Fiducia digitale, collaborazione, responsabilità condivisa. Sono questi i valori su cui puntare a detta di Axis Communications, società focalizzata su sistemi di videosorveglianza e controllo degli accessi e software di analisi video. All’”Axis Cybersecurity Summit” 2023 dello scorso 8 giugno a Milano è stato sottolineato come la sicurezza informatica sia oggi un processo che riguarda tutti gli stakeholder, ciascuno dei quali è chiamato a fare la propria parte per minimizzare i rischi connessi alle minacce cyber di oggi e di domani. Dalla presentazione di esperienze autorevoli e di dati recenti è emersa con chiarezza la necessità di approcciarsi alla cybersecurity con una responsabilità condivisa e con trasparenza.
“L’evento italiano”, ha detto Matteo Scomegna, regional director per il Sud Europa di Axis, in occasione del summit, “ha chiuso un ciclo di incontri organizzati in tutto il Sud Europa, che ha preso il via a Parigi lo scorso giugno: l’obiettivo è ragionare tra addetti ai lavori e fare sensibilizzazione su una tematica attuale, ma complessa, quale appunto la cybersecurity nei sistemi di sicurezza fisici. È un tema di grande attualità, ma complesso e in continuo divenire, a cui si aggiunge oggi la sfida delle nuove regole europee”.
Lavorare insieme aiuta a ridurre i rischi
“Per questo motivo”, ha proseguito Scomegna, “abbiamo messo intorno a tavolo diversi attori del nostro ecosistema: utenti finali, associazioni, system integrator e partner tecnologici. Senza dimenticare la nostra importante collaborazione con Microsoft, attiva fin dalla fondazione di Axis, per cui i sistemi operativi Microsoft rilevano in automatico le nostre telecamere. Poche settimane fa abbiamo comunicato che le telecamere Axis sono interconnesse con la piattaforma Azure e possono quindi sfruttare una potenza di calcolo combinata con le applicazioni AI in cloud, una nuova opportunità per gli utenti. Per far questo è fondamentale una strategia chiara e trasparente sulla cybersecurity, che basiamo su concetti secure by default, per cui si parte dalla progettazione dei device fino alla sua installazione”.
Oggi i dispositivi connessi in rete sono molto di più rispetto al passato ma i rischi non sono nuovi. Il fattore tempo è da tenere in altissima considerazione, e questo si riflette per Axis in tre aspetti: il tempo necessario per individuare e comunicare le vulnerabilità; quello impiegato per generare nuovo firmware; l’esigenza di rapidità nell’aggiornamento del nuovo firmware sulla rete.
Matteo Scomegna, regional director per il Sud Europa di Axis
Preoccupazione crescente per i rischi di cybersecurity
“Nel 2021 il costo globale del cybercrime ha raggiunto i 6.000 miliardi di dollari a livello globale: è la terza più grande economia dopo quella USA e quella cinese”, ha detto Sofia Zhou, solution knowledge manager di Axis. “Entro il 2025, però, questo costo è previsto salire a 10,5 trilioni di dollari. Sono molti soldi, è chiaro che gli attaccanti sono ben motivati. Si tratta di un problema reale, dobbiamo essere pronti ad affrontarlo”.
Da uno studio di Axis Communications e ThoughLab, che ha coinvolto 1.200 aziende a livello globale, sono emersi i trend che spiegano questo momento e l’importanza della cybersecurity.
• Tutti stanno andando verso il digitale
• I modelli lavorativi diventano smart e incrementano i rischi
• Le organizzazioni si stanno trasformando in ecosistemi, abbiamo la Platform economy, che fa sì che siamo tutti sempre più legati e dipendenti dai nostri fornitori e partner, per cui il rischio cyber diventa veramente importante
• Il mondo fisico e digitale collidono
• Il contesto regolamentare è sempre più complesso.
Investire in formazione conviene
Non va dimenticato poi che il 97% degli attacchi inizia con un errore umano, per cui è molto importante formare le persone. In conclusione, la cybersecurity è diventata una responsabilità condivisa, ci riguarda tutti e su questi temi bisogna collaborare. Si tratta, anche, di un processo continuo, di un target in movimento. Nell’implementare le best practice e mantenerle, la trasparenza è chiave, e il concetto del trust è fondamentale. Come singole organizzazioni, dobbiamo infatti avere fiducia nei partner, nella tecnologia, nelle persone che accedono alle reti: per costruire questo trust bisogna essere trasparenti e avvalersi della collaborazione degli utenti finali.
