Il 2023 si preannuncia ricco di sfide e innovazioni tecnologiche, anche e
soprattutto per quanto riguarda la cybersecurity, destinata a diventare centro delle preoccupazioni di
aziende e semplici cittadini, che sono stati toccati da vicino come nel recente caso della Royal Mail.
Il servizio postale britannico – considerato infrastruttura critica nazionale – è rimasto fermo per diversi
giorni, in seguito ad un attacco ransomware che ha infettato le macchine impiegate per la stampa delle
etichette doganali per le spedizioni internazionali.
In vista di questo avvenimento è ancora una volta decisivo ricordare che, nell’era digitale, saper riconoscere
i rischi della tecnologia per poterli prevedere e contenere è il punto cardine da cui partire. La conoscenza
del problema permette alle grandi istituzioni, come l’Unione Europea, di avere l’ambizione di poter
intervenire a difesa dei cittadini e delle aziende, delineando direttive, regole, misure alle quali attenersi e
che siano il più possibile in linea con le minacce, allo scopo di ridurre quei rischi che pervadono sempre di
più la vita quotidiana.
Per questo l’Unione Europea si è attivata detenendo la leadership mondiale nella regolamentazione della
cybersicurezza dei prodotti. A settembre scorso è stato presentato il nuovo Cyber Resiliente Act (CRA), che
fa subito una distinzione tra prodotti a basso e ad alto rischio informatico. I prodotti a basso rischio
possono essere autocertificati. Per i secondi è prevista una certificazione esterna che avviene tramite
laboratori accreditati. Un esempio tangibile lo abbiamo visto durante il Covid, quando abbiamo potuto
constatare quanto fosse importante la certificazione di un prodotto come le mascherine. Nel futuro, i
prodotti immessi in Europa avranno bisogno della certificazione per poter circolare all’interno del mercato
unico. Dovranno dunque essere effettuati degli aggiornamenti periodici nella vita del prodotto,
individuando e registrando costantemente le vulnerabilità – la questione più temuta nella sicurezza dei
prodotti; quelle vulnerabilità che se non individuate possono permettere attacchi informatici.
Per rispondere agli attacchi informatici, il nuovo CRA non è l’unico strumento ma è parte di un complesso
fondamentale che governa la cyber security in Europa. Esso è composto, oltre che dal nuovo CRA, anche
dalla direttiva NIS (sicurezza di sistemi informativi e di rete) che concerne i sistemi e l'organizzazione
aziendale. Inoltre, esiste un terzo elemento che è quello della certificazione, rappresentato dal
Cybersicurezza Act (CSA). Il CSA introduce procedure per certificare soprattutto i sistemi complicati, come
le reti cloud, i chip, le smart card che si usano nei documenti, e così via. Il concetto di certificazione
informatica non dovrebbe limitarsi solo ai prodotti (CRA) e ai sistemi (CSA) ma dovrebbe essere esteso
anche alle persone, attraverso una certificazione standardizzata per educare ed affermare operatori della
cybersicurezza. L’Europa si sta già muovendo in questa direzione.
Conoscere per sapersi difendere: la formazione al centro
Possiamo parlare di tre diversi livelli di attacchi informatici contro cui ci ritroviamo a combattere
costantemente. Le e-mail, ad esempio, sono spesso inviate anche da hacker amatoriali che tentano di
intercettare l’impreparazione dell’utente. Per questo motivo l’Europa ha coniato il termine igiene
informatica – cyber-igiene – attraverso diverse campagne informative per impiantare il riflesso istintivo di
essere digitalmente cauti, ad esempio nella scelta della propria password o nel prestare maggiore
attenzione alle e-mail di truffa.
La seconda categoria di attacchi informatici è molto più sofisticata e organizzata, infatti si tratta di attacchi
come i ransomware. Si entra nel sistema di un ente o azienda o istituzione e si chiede un riscatto per
evitare danni. Molto spesso per le aziende o per il singolo individuo ammettere di essere stati soggetti ad
un attacco informatico può intaccare la reputazione.
L’ultimo tipo di minaccia, nonché il più pericoloso, consiste invece in quegli attacchi di spionaggio – sia
industriale che tra Stati – dove gli attaccanti sono gli attori pubblici con scopi offensivi, bellici e tattici. Un
campo dove la geopolitica, le diplomazie, e autentiche guerre informatiche si verificano in modo più o
meno esplicito.
A questo punto è sempre più fondamentale che all’interno delle aziende sia predisposto un organo
apposito che le protegga dalle ripetute e quotidiane minacce informatiche.
Entra così in gioco il ruolo del security manager, una figura professionale che può aiutare concretamente le
aziende a difendere la propria infrastruttura informatica e che cambia in funzione delle minacce che
devono essere gestite.
All’interno di un’azienda, il security manager delinea un piano di difesa, monitora infrastruttura e processi e
coordina i team preposti, valuta quali sono gli accorgimenti utili da adottare e conosce tutti i rischi e le
minacce ai quali può andare incontro l’attività. È una figura professionale che ha iniziato ad affermarsi
parallelamente alla crescita della Digital Transformation e gioca ormai un ruolo chiave in un mondo dove la
circolazione di dati e informazioni è predominante e fondamentale.
È un vero salvagente per tutte le imprese che desiderano lavorare in serenità garantendo una Business
Continuity.
Questo e altri argomenti saranno trattati, grazie a diversi esperti, in occasione di Secsolutionforum 2023,
che si svolgerà online dal 26 al 28 aprile 2023. Secolutionforum è uno spazio virtuale dedicato all’incontro e
all’interazione fra aziende e professionisti. Installatori, system integrator, progettisti, consulenti privacy,
DPO, Security Manager, IT Manager, Business Continuity Manager e Pubblica Amministrazione potranno
allargare le proprie competenze e condividere problematiche e soluzioni attraverso l’interazione diretta
con i massimi esperti del settore.