Articolo di Luca Faramondi – coordinatore Master in Cyber Security Management
Mi sono posto questa domanda ascoltando quando veniva raccontato in particolare di Rocco Mammoliti (Poste Italiane) e Nicolò Rivetti (ACN) nel webinar organizzato da Unindustria – Lazio lo scorso 6 dicembre. Ma cosa hanno detto in sintesi.
In primo luogo che la minaccia cyber è in forte crescita, e questo vale in particolare per l’Italia. Il dato del Clusit relativo ai primi 6 mesi del 2023 indica una crescita nel numero degli attacchi andati a buon fine di oltre il 40% rispetto all’analogo periodo del 2022. Quello che sorprende, e deve far riflettere, è che i Italia il numero di attacchi andati a buon fine aumenta con un tasso di incremento che è quattro volte superiore a quello a livello globale; trasformando l’Italia nel target del 9,6% di tutti gli attacchi cyber andati a segno a livello mondiali.
Perché di questa impennata di interesse per l’Italia?
I motivi possono essere tanti, ma sicuramente fra questi gioca il fatto che in Italia sono presenti 760mila piccole e medie aziende a cui vanno aggiunti gli oltre 300mila studi professionali che rappresentano un target “premiante” per i cyber-criminali. Infatti, come evidenziato da una recente ricerca di IBM, le piccole e medie imprese a livello mondiale sono oggetto di oltre 4.000 attacchi al giorno rappresentando il target del 62% di tutti gli attacchi cyber.
Purtroppo, come si dice da molto tempo, questi piccoli soggetti non hanno né le competenze tecniche/culturali per comprendere il rischio a cui sono esposti né hanno le capacità finanziarie per mettere in atto adeguate strategie di difesa e prevenzione.
Soprattutto il primo aspetto è quello maggiormente critico, poiché la mancanza di consapevolezza fa sì che non ci si renda conto del problema, si posticipano investimenti, si rinvia la formazione del personale… fin al momento in cui i buoi sono scappati ed allora è tardi per chiudere la stalla!
Come drammaticamente costatato dalla ricerca del U.S. National Cyber Security Alliance che evidenzia come il 60% delle piccole aziende colpite da un attacco cyber sono costrette a chiudere nell’arco dei successivi sei mesi non riuscendo più a risollevarsi dalle conseguenze finanziarie, reputazionali, legali ed operative connesse con un attacco cyber.
Purtroppo questi dati da soli, pure se eloquenti, non bastano a stimolare una corretta presa di coscienza da parte di chi è troppo proiettato agli aspetti più prettamente di business ritenendo erroneamente il tema cyber come un aspetto meramente tecnico.
Ecco quindi che Unindustria ha promosso uno studio su quelli che sono i requisiti che le grandi aziende inseriscono nei loro capitolati di gara in tema di cybersecurity (e di cui potete leggere qui).
Studio che fa emergere come le grandi aziende richiedono in maniera crescente che i loro fornitori si dotino in primo luogo di specifiche procedure e professionalità per la gestione degli aspetti di cyber sicurezza. E questo sia quando si parla di forniture cyber, ma anche più in generale quando si ragiona in termini di forniture di beni e servizi che implicano una cooperazione stretta attraverso le interconnessioni dei sistemi informatici.
Infatti per le grandi aziende il tema del rischio cyber legato alle terze parti è divenuto uno elemento strategico per le implicazioni che un evento cyber ad un fornitore può generare. Uno studio del 2022 relative alle aziende americana ha evidenziato, infatti, che il 68% delle interruzioni nelle supply chain sono da ricondurre ad interruzioni IT non pianificate, e di queste il 50% è riconducibile ad attacchi informatici ai danni del fornitore. Sono numero i casi in cui un evento occorso ad un fornitore ha comportato conseguenze generalizzate come emblematicamente occorso nel caso di SolarWind.
Il tutto è reso complesso da gestire alla luce dell’attuale complesso assetto delle filiere di supply chain e dal fatto che solo il 6% delle aziende ha una piena visibilità su chi sono i propri fornitori.
In questo scenario a breve saranno imposti specifici obblighi in capo ai diversi operatori su quella che è la postura cyber dei rispettivi fornitori. Come infatti evidenziato da Nicolò Rivetti di ACN a breve i grandi operatori di servizi essenziali, e non solo loro, dovranno garantire che anche i loro fornitori siano datati di adeguati standard in tema di cyber security.
In altri termini non affrontare oggi il problema della cyber security non solo espone l’azienda al rischio di fallimento, ma anche ne limita fortemente il mercato di riferimento. Mercato che con l’avvento di normative quali la NIS2 e DORA sarà del tutto precluso a chi non si è adeguato.
Oggi per fortuna abbiamo alcuni strumenti che possono aiutare le PMI a comprendere la propria postura cyber come, ad esempio il progetto Cyber Security Readiness (https://cybersecurityreadiness.it/) che contiene, fra le altre cose, un insieme di strumenti gratuiti di auto valutazione oltre che informazioni su strumenti di utilità. Potersi auto-valutare aiuta a far comprendere la propria postura e di valutare i propri rischi, identificare le specifiche priorità e, quindi, definire una road-map percorribile.
Esistono anche iniziative come quella promossa nell’ambito del PNRR dal Ministero per l’Imprese ed il Made in Italy in cooperazione con il Centro di Competenze Cyber 4.0 che consente di ottenere significativi riduzioni di costi con il meccanismo dello sconto in fattura per l’esecuzione di attività di valutazione e verifica della postura cyber e di formazione come nel caso del Master in Cyber Security Management dell’Università Campus Bio-Medico che offre sconti fino al 70% per i dipendenti delle piccole imprese. Infatti non dobbiamo dimenticare che il 90% delle compromissioni cyber è dovuto ad un comportamento inappropriato da parte personale, per cui questo è il fattore dal quale occorre partire se vogliamo innalzare concretamente il livello di cyber sicurezza.
Tutte iniziative che per le PMI oggi sono su base volontaria, comprese da pochi, viste da molti come superflue, ritenute dai più come ulteriori inutili incombenze burocratiche …ma che domani diverranno cogenti e limitanti rispetto all’accesso al mercato.
Per cui, la domanda da cui eravamo partiti, e visto che ora abbiamo le risorse del PNRR e che servono per investimento per il prossimo futuro, … se non ora quando investire in cyber security?
