Reputation Agency | Le persone prima di tutto

Giovedì, 10 Dicembre 2015 17:48

CyberSecurity: un framework nazionale per la sicurezza di aziende e istituzioni

Intervista al Prof. Roberto Baldoni, Direttore del Centro di Ricerca di Cyber Intelligence e Information Security dell'Università Sapienza di Roma

di Claudia di Lorenzi, Direttore Responsabile di Reputation Agency.

Pubblicata sul numero 7/2015 di Reputation Today

Prof. Baldoni, l’aumento della dipendenza dal cyberspazio offre per un verso nuove opportunità ma introduce per l’altro nuove minacce, negli ambiti più diversi. Partiamo da quello dei mercati, nazionali e internazionali: quali rischi si configurano per le imprese?

“Nel momento in cui si aprono al cyberspace e poggiano la loro operatività sul web, le aziende si espongono automaticamente a delle vulnerabilità che possono essere utilizzate da cyber criminali o da altri attori, magari mandati da Stati specifici, con l’intenzione di intrufolarsi dentro i loro sistemi aziendali. Una volta dentro, questi soggetti possono causare il blocco dell’operatività del sistema, il furto dei dati o attività di spionaggio. A volte l’obiettivo è quello di vedere cosa fanno gli operatori e le imprese concorrenti. È chiaro dunque che l’uso del cyberspace è per le aziende una fonte di produttività e di efficienza immensa, ma dall’altra parte le imprese devono essere consapevoli che questi strumenti portano minacce gravi”.

Il rischio economico riguarda anche il mondo della pubblica amministrazione?

“Se consideriamo che le informazioni hanno un valore, la pubblica amministrazione detiene molteplici informazioni riguardo la nostra vita: penso alla sanità, il catasto, le tasse. Avere queste informazioni per una parte terza può essere assolutamente rilevante dal punto di vista economico ma anche strategico. Sapere dove abitano certe persone che all’interno di una nazione hanno ruoli rilevanti, in caso di attacchi può essere un fattore determinante”.

Il Laboratorio che lei guida presso il CINI ha condotto una ricerca sulla cyber security in Italia, condensata in un Libro Bianco. Quali dati sono emersi?

“Il Libro tratta delle sfide inerenti il mondo cyber che un Paese avanzato deve sostenere per poter rimanere nel gruppo dei Paesi avanzati. Nel libro evidenziamo in particolare quindici sfide, non solo tecnologiche ma anche di tipo disciplinare, e alla fine offriamo una serie di raccomandazioni destinate in particolare ai decisori politici, perché ovviamente la scelta fra il rispondere o meno a queste sfide dipende anche dalla volontà politica."

Ci fa un esempio di questi suggerimenti?

“Tra le varie raccomandazioni c’è quella rivolta alla Presidenza del Consiglio dei Ministri, perché raggiunga un controllo diretto e completo delle politiche sul cyberspace e sull’agenda digitale, e delle scelte strategiche del nostro Paese in questo settore. Per quanto riguarda il mondo delle imprese, proponiamo di realizzare a livello italiano – come sta già avvenendo in altri Paesi - un Framework nazionale di sicurezza cibernetica: una lista di cose che le aziende devono fare per proteggersi al meglio possibile, fermo restando che arrivare al rischio zero di subire attacchi è impossibile. Esistono però delle pratiche che possono migliorare le difese, e se tutte queste pratiche vengono adottate da tutte le aziende in tutti i settori, nell’ambito di un quadro di riferimento comune, la questione sicurezza si fa più semplice. Avere un Framework nazionale di riferimento sulla cyber security è fondamentale per un Paese che voglia dirsi evoluto dal punto di vista delle sue difese cibernetiche”.

Concretamente come si procede?

“Facendo riferimento a questo Framework comune, le aziende individuano delle procedure di sicurezza da implementare: si tratta di controlli ad alta, media e bassa priorità che vengono implementati gradualmente. Ovviamente tutto questo ha un costo ma un euro speso in sicurezza è un euro investito per il futuro dell’azienda”.

Che rapporto c’è fra il livello di sicurezza cyber e la prosperità economica di un Paese?

“C’è un legame strettissimo, perché se noi non proteggiamo il nostro cyberspace nessuno verrà ad investire nel nostro Paese. Grandi aziende internazionali non andranno a realizzare business in aree dove manca un sistema appropriato di prevenzione, di due diligence e di early warning, ovvero di analisi approfondita dei pericoli e di allerta precoce. Un sistema che, ad esempio, possa informare rapidamente della presenza di attacchi, spesso mirati su un dato comparto – come quello delle banche, della sanità, o delle telecomunicazioni - e segnalare le contromisure da adottare nel minor tempo possibile. Se si verifica un attacco in una banca è molto probabile che un simile attacco avverrà verso un’altra banca. Un intervento in questa direzione è fondamentale affinché aziende multinazionali possano decidere di investire in Italia: una multinazionale non può permettersi di poggiare una sua installazione sul ventre molle di un Paese negligente dal punto di vista della sicurezza cyber. Se questo accadesse e l’impresa subisse un attacco, allora per mezzo di esso arriverebbero altri attacchi che potrebbero colpire al cuore l’organizzazione”.

Può fare un esempio?

“Immaginiamo un’azienda della galassia delle piccole e medie imprese italiane che conserva tutto il suo know-how d’eccellenza in alcuni file. Se questo know-how viene trafugato allora può accadere che venga costituita una società ad hoc in un’altra parte del mondo che realizza lo stesso prodotto o lo stesso servizio ad un costo che è un decimo di quello italiano. La società italiana esce automaticamente dal mercato, ma con essa se ne va anche un pezzo di PIL italiano. E tutto questo accade spesso all’insaputa delle aziende che vengono derubate”.

Accanto al rischio economico si profila anche un rischio di immagine, particolarmente grave se investe un intero Paese: basti pensare ai casi Assange e Snowden negli Stati Uniti, o allo spionaggio informatico fra Paesi che si dicono alleati.

“Certamente la tutela dell’immagine e della reputazione è fondamentale anche a fini economici, il caso Volkswagen (ribattezzato “dieselgate”, con la truffa sulle emissioni nocive delle auto) mostra la rilevanza economica dell’immagine. È chiaro che un attacco portato al cuore di un Paese con la diffusione in internet di informazioni e documenti secretati crea una sensazione di sfiducia in coloro che vorrebbero investire in quel Paese e che decidono così di non farlo. Questo si traduce chiaramente in un danno economico”.

Ma il mondo cyber è in costante evoluzione: le acquisizioni odierne saranno superate domani, e ai vecchi pericoli se ne aggiungeranno di nuovi. Investire nella ricerca è fondamentale. A che punto siamo in Italia?

“L’Italia spende zero in ricerca, in tutti i settori. È chiaro che nella cyber security la ricerca è l’unica arma che consente di anticipare una minaccia in continua evoluzione. Se vuole restare un Paese avanzato l’Italia deve investire in ricerca”.

logo Reputation Agency footer

Reputation Agency - Nel tuo Nome il tuo Valore


La newsletter

Iscriviti alla newsletter per ricevere gratuitamente la rivista digitale Reputation Today

X

Right Click

No right click