“Il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica” di cui si è da poco dotata l’Italia “ha dato impulso a iniziative e azioni per la protezione cibernetica nel settore privato, attraverso un modello di infosharing, che prevede l’adozione di linguaggi strutturati e comuni anche al settore pubblico”. È quanto ha detto Fabio Cappelli, partner EY e responsabile Cybersecurity dell’area mediterranea.
“Il Piano”, ha spiegato l’esperto sentito da Cyber Affairs in occasione dell’evento internazionale Cybertech Europe concluso ieri a Roma, “pone l’accento sull’esigenza di conoscere le vulnerabilità e le minacce cibernetiche, al fine di rendere le reti e i sistemi, in particolare nel caso delle infrastrutture critiche, più resilienti, assicurando, al contempo, l’efficacia del contrasto”. “Tramite il Piano Nazionale” ha continuato Cappelli, “le aziende private potranno beneficiare della condivisione delle spese, collegate a misure di cyber defence, con dicasteri e con il comparto pubblico ed eventualmente tra Paesi per programmi di cooperazione internazionale. Sicuramente”, ha aggiunto, “c’è ancora tanto lavoro da fare: in tal senso, gli indirizzi e le strategie individuate in ambito al nuovo Piano richiedono un ulteriore, significativo sforzo, forse soprattutto da parte di soggetti privati, per declinare ad un maggior livello di dettaglio e di concretezza le metodologie, le entità e i protocolli di comunicazione stabiliti. Questo costituisce senz’altro una delle principali challenge dell’attuale panorama della sicurezza cibernetica per il Sistema Paese”.
In ambito europeo, ha rimarcato il partner di EY, “il triennio 2016-2018 sarà ricordato come svolta per quanto riguarda le tematiche di cyber security e data protection. In pochi anni, l’Ue, sensibilizzata da una sempre più urgente necessità di mitigare i danni dovuti ai crescenti fenomeni di cyber crime, cyber espionage e cyber warfare, ha varato il regolamento Gdpr e la direttiva Nis al fine di affrontare il tema da diverse angolature”. Cappelli ha anche ricordato che “all’interno del Gdpr è stabilito un approccio risk-based che introduce la necessità per le imprese di effettuare un privacy impact assessment, ovvero una valutazione dei rischi per i trattamenti previsti”. Per quanto riguarda la direttiva Nis, Cappelli ha segnalato alcune criticità che potrebbero derivare “da un’eventuale indisponibilità di un processo di risk management ben disegnato e correlato alla value chain, nonché dall’introduzione di meccanismi di information sharing, dove la novità sta creando qualche titubanza nell’attesa di un approccio attuativo”.
Di base, “questo nuovo contesto normativo andrà a impattare in modo considerevole le realtà aziendali sia pubbliche sia private”, ha proseguito Cappelli, “e dovranno servire come volano per un rapido e deciso aumento della cultura della sicurezza informatica in quanto non più problema legato al solo mondo IT ma a tutti gli utenti e stakeholder della nostra società digitale”. L’aspetto normativo, rilevano gli addetti ai lavori, insegue esigenze di sicurezza che si fanno ogni giorno sempre più pressanti. Tra le preoccupazioni maggiori gli esperti fanno spesso riferimento all’aumento esponenziale dell’Internet of things che, pur apportando indubbi vantaggi, incrementa il numero delle vulnerabilità. Si prevede che entro il 2020 saranno connessi a internet più di 50 miliardi di dispositivi, con una crescita esponenziale delle vulnerabilità e dei potenziali punti di attacco. Secondo Cappelli “l’utilizzo dell’IoT porta indubbi benefici, ma la modalità sempre connessa è minacciata dal continuo incremento dei rischi informatici e da una coscienza della sicurezza poco diffusa”.
Secondo il survey annuale di EY (EY Global Information Security Survey) a preoccupare di più, quando si parla di IoT, sono la scarsa consapevolezza del tema dell’information security, la non conoscenza degli asset informatici utilizzati a livello aziendale e l’incapacità di mantenere al sicuro i dispositivi digitali detenuti. Un quarto delle aziende intervistate da EY segnala anche forti difficoltà nel monitoraggio del perimetro dei suoi ecosistemi. A fronte di ciò, secondo Cappelli, è “necessaria una metodologia di analisi dei security risk robusta, agile e di ampio raggio, che aiuti a valutare l’esposizione al rischio delle organizzazioni”.
A ciò si dovrebbe aggiungere anche “l’introduzione di appropriate procedure e verifiche regolari per rendere le società più smart e per far accrescere la consapevolezza dei dipendenti sulle sfide che l’IoT pone all’intera azienda”. Infine, per il partner di EY, “occorre creare meccanismi robusti di risposta agli incidenti e alla crisi, in modo da non farsi trovare impreparati in un mondo in cui le interconnessioni possono ampliare esponenzialmente gli impatti di un singolo incidente.