Ecco perché la cybersecurity è una leva potente per svecchiare le nostre PA e Pmi

La minaccia cibernetica in Italia è ancora piuttosto sottovalutata e qualsiasi azienda, pubblica o privata che sia, è al contempo un bersaglio molto attraente per i cyber criminali. Non importa quale sia il business o il servizio offerto:informazioni, dati personali, indirizzi e-mail, know-how, dati sanitari sono vendibili al mercato nero per commettere frodi, per diffondere malware e per mettere in atto altri crimini. Le perdite dovute al cyber crime possono anche ammontare a diversi milioni di euro di danni per ogni singola azienda. Dall’altra parte, i fattori che i criminali informatici valutano prima di sferrare un attacco sono semplicemente la presenza di denaro o di dati importanti da rubare e la facilità nel violare la sicurezza di un obiettivo.

Non sono solamente i danni prodotti dall’attacco in sé, ma sono soprattutto le conseguenze che questi attacchi causano nel lungo periodo acostituire il pericolo maggiore. Assistiamo, infatti, sempre più ad attacchi mirati. Si pensi all’appropriazione dei dati sensibili, alla cancellazione dei dati stessi,al furto di materiale protetto da copyright o allavcifratura dei dati effettuata a fini di estorsione.

Nell’attuale era digitale la sicurezza informatica e il corretto uso del web e dello strumento informatico da parte di ogni singolo cittadino, aziende private e Pubblica Amministrazione, devono necessariamente essere elementi da considerare quali prioritari.

Uno degli aspetti più preoccupanti è che la maggior parte degli attacchi non è ancora rilevata e denunciata e, contemporaneamente, la criminalità informatica si presenta in realtà giorno dopo giorno più forte e diffusa di quanto si possa pensare.

Inoltre,non sempre ci si accorge di avere subito una violazione del proprio sistema e spesso non si sa come proteggersi, credendo erroneamente che le azioni da mettere in atto siano unicamente di tipo tecnico e che siano economicamente impegnative.

La sicurezza non deve essere vista solamente come uno stato finale ma, piuttosto, come il risultato di un processo che coinvolga costantemente e coerentemente tutte le azioni in ambito informatico. Un processo, in sintesi, che possa svilupparsi, evolvere ed attuarsi nel tempo, sulla base delle minacce.

Di recente l’Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia ( UNICRI) ha sviluppato e pubblicato le Linee Guida per la sicurezza informatica nelle PMI . L’esigenza di un quadro di assistenza nell’attuazione di misure di sicurezza informatica che comprenda non solo strumenti tecnici quali antivirus, firewall ecc., ma soprattutto uno schema strategico da attuare per costruire un piano che possa essere sostenibile nel corso del tempo sulla base delle evoluzioni delle minacce ci ha portato a sviluppare uno studio che riguarda in particolar modo le piccole e medie imprese; si tratta di un percorso di studio e di analisi non comune nella reportistica diffusa inerente alla sicurezza informatica.

La prima ricerca sul tema condotta da UNICRI e pubblicata nel 2014 evidenziava un livello molto basso di conoscenza delle minacce informatiche e delle relative contromisure.Il valore aggiunto dell’indagine svolta è stato quello di combinare l’approccio qualitativo delle interviste agli attori coinvolti nel contrasto agli attacchi informatici, con un approccio molto pratico e diretto per far emergere i maggiori rischi e le vulnerabilità per le imprese. Le interviste con i rappresentanti delle istituzioni e le aziende hanno aiutato a chiarire le principali criticità e messo in luce la necessità di adottare una strategia coerente che consentissedi contrastare i crimini informatici in modo efficace.

Dallo scenario presentato inizialmente, e dall’analisi dei gap esistenti, emersi dalla prima ricerca del 2014, è nata l’idea di costruire uno schema di linee guida che potesse essere il più possibile esaustivo, ma al contempo facilmente comprensibile e soprattutto adattabile alle diverse realtà presenti sul nostro territorio.

L’ultima ricerca pubblicata nel 2015 contiene delle linee guida per la sicurezza informatica, che possono essere d’aiuto per colmare i gap emersi durante la precedente indagine. L’aspetto innovativo di tali linee guida è che possono essere modulate ed adottate anche dalla Pubblica Amministrazione e dai singoli cittadini. Aziende leader del settore come Microsoft, IBM, Kaspersky e Fastweb sono state coinvolte per validare le linee guida contenute nello studio.

Come si può notare dallo schema in figura, tra la linee guida vengono proposte, per esempio, indicazioni concrete per la protezione dei dati sensibili oppure indicazioni specifiche per la gestione del cloud. Nella redazione delle linee guida si è dedicata particolare attenzione non solo agli aspetti tecnici ma anche a quelli comportamentali,in quanto la maggior parte delle minacce sfruttano le possibilità offertedall’erro re umano.

L’obiettivo di questi studi è quello di creare una solida cultura della sicurezza informatica attraverso una serie di azioni concrete che coinvolgono aziende private, PA e singoli cittadini. L’obiettivo di UNICRI è quello di continuare a produrre ricerche di qualità su tematiche attuali ed emergenti (quali la sicurezza in ambito start-up e la sicurezza dei big data), con la possibilità di estendere la ricerca ad altri paesi e regioni, rafforzando altresì l’analisi comparata, che attualmente è stata prodotta su uno scenario più generale.

Nel quadro della trasformazione digitale del nostro paese, la PA sta puntando molto sull’informatizzazione per abbattere i costi e migliorare i servizi ai cittadini. Questo innovativo processo non può e non deve assolutamente prescindere dalla sicurezza.

Ad esempio, ospedali e strutture della PA sono sempre più spesso oggetto di attacchi ransomware che mettono in pericolo dati personali e sistemi informatici, costando molto in termini sia economici che di tempo impiegato per il ripristino dell’operatività, per non parlare dei disservizi a cittadini e pazienti.

In un’era dove la competitività viaggia soprattutto sul filo dell’efficienza e della sicurezza in ambito digitale non si possono sottovalutare questi nuovi pericoli. Bisogna anticipare le minacce puntando sulla conoscenza del fenomeno e sulla formazione di tutti i dipendenti e dei singoli cittadini.

In questo periodo UNICRI sta concentrando il suo lavoro nella ricerca di partner finanziatori per la realizzazione di uno studio sulla cyber security nella supplychain e specificamente nel settore health.

I rischi alla sicurezza informatica nel settore health sia pubblico che privato rappresentano oggi una minaccia seria e insidiosa e purtroppo ancora troppo poco considerata. Un’indagine approfondita e strutturata di tipo qualitativo in questo ambito è essenziale per poter mettere in atto valide contromisure.

Questo darà continuità allo studio già pubblicato e permetterà di sviluppare un nuovo framework specifico per il settore health.

Data l’esigenza di investire in formazione, che è l’aspetto primario emerso in tutte le interviste, così come la necessità di far fronte a una ridotta cultura della sicurezza e consapevolezza dei rischi, l’UNICRI è in grado di sviluppare programmi di formazione e campagne di informazione multidisciplinari e dedicati a pubblici diversificati.