L’articolo di Gerardo Costabile, presidente di IISFA (Associazione Italiana Digital Forensics) e AD DeepCyber (Maggioli Group) che propone un’agenda di 7 punti “per consolidare la cyber resilience nazionale a garanzia di benessere sociale e libertà”. L’analisi fa tesoro del suo intervento tenuto alla presentazione del 2^ Rapporto CENSIS-IISFA.
Il valore della Cybersecurity è ormai sempre più strategico per il nostro Paese. La dimensione della sicurezza informatica e della salvaguardia dei dati personali ha assunto una sua indiscutibile centralità.
Il 19 luglio 2023 è stato presentato, presso la Sala Capitolare di Palazzo della Minerva del Senato della Repubblica, il secondo Rapporto CENSIS-IISFA (Associazione Italiana Digital Forensics) dal titolo “Il valore della Cybersecurity in Italia. La sicurezza informatica garanzia di benessere e libertà”.
Dalla ricerca emerge come l’incremento degli attacchi informatici, insieme con l’ampliamento dello spettro del cyber risk, influenzi le condotte di vita degli italiani. È allora opportuno promuovere una maggiore consapevolezza collettiva sul tema della Cybersecurity, che includa quei gruppi che per condizione sociale, culturale o anagrafica, oltre a essere più a rischio di digital divide, rappresentano le componenti più deboli dell’ecosistema digitale.
Si consolida, così, una cyber resilience nazionale a garanzia di benessere sociale e libertà, che renda i cittadini sempre più consapevoli dei rischi che corrono utilizzando gli strumenti informatici, mentre le aziende sono chiamate a incrementare la loro offerta formativa sul tema. Serve una nuova cultura digitale, che possa presto coinvolgere attivamente anche l’intero sistema scolastico.
Per essere pragmatici nelle azioni che il sistema Paese dovrebbe, a mio avviso, mettere in agenda, dovremmo superare il limite della mera rappresentazione dei problemi, delle statistiche e problematiche, orientando gli sforzi in ottica costruttiva e per un’azione in più direzioni strategiche.
A tal fine, ho definito una agenda di 7 punti strategici per il breve, medio e lungo periodo, frutto dell’ascolto della “famiglia” professionale, con lo scopo di fornire uno spunto a chi potrà fare propri alcuni punti e consolidare la strategia di cyber security nazionale.
I 7 punti dell’Agenda:
- Cultura: è fondamentale iniziare un percorso formativo sulla cyber dalle scuole primarie, “formando i formatori” prima di tutto. Allo stesso tempo è necessario rendere obbligatoria la formazione cyber aziendale con cadenza almeno annuale – continua e non saltuaria -. Oggi, infatti, la formazione nelle aziende non è obbligatoria, a differenza di quella privacy. Oggi, nel rapporto CENSIS IISFA 2023, leggiamo che solo il 55% delle persone è stato formato o sarà formato entro i prossimi dodici mesi. Un numero oggettivamente troppo basso, se lo rapportiamo agli attacchi di phishing.
- Normativa: Sarebbe opportuna una revisione dei reati, vietando il pagamento del riscatto ransomware. Ad oggi, circa il 50% dei riscatti viene pagato, incrementando con iniezioni di denaro la criminalità informatica, che quindi avrà motivo per non ridurre lo sforzo in questo tipo di illeciti. Allo stesso tempo, sempre in ottica normativa, sarebbe opportuno lavorare su un progetto di forte defiscalizzazione di tutte le azioni volte a innalzare la cyber security, come per le ristrutturazioni edilizie.
- Identità: rafforzamento della sicurezza legata all’identità del cittadino e del dipendente, inserendo vari livelli di sicurezza. Ad oggi, l’identità del cittadino nell’e-gov e quello del dipendente nella rete dell’azienda non sono paragonabili in termini di sicurezza. Il cittadino utilizza SPID, CIE o in generale un livello di autenticazione mediamente elevato, a doppio fattore, mentre nelle aziende si utilizzano ancora password mnemoniche, basate su regole di circa 20 anni or sono, anche per le utenze ad elevati privilegi.
- Collaborazione civile/militare (oltre che pubblico privato): maggiore interazione tra mondo militare e civile. Si parla spesso di collaborazione tra pubblico e privato, anche se con alcune difficoltà culturali. Andrebbe, sullo stesso piano, incentivato un dialogo ed uno scambio tra civile e militare, prendendo spunto da quest’ultimo in un’ottica di approccio, postura, strategia. Come abbiamo visto negli ultimi anni, infatti, non c’è più una reale distinzione tra civile e militare nel mondo cyber. Alcuni attacchi di cyberwar sono perpetrati da soggetti civili, sponsorizzati da Stati. Per tale motivo, è molto importante collaborare e scambiare informazioni, oltre che metodi ed ausili di difesa, tra tutti gli attori coinvolti in ambito nazionale.
- Check up nazionale: nel rapporto CENSIS IISFA 2023 si legge della percezione degli italiani. Servirebbe, quindi, una misurazione tecnica più oggettiva sullo stato di salute della “rete nazionale”, con lo scopo di “disegnare una mappa” dello stato di salute cyber del sistema Paese, anche di tipo geografico-territoriale.
- CISO: sarebbe opportuno, inoltre, rendere obbligatoria la figura del CISO, con le medesime regole della privacy per il DPO (ovvero 250 dipendenti etc). In molte organizzazioni, anche di media grandezza o che trattano dati particolari, non esiste un responsabile della Cyber Security, né un budget dedicato e tutti i processi/competenze adeguate al rischio.
- Made in Italy: Incrementare un made in Italy di qualità e di eccellenza. Si parla molto spesso di made in Italy nel mondo cyber o di sovranità digitale. L’argomento andrebbe, a mio avviso, approcciato in ottica più qualitativa, sia per poter essere vere alternative alle tecnologie di qualità che arrivano dall’estero, sia per avere la giusta reputazione per esportare tale approccio in geografie amiche. Serve un forte impegno tecnico e anche di immagine, importante per poter essere veri interlocutori sull’argomento con tutti gli stakeholder.
Guarda il video integrale della presentazione del Rapporto al Senato