Il conflitto russo-ucraino sta avendo importanti ripercussioni sui temi della sicurezza informatica, come emerso dai numerosi episodi che hanno riempito le cronache nell’ultimo mese, tra hackeraggi, ransomware, attacchi DDoS e campagne di phishing collegate al tema della guerra. Se ne è parlato anche lo scorso 9 e 10 marzo, durante la decima edizione del Cybersecurity Summit organizzato da The Innovation Group a Milano. Il livello di allerta è elevato, a causa del protrarsi di una situazione in cui gli attacchi informatici continuano a crescere e del rischio di spillover, cioè di contaminazione generale, a partire dalle azioni delle armate cyber di Russia e Ucraina. In questo scenario più parti sottolineano la necessità di ripensare alle fondamenta il paradigma della cybersecurity, per renderla rispondente alle sfide di oggi e a quelle di domani.
Secondo Ivano Gabrielli, direttore del servizio di Polizia Postale e delle Comunicazioni, il momento è molto critico e si ha evidenza di attacchi intensi, iniziati in realtà anche prima del conflitto. “Al di là di quello che si legge su schieramenti di sigle già note, c’è una situazione non dichiarata che produce danni consistenti e che sta richiedendo una risposta molto attenta da parte di chi si occupa di sicurezza”, ha detto Gabrielli. “Non è un caso che vi siano quotidianamente bollettini di awareness pubblicati dalle principali agenzie di intelligence. Servirà poi fare un’analisi approfondita per comprendere meglio uno scenario che in passato era stato solo teorizzato e che ora vediamo alla prova dei fatti. Uno scenario connotato dal fatto di avere poca ribalta pubblica e di puntare più alla sostanza che non ai proclami”.
Ivano Gabrielli, direttore del servizio di Polizia Postale e delle Comunicazioni
“Viviamo in tempi di guerra, e il dominio cibernetico è di estrema attualità”, ha dichiarato Giorgio Mulè, sottosegretario con delega alla sicurezza del Ministero della Difesa. “C’è una guerra parallela, che si sta combattendo non ai confini ma all’interno dei Paesi, con attacchi che viaggiano in tutte le direzioni, con gruppi che stanno dalla parte dei russi, degli ucraini o che si definiscono neutrali. Sono attacchi gravi quanto quelli fisici, che si nutrono di fake news e che hanno effetti dannosi confrontabili con quelli degli strumenti normali”.
Lo scenario della Pubblica Amministrazione
L’esigenza di una maggiore sicurezza dei dati e servizi della Pubblica Amministrazione italiana precede, però, gli eventi della cyberguerra in corso. Il Piano Nazionale di Ripresa e Resilienza prevede la creazione di un’infrastruttura innovativa per abilitare e accelerare il processo di migrazione verso il cloud dei servizi e dei dati delle Pubblica Amministrazione centrale e locale, il cosiddetto Polo Strategico Nazionale (Psn). Il Psn ha quindi l’obiettivo di supportare le amministrazioni in un processo trasformativo, qualificandosi come un operatore in grado di offrire i più elevati standard di sicurezza per il trattamento di dati e servizi critici e strategici per il Paese.
“La trasformazione digitale nella pubblica amministrazione è tra i principali obiettivi del Pnrr”, ha spiegato Mulè . “La prima missione del piano punta ad accompagnare le amministrazioni in questo passaggio verso soluzioni cloud, come definito nella strategia Cloud Italia. Oggi abbiamo davanti a noi tre grandi sfide. La prima è quella di assicurare l’autonomia tecnologica, un sovranismo resiliente e tecnologico che deve fare da perimetro a ciò che costituisce lo Stato, cioè territorio, popolo e sovranità. Il secondo aspetto è la garanzia sul controllo dei dati, il terzo è l’aumento della resilienza dei servizi digitali. In coerenza con questi obiettivi, il Pnrr mette a disposizione 623 milioni di euro per la cybersecurity nelle Pubblica Amministrazione, e si rivolge a quel 75% delle PA che deve migrare appunto ad ambienti cloud, entro cui i dati di ciascuno possano essere custoditi in sicurezza”.
Giorgio Mulè, sottosegretario con delega alla sicurezza del Ministero della Difesa
Il bene della cybersecurity è di tutti, è universale, deve quindi essere lo Stato a garantirne l’integrità, mentre i privati possono contribuire a costruire il valore di questo asset strategico, che sarà poi anche a disposizione per un loro utilizzo quotidiano. Quello che stiamo imparando in questi giorni di conflitto è anche che bisogna oggi porre maggiore attenzione ai fornitori, soprattutto niclaquelli esteri, cosa che non è stata fatta a sufficienza in passato. “Servono partner valoriali”, ha proseguito il sottosegretario, “che abbiano gli stessi valori in cui ci riconosciamo. Il trust che si deve creare con questi fornitori privati non può prescindere da una sovrapposizione di valori che rappresentano la constituency delle stesse imprese”.
