Gabriele Faggioli: “Cybersecurity: mettere a fattor comune le possibilità di investimento e puntare sulla formazione dei giovani”

Home PA Digitale Sicurezza Digitale Gabriele Faggioli: “Cybersecurity: mettere a fattor comune le possibilità di investimento e puntare sulla formazione dei giovani”

Spendiamo poco e abbiamo poche competenze in tema di cybersecurity nelle nostre pubbliche amministrazioni: è una situazione che da sola non spiega l’aumento dei casi di attacchi gravi nel settore pubblico, ma di sicuro ci mostra alcune debolezze su cui è necessario agire tempestivamente. A farlo notare è Gabriele Faggioli, Presidente di Clusit, che commenta i dati del Rapporto Clusit 2023. Affronteremo il tema delle “strategie nazionali sulla Cybersecurity” in un talk a FORUM PA 2023, al Palazzo dei Congressi di Roma, il prossimo 17 maggio

23 Marzo 2023

F

Patrizia Fortunato

Redazione FPA

Foto di Shamin Haky su Unsplash - https://unsplash.com/it/foto/Uhx-gHPpCDg

A livello mondiale, negli ultimi quattro anni, si è registrato un innalzamento della numerosità degli attacchi cyber gravi: 2.489 è il numero degli incidenti rilevati nel 2022, un aumento del 60% rispetto al 2018 (a fronte di un valore assoluto pari a 1.554), con una media mensile di 207. Sono i dati che emergono dal Rapporto Clusit 2023, ufficialmente presentato in apertura del Security Summit, il 14 marzo scorso, da Clusit – Associazione Italiana per la Sicurezza Informatica. In realtà sono enormemente di più gli attacchi gravi andati a buon fine: nelle classifiche Clusit infatti non rientrano gli attacchi senza una rilevanza particolare da un punto di vista del danno che arrecano, come fa notare Gabriele Faggioli, CEO di DIGITAL360 e di P4I – Partners4innovation, e Presidente di Clusit, a cui abbiamo chiesto di commentare i dati relativi agli attacchi al settore pubblico nel nostro paese.

Nel 2022 il settore più attaccato nel nostro paese è stato proprio quello istituzionale e governativo, con una percentuale del 20%, nonostante nell’ultimo periodo ci sia stato un positivo cambio di direzione con l’Agenzia per la Cybersicurezza Nazionale, la Strategia Nazionale di Cybersicurezza e l’attenzione mediatica. Delle “strategie nazionali sulla Cybersecurity” parleremo al FORUM PA 2023 in un talk in programma il 17 maggio al Palazzo dei Congressi di Roma.

Lo scenario italiano segnato da pochi investimenti e poche competenze

Nel 2022 gli attacchi cyber a livello globale segnano una crescita annua del 21% rispetto all’anno precedente, nel mirino soprattutto l’Italia che ha subito un incremento del circa 169%. Significativo è il dato italiano sui casi andati a buon fine, pari al 7,6% degli attacchi globali: un valore molto elevato se si pensa che l’Italia vale il 2% del PIL mondiale; un peso che è quasi quadruplo rispetto a quello dell’economia italiana nel mondo.

Il dato è sicuramente molto preoccupante, segna un cambio radicale di attenzione verso il nostro paese.

“L’Italia – puntualizza Gabriele Faggioli – sconta, da un lato, una carenza di skill importantissima, non soltanto mancano lavoratori pronti per entrare nel mercato della cybersecurity, ma più in generale il Digital Economy and Society Index (DESI) 2022 della Commissione Europea ci piazza agli ultimissimi posti tra i 27 Stati membri dell’UE su diverse tematiche legate alle digital skill delle persone: terzultimi in competenze digitali, quartultimi in competenze avanzate, ultimi laureati in materie STEM”.

“Dall’altra parte, l’Italia spende in cybersecurity poco meno di 2 miliardi di euro l’anno, secondo le stime dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano; in valore assoluto è lo 0,1% del PIL, in crescita di quasi il 20% rispetto all’anno precedente. Al netto del problema inflazionistico dell’anno scorso, c’è un confronto da fare con altri paesi come Francia, Germania, Canada e Giappone che spendono il doppio dell’Italia in percentuale sul PIL, e Gran Bretagna e Stati Uniti che spendono il triplo, sempre in percentuale sul PIL”.

In sintesi, spendiamo poco e abbiamo poche competenze: è una situazione delicata, che non è detto che spieghi l’aumento dei casi, ma di sicuro espone un paese debole. L’Italia è fatta in prevalenza di micro e piccole imprese, studi professionali, realtà pubbliche molto divise, e questo vuol dire che tutti spendono qualcosa, ma piccoli investimenti indipendenti di fatto non garantiscono sicurezza. Faggioli ritiene che “non mettere a fattor comune le possibilità di investimento è gravemente deleterio per la stabilità del paese” ed è per questo assolutamente favorevole alla realizzazione del Polo Strategico Nazionale (PSN), l’infrastruttura cloud ad alta affidabilità pronta ad ospitare entro il 2026 i dati e i servizi critici di almeno 280 PA: un’opportunità per fare economia di scala, di cui l’Italia ha tassativamente bisogno.

Attacchi alle organizzazioni governative e alle pubbliche amministrazioni

Nell’ambito del settore pubblico, tranne in alcuni casi, non si è tenuto conto abbastanza del rischio cyber che stava evolvendo e probabilmente questa è una delle cause per cui, per Faggioli, il settore più attaccato nel nostro paese nel 2022 è quello istituzionale e governativo, con una percentuale del 20%, nonostante nell’ultimo periodo ci sia stato un positivo cambio di direzione soprattutto grazie all’evoluzione istituzionale che ha visto la nascita dell’Agenzia per la Cybersicurezza Nazionale, l’adozione della Strategia Nazionale di Cybersicurezza e l’attenzione mediatica che aiuta a tenere alta l’attenzione sul tema.

Esiste invece una capacità di attacco verso l’Italia di matrice criminale molto importante. La percentuale infatti è del 93% dei casi, in crescita del 150% rispetto al 2021; prevalgono gli attacchi per mezzo di malware, che rappresentano il 53% del totale italiano, un valore che supera di 6 punti percentuali il dato globale; sono invece il 7% gli incidenti classificati come attivismo.

I dati del Rapporto Clusit 2023 mostrano che il cybercrime è l’attività principale degli attacchi indirizzati soprattutto verso il settore pubblico italiano; mentre non sono state rilevate attività di information warfare, cioè attacchi di matrice geopolitica qualificabili come guerra cibernetica. E questo – come sottolinea Faggioli – sta ad indicare che l’Italia subisce degli attacchi anche di matrice geopolitica, ma non mirati a sospendere servizi essenziali, che riesce in qualche modo a contenere. Anche gli attacchi legati al conflitto russo-ucraino, sono stati spesso attacchi contro la pubblica amministrazione di tipo dimostrativo e per questo non entrano nelle statistiche Clusit.

Cyber attacchi in sanità: prevale la tecnica della double extortion

Anche nell’ambito sanitario in Italia si sconta un elemento di debolezza, segnato dalla mancanza di investimenti in cybersecurity. I cyber attacchi realizzati in questo ambito negli ultimi quattro anni sono triplicati: si passa dai 3 del 2018 ai 9 del 2021 e 2022. La principale tecnica di attacco, contro le strutture sanitarie italiane, nel 78% dei casi, è costituita dal malware (e in particolare dai c.d. ransomware). Dunque, non solo è aumentato il numero di attacchi, sono cambiate anche le ragioni dell’attacco: tutte orientate alla raccolta di denaro da parte della criminalità informatica.

La stragrande maggioranza degli attacchi – come fa notare Faggioli – è orientata alla cosiddetta double extortion, ovvero la duplice forma del rendere inutilizzabili i dati mediante cifratura con contemporanea esfiltrazione (furto) da parte degli attaccanti. Si rischia pertanto di subire una richiesta di riscatto a fronte della possibilità di riavere i dati per evitarne la pubblicazione su internet. Ci sono anche tipi diversi di attacchi DDoS (Distributed Denial of Service), che tentano di bloccare la funzionalità di un sito web e che nel nostro paese rappresentano il 4%, in diminuzione dal 2021 come confermato anche dall’analisi Fastweb della situazione italiana in materia di cybercrime contenuta all’interno del Rapporto Clusit. Hanno invece avuto un impatto minore rispetto al resto del mondo gli attacchi di phishing e di ingegneria sociale, pari all’8%, una percentuale comunque ancora rilevante.

Le azioni di cybersecurity

Gli attacchi informatici rivolti a importanti enti pubblici, hanno ulteriormente enfatizzato la centralità delle azioni di cybersecurity. “In sintesi, esiste – sottolinea Faggioli – un tema di necessità: da un lato quello di fare fronte comune, di mettere a fattor comune le tecnologie, di fare investimenti adeguati unendo i budget che si hanno; dall’altra parte serve spingere sulla formazione dei giovani sui temi digitali in senso ampio e poi saper indirizzare gli studenti e soprattutto le studentesse verso un ambito lavorativo dove di fatto sono estremamente poco presenti”.

“Anche la leva normativa è una leva importante che ha aiutato alcuni settori come quello bancario e delle Telco – conclude Faggioli -. In questo periodo c’è anche tutto il tema normativo legato al Regolamento DORA per le banche e a breve arriverà la NIS 2, che aiuterà molti settori di mercato a sviluppare maggiore capacità di difesa”.

Prenota il tuo posto al Talk di FORUM PA 2023 “La PA nel quadro delle strategie nazionali sulla Cybersecurity” (Palazzo dei Congressi di Roma, 17 maggio).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Su questo argomento

Privacy by design e by default nell’era dell’IA: considerazioni utili per la PA del futuro