Mentre è in corso l’attacco alla Regione Lazio, in Senato arriva a compimento il percorso legislativo che istituisce l’Agenzia Nazionale per la cyber sicurezza. Sarà diretta da Roberto Baldoni, romano di nascita, 50 anni, tra le massime autorità in materia. L’Agenzia è un passo importante ma non decisivo verso la reale difesa dagli attacchi degli hacker. Perché il cyber risk è l’altra faccia dell’accelerazione digitale a cui il Paese è stato costretto dalla pandemia e, come quella positiva, rivela ancora investimenti insufficienti e una carenza di cultura diffusa. “La sicurezza non la fai per legge, anche se la legge può aiutare tanto”, dice Gabriele Faggioli, presidente del Clusit, l’Associazione Italiana per la Sicurezza Informatica che ogni anno “misura” il livello di rischio. E soprattutto non è possibile garantirla una volta per tutte. “Lavoro in questo settore dal 1997 e ho sentito tante volte presentare l’arma o l’approccio risolutivo contro gli attacchi. Ma la cybersecurity è una rincorsa senza fine in cui l’attaccante è fortemente avvantaggiato perché gioca senza l’obbligo di rispettare regole e spesso ha risorse molto maggiori di chi si difende”.
Magistratura, servizi segreti, antiterrorismo capiranno quel che è successo davvero, ma resta il fatto che, al di là dell’enfasi insolita data al caso dai media (forse anche per l’abituale penuria di notizie rilevanti nel mese di agosto?), il blocco dei servizi informatici di una Regione importante come il Lazio, conferma la necessità di una autorità centrale a livello nazionale dedita in via esclusiva alla sicurezza informatica. L’attacco, però, si potrebbe definire un imprevisto prevedibile. I dati del Clusit dicono che solo nel 2020 gli attacchi gravi (e noti) nel mondo sono stati 1871, con un incremento del 12% e che quelli a tema Covid-19 oltre la metà (il 55%) hanno preso di mira la Sanità. Da segnalare la crescita del fenomeno Ransomware, gli attacchi a scopo di ricatto, come quello alla Regione Lazio. Dalla Commissione europea arrivano numeri ancora più forti: aumento del 75% degli attacchi informatici nel 2020, con ospedali e strutture sanitarie nel mirino degli hacker.
Al presidente del Clusit Gabriele Faggioli, che è anche CEO di Digital360, abbiamo chiesto di “leggere” con EconomyUp il caso della Regione Lazio oltre la cronaca che in questi giorni sta mettendo in agitazione la politica e non solo.
L’Italia avrà presto operativa un’Agenzia nazionale per la cyber sicurezza. Sarà il nostro vaccino contro i virus digitali e le loro varianti che possono compromettere la nostra salute digitale?
Un’Agenzia non può essere una cura ma può essere il centro di competenza utile per aiutare a trovare la cura o almeno le strade più corrette da seguire. La creazione di un gruppo di persone di altissimo livello di competenza ed esperienza con risorse che ci auguriamo nel tempo importanti a disposizione se non può essere per se stesso una garanzia di sicurezza sarà sicuramente di grande impulso nella direzione giusta della consapevolezza e della capacità di prevenzione e reazione. La sicurezza però la fai ogni giorno nelle amministrazioni pubbliche, nelle aziende e comunque non si può fare solo per legge. Detto questo, avere un ente centrale che presiede il tema, che detta l’indirizzo, che raggruppa competenze è sicuramente un ottimo passo avanti.
Sono stati necessari due anni per stabilire il perimetro di sicurezza cibernetica. Non è che i tempi della politica sono inadeguati per i tempi della criminalità informatica?
Questo è solo un alibi! Troppo facile dire che la politica è sempre lenta, anche se spesso è vero. Tendenzialmente la legislazione segue sempre l’evoluzione tecnologica e il mercato, e anche i fenomeni criminali. Il fatto che non ci fosse ancora un perimetro di sicurezza definito per legge non significa che se un’entità è a rischio non vada difesa adeguatamente. Esistono già diverse norme da rispettare sia nel mondo pubblico che nel mondo privato e poi c’è sempre in ballo un interesse: che è di business per le aziende e di pubblico servizio per gli enti dello Stato. Insomma, io trovo molto sbagliato dire che in Italia c’è insicurezza per colpa della lentezza politica. I dati, le applicazioni, le infrastrutture le devo proteggere indipendentemente dalla Gdpr e dalle misure di sicurezza indicate da AGID. La legislazione aiuta, ovviamente, così come è stato per la sicurezza sul lavoro, ma non può essere l’unico driver dell’azione di un’azienda o di una pubblica amministrazione.
Dell’attacco alla Regione Lazio si stanno occupando anche i servizi segreti. In un’intervista al Corriere della Sera Adolfo Urso, presidente del Copasir (il Comitato parlamentare per la sicurezza della Repubblica) dice che l’Italia ha ancora molto da fare sulla cybersecurity. Quali sono le priorità?