Gli attacchi cyber purtroppo non sono azzerabili, bisogna quindi avere il coraggio di riconoscere dove c’è un ritardo e correre ai ripari. Non esistono reti impenetrabili: il nostro compito è quindi rendere difficile la vita a chi ci attacca. “Una parola è paradigmatica rispetto a tutto è competenza”, ha detto Mulè, “un aspetto su cui abbiamo un colpevole ritardo. Quindi, i fondi vanno utilizzati per costruire questa expertise che ancora manca”.
“I fondi del Pnrr rischiano di essere una goccia nel mare di quello che serve nella Pubblica Amministrazione”, ha sottolineato Giovanni Ciminari, head of cyber defence di Sogei, “ma in realtà potrebbero aiutare ad avviare programmi di grande valore: sono usciti i primi bandi per utilizzare questi fondi e come Sogei vediamo un forte interesse nelle PA”.
Giovanni Ciminari, head of cyber defence di Sogei
Il rischio potrebbe essere però che ci si muova in ordine sparso, senza creare le sinergie che invece servirebbero per ottenere maggiore efficacia. Nonostante le minacce e la complessità della cybersecurity siano simili nel pubblico o nel privato, la PA presenta il delle peculiarità dal punto di vista dei rischi, perché gli enti pubblici gestiscono grandi molti di dati personali dei cittadini, anagrafici, fiscali, sanitari. Informazioni molto critiche, che andrebbero protette con standard di sicurezza particolarmente elevati. Inoltre, le PA hanno il compito di utilizzare nel modo migliore le risorse pubbliche, e hanno quindi dei vincoli nelle procedure di acquisto che il mondo privato non conosce, restrizioni che comportano tempi molto lunghi negli investimenti in cybersecurity, un aspetto che comporta problematiche qualora le misure di difesa cyber richiedano reazioni veloci.
L’agenda 2022 del responsabile della cybersecurity
Quali saranno le priorità dei chief security officer quest’anno? Dalle discussioni del Cybersecurity Summit 2022 è emersa l’importanza di “fare sistema” per elevare una resilienza che oggi non può più essere circoscritta alla singola organizzazione, bensì dev’essere necessariamente comune. “La cybersecurity non può essere un esercizio fine a sé stesso, della singola organizzazione”, ha detto Simone Pezzoli, group Ciso di Autostrade per l’Italia. “Non esiste un soggetto unico che possa risolvere tutti i problemi. C’è invece un ecosistema di interazioni e di partnership, con vendor e con le società terze, con gli altri Ciso italiani, con organismi pubblici, che aiuta a impostare meccanismi virtuosi di scambio di informazioni sempre più tempestive, fondamentale per una corretta postura di sicurezza soprattutto in momenti come questo caratterizzati da una situazione molto critica a livello geopolitico”.
Simone Pezzoli, group Ciso di Autostrade per l’Italia
Vero fattore differenziante sta quindi diventando per le aziende il fatto di poter disporre delle informazioni corrette in modo molto veloce. Lo ha ribadito Corradino Corradi, head of Ict security & fraud management di Vodafone: “Oggi servono iniziative di sistema per elevare la resilienza comune: con la Polizia Postale noi collaboriamo attivamente per contrastare e prevenire i crimini informatici che colpiscono reti e sistemi informativi”.
Corradino Corradi, head of Ict security & fraud management di Vodafone
Il secondo imperativo è oggi (per i responsabili della cybersecurity ma anche per tutti noi) elevare la cultura della sicurezza in Italia. “Oggi è fondamentale colmare un divario digitale molto forte nel nostro Paese”, ha dichiarato Petra Chistè, responsabile sicurezza informatica & data protection di Volksbank. “Non ci stiamo preoccupando abbastanza di sottolineare, anche nell’educazione dei nostri figli, quali siano i rischi della sicurezza informatica. Noi come banca abbiamo lanciato l’iniziativa Capture the flag, una competizione aperta a ragazzi tra i 12 e i 20 anni, mirata a diffondere la conoscenza sul tema delle identità digitali”.
Petra Chistè, responsabile sicurezza informatica & data protection di Volksbank
Resta va