In questo scenario, si intuisce quindi facilmente che la sicurezza informatica non può che rappresentare una priorità per le aziende di ogni settore. Ma come si stanno muovendo le organizzazioni per tutelarsi dagli attacchi informatici? Durante il suo intervento all’Axis Cybersecurity Summit, Roberto Setola, professore ordinario all’Università Campus Bio-Medico di Roma, ha risposto a questa domanda con uno studio sui requisiti presenti nei capitolati di gara in tema di cybersecurity.
“La responsabilità sulla cybersecurity è un’attività condivisa, ma i fornitori ne sono consapevoli?”, ha detto Setola. “Sappiamo che le Pmi italiane continuano a non vedere un elemento importante nella cybersecurity, per mancanza di cultura e difficoltà varie. Insieme a Aipsa e al centro di competenza Cyber 4.0, abbiamo deciso di evidenziare che investire in cybersecurity non è un costo ma un’opportunità. Qual è il modo più diretto per dimostrarlo? guardando alle regole presenti nei processi di qualificazione dei fornitori e nelle gare d’appalto per tutti i servizi IT. Abbiamo analizzato che cosa c’è in questi capitolati per dimostrare che una corretta postura cyber è oggi tangibilmente business-oriented. Senza questa, oggi non partecipi ad alcune gare, domani a molte di più”.
Considerando gli elementi presenti nei capitolati, le prime sette voci più citate sono: audit, protocolli per accessi e log, manutenzione degli asset, formazione del personale, gestione di incidenti e presenza di un responsabile. “Si parla poco di tecnologie, più importante invece avere processi e il coinvolgimento delle persone”, ha commentato il docente dell’Università Campus Bio-Medico.
Con riferimento alla certificazione, nei due terzi dei capitolati analizzati è richiesta la 27001, solo nel 30% però è considerata obbligatoria. “Un elemento che ci ha stupito”, ha sottolineato Setola. “In realtà più il committente è avanzato in cybersecurity, meno richiede obbligatoriamente il possesso della certificazione. Perché? Evidentemente, pur importante, un approccio alla compliance non è considerato buono, quello che si cerca è una relazione di fiducia con il fornitore e requisiti specifici laddove servono, non una certificazione rigida ma un approccio dinamico e costante. In conclusione: quello che emerge come premiante per il committente è che il fornitore abbia processi come la formazione del personale: un processo di certificazione è qualcosa di interessante, ma non posso assumerlo come elemento sufficiente per garantire la cybersecurity”.
Quadro normativo in continua evoluzione
Una delle più importanti macro-tendenze è l’esplosione normativa in materia di cybersecurity. Dal 2016 a oggi una serie di regolamentazioni hanno cercato di fare ordine in merito su scala europea. Il Presidente di Clusit, Gabriele Faggioli, ha elencato le principali:
• La Direttiva NIS I del 6 luglio 2016, che il 18 ottobre 2024 sarà abrogata e sostituita dalla Direttiva NIS II, definisce le misure necessarie per garantire in Europa un elevato livello di sicurezza delle reti e dei sistemi informativi e e impone agli stati di dotarsi di una strategia in materia di cybersicurezza, lasciando ad ogni singolo Paese le modalità di attuazione;
• La Direttiva CER sulla resilienza dei soggetti critici, presentata nel 2022, definisce un quadro a livello UE volto a rafforzare la resilienza di servizi critici nel mercato interno a fronte di una serie di minacce (per esempio attacchi terroristici, emergenze sanitarie, rischi naturali) stabilendo norme minime armonizzate per assistere tali soggetti mediante misure di sostegno e di vigilanza coerenti e dedicate;
• Il Regolamento DORA, relativo alla resilienza operativa digitale per il settore finanziario, entrato in vigore il 17 gennaio 2023 e pienamente applicabile dal 17 gennaio 2025, nasce dall’esigenza di implementare in modo efficace sistemi di gestione dei rischi, con particolare focus sull’Ict, introducendo obblighi di governance e di sicurezza.
Tra le proposte di regolamento ancora in discussione spiccano il Cyber Resilience Act, relativo ai requisiti orizzontali di cybersicurezza per i prodotti con elementi