L’Italia sconta una serie di problemi. I dati ce ne segnalano soprattutto due. C’è un deciso sotto investimento in sicurezza informatica sia come spesa che in start-up. L’Osservatorio Cybersecurity del Politecnico di Milano ha fatto un’analisi su sette Paesi e l’Italia in termini di spesa in sicurezza informatica e di percentuale di spesa rispetto al PIL e alla spesa in digitale è all’ultimo posto, dopo Spagna, Germania e Francia solo per ricordare i Paesi a noi vicini. La spesa per la sicurezza informatica è drammaticamente insufficiente. C’è poi un tema che potremmo definire culturale. Bisogna che cresca l’attenzione ai rischi informatici nelle imprese e nelle pubbliche amministrazioni. La situazione è migliorata nelle grandi aziende, ma c’è ancora un gap di conoscenze e competenze nelle PMI e questo non è un aspetto irrilevante, visto che spesso gli attacchi arrivano da punti deboli delle filiere. Una riflessione a parte ma importante va fatta sulla Pubblica Amministrazione, dove ci sono ancora ambiti molto in ritardo come peraltro ha affermato recentemente un ministro.
C’è il rischio che episodi come quelli della Regione Lazio possano produrre paura o rigetto dei processi di digitalizzazione?
Certo, sicuramente. Ma sarebbe come pensare di tornare alle carrozze di fronte a un incidente stradale. È chiaro che se guidi senza fari di notte e vai a 200 all’ora ti uccidi o uccidi qualcuno. Non per questo fermiamo la circolazione delle auto e gli investimenti in tecnologie sicure. Ci sono regole che vanno rispettate, le aziende sono impegnate a produrre veicoli sempre più sicuri, tutti abbiamo il dovere di imparare a usare bene un’auto. Qualsiasi tecnologia è insicura, se la usi male.
Certo, ma qualcuno potrebbe sostenere che il cloud è potenzialmente più esposto ai rischi di attacchi rispetto ai tradizionali data center fisici….
Il fatto che il cloud comporti dei rischi è ovvio ma se gestiti correttamente questi rischi, a mio avviso, sono minori dei vantaggi per gli investimenti in scala che i provider possono fare e che nessuna azienda si potrebbe permettere. Si potrebbero forse fare ragionamenti selettivi su alcuni settori, come quello militare e in generale della difesa, ma si tratta di eccezioni. Il mondo va sempre di più verso un concetto di apertura e di condivisione come dimostra un settore rilevantissimo come quello bancario dove sta esplodendo il fenomeno dell’open banking. I concetti di chiusura, di perimetri definiti sono ormai saltati e non possiamo pensare di tornare indietro. Dobbiamo accettare l’evoluzione in atto e guidarla, imparando a investire nel modo giusto per essere sicuri in questi nuovi contesti.
Possono farlo tutti?
Io sono convinto che la scelta di molte realtà di orientarsi verso il mondo del cloud sia giusta e tutelante. Difendersi adeguatamente costa molto quindi puoi farlo adeguatamente solo se sei in grado di sviluppare economie di scala. So che non tutti sono d’accordo, ma resto convinto che devi per forza creare aggregazioni di forze per poter avere una difesa efficace. D’altronde, è più sicuro il caveau di una banca o una cassaforte in casa?
I dati Clusit confermano quella che è un’impressione: durate la pandemia c’è stata un’accelerazione della vita digitale, dalla scuola all’ecommerce, dal lavoro all’intrattenimento, che ha provocato un incremento degli attacchi. Secondo alcune agenzie quello alla Regione Lazio sarebbe partito dalla postazione di un dipendente in smart working. L’accelerazione non è stata seguita da un’adeguata protezione?
Che lo spostamento del lavoro e di altre attività, dalla scuola allo shopping. abbia aumentato la superficie d’attacco e comportato in poche settimane un modo nuovo di fuire delle tecnologie con quindi nuovi rischi e nuove insicurezze è sicuro.
Il passaggio alla remotizzazione del lavoro in molti casi non è stato accompagnato da adeguati interventi di cybersecurity?
È molto probabile ma nell’emergenza sanitaria che abbiamo vissuto l’anno scorso la salvaguardia del lavoro, della produttività e del PIL era rilevante e forse prioritaria. penso che l’accelerazione digitale sia stata un fatto positivo, il salto culturale che ha prodotto si può definire storico. Probabilmente, finita l’emergenza, le imprese, e le pubbliche amministrazioni, avrebbero dovuto accompagnare meglio questa trasformazione con attività formative, azioni di controllo e adozione di nuovi e diversi strumenti di difesa. Molte lo hanno fatto, altre forse meno.
Il rischio zero non esiste, come in qualsiasi altro settore, ma quanto siamo lontani dalla possibilità massima di protezione?
Non penso si possa calcolare. Anche un vaccino che ha l’87% di copertura, potrebbe non proteggere da una variante. Nel mondo tecnologico funziona allo stesso modo. Oggi ti puoi difendere al meglio dai rischi di attacco noti, ma domani ce n’è un nuovo, che potrebbe derivare da nuove tecnologie, nuovi servizi, elementi che impattano su tecnologie precedenti. La cybersecurity è una rincorsa senza fine e quindi un business infinito con possibilità di lavoro e possibili carriere estremamente interessanti. Si evolve la tecnologia, cambiano i paradigmi, cambia la superficie d’attacco. Si gioca con regole contro attaccanti senza regole che dispongono di risorse elevatissime risorse contro budget limitati. A vederla così è una gara per forza persa. E invece è possibile fare prevenzione, è possibile ridurre i rischi e soprattutto è possibile cercare di far si che gli attacchi siano poco remunerativi e che pian piano i costi siano superiori ai ricavi, costringere gli attaccanti a dover fare “colpi” sempre più complicati, costosi e rischiosi. Serve tecnologia, serve formazione, serve consapevolezza. Questo si può fare.
