Si è tenuta lo scorso 19 luglio a Roma la tavola rotonda tra imprese e istituzioni “Cyber resilienza e innovazione: le sfide per decisori e industria”, promossa dal Centro Studi Americani con il contributo tecnico di HP e l’organizzazione di Inrete.
Roberto Sgalla – Centro Studi Americani
Nel suo saluto d’apertura Roberto Sgalla, Direttore del Centro Studi Americani, ha sottolineato il ruolo cruciale dei dati, l’oro di questo secolo, e la necessità di confronto tra stakeholder per rendere la materia della cyber resilienza sempre più prioritaria nell’