Veronica Leonardi afferma che l’introduzione di certificazioni applicabili a prodotti e servizi ICT è una soluzione che potrà garantire una maggiore efficienza ed efficacia sotto ogni punto di vista, salvaguardando non solo gli interessi dei cittadini, ma anche delle imprese italiane ed europee. Ciò che ci si domanda è come il Cybersecurity Act verrà applicato una volta che comincerà a funzionare a pieno regime.
Nel momento in cui si riuscissero a trovare le corrette modalità per invitare le aziende a certificarsi sotto i diversi livelli di certificazione, queste si attiverebbero per l’analisi dei propri prodotti e dei propri processi, e dunque dal punto di vista della security by design la possibilità di innovazione aumenterebbe.
La continua ricerca e la messa in discussione dei processi sottostanti allo sviluppo di software con cui vengono attuate le analisi sulla bontà della sicurezza, andrebbero a colmare una serie di gap tecnologici e supporterebbero le imprese a portare migliorie, oltre che portare su tutto il territorio italiano ed estero PMI innovative.
Per le aziende le implicazioni di mercato sono importanti perché possono presentare una dichiarazione di conformità di autocertificazione per il riconoscimento dei loro prodotti in tutti gli Stati membri dell’UE sulla base delle certificazioni nazionali possedute e vedersi riconoscere uno dei tre livelli di affidabilità che corrisponde alla loro capacità di resistere agli attacchi di sicurezza informatica acquisendo un criterio di garanzia, in ambito security, maggiore rispetto ad altri competitor.
“Ci deve essere una linea di congiunzione tra normativa e operatività”, continua Veronica Leonardi. “Noi abbiamo visto da vicino come è stato applicato il GDPR e fino all’ultimo minuto le imprese si sono attivate per paura di essere sanzionate. Education e consapevolezza sono le chiavi essenziali per aiutare le aziende a comprendere al meglio il valore delle certificazioni, il valore dell’essere security, il valore di essere efficienti e innovativi”.
Ultimo, ma non in termini di importanza è il tema legato all’investimento. La cyber security non è a costo zero, ma al contrario è gravosa e rispetto alla tangibilità degli investimenti è poco compresa.
La certificazione e il Regolamento dovrebbero essere accompagnati da un supporto all’investimento per certificare i propri software.
L’articolo è stato realizzato nell’ambito della partnership con CYBEROO per l’evento Cyber Security Summit 2019 organizzato da Cybersecurity360.it e AgendaDigitale.eu