“A circa un anno dalla presentazione del Framework Nazionale per la Cybersecurity, il Centro di ricerca di cyber intelligence e information security della Sapienza (CIS-Sapienza) ha tirato le somme, approfittando dell’enorme numero di esperti, stakeholder e ricercatori riuniti a Venezia” per la conferenza italiana sulla sicurezza informatica ITASEC2017, in corso fino a oggi 20 gennaio. A scriverlo in un articolo è Luca Montanari, ricercatore del CIS-Sapienza diretto dal professor Roberto Baldoni.
“I diversi esperti che il CIS, supportato dal Laboratorio Nazionale di Cybersecurity del CINI, ha invitato, si sono susseguiti nel presentare le loro esperienze di utilizzo durante questi 12 mesi. Quello che ne è venuto fuori è che, nel panorama estremamente impreparato e a corto di finanziamenti pubblici dedicati, costituito dall’impresa e la PA italiana, le aziende che si occupano di consulenza di sicurezza, hanno adottato a pieno lo strumento e ne stanno traendo i massimi benefici”, dice Montanari.
Il Framework, pubblicato il 4 febbraio 2016, prosegue l’analisi, “rappresenta un linguaggio comune in grado di agevolare, se non di permettere, il dialogo tra attori diametralmente opposti, siano questi all’interno dell’organigramma delle imprese o delle pubbliche amministrazioni (ad esempio tecnici e dirigenti), sia organizzazioni vere e proprie in corso di collaborazione o di appalti di fornitura”.
In un anno, racconta il ricercatore, “sono state diverse le aziende, tra piccole medie e grandi, che hanno manifestato interesse all’utilizzo e che effettivamente hanno iniziato a utilizzarlo, ma il numero è decisamente ancora insufficiente. Nonostante i diversi riconoscimenti nazionali e internazionali che il Framework ha ottenuto (se ne parla in seguito), il processo di adozione e di permeazione nel mondo dell’impresa e della PA è estremamente lento. La lentezza è dovuta a un paio di fattori, il primo è la mancanza di consapevolezza, awareness, del rischio che si corre; il secondo, neanche a dirlo, è rappresentato dai soliti soldi, i costi della sicurezza, estremamente certi a fronte di rischi incerti. Incerti sì, ma sempre più probabili”.
Entrambi questi fattori, continua Montanari, “vengono schiaffeggiati in questi giorni, il primo dallo scandalo causato dal malware Eye Pyramid, a quanto pare un malware semplice, maldestro ed errato, ma efficace quanto basta per svegliare un po’ tutti, di nuovo, e sottrarre dati critici per la Nazione. Il secondo fattore dagli attacchi DDoS di nuova generazione (es. quello basato sul malware Mirai condotto contro DynDNS), di potenza tale da bloccare quasi tutta una nazione enorme per ore. Cosa succederebbe se questi DDoS spostassero la mira verso asset strategici, ad esempio, nelle transazioni economiche? Si perderebbero milioni in poche ore”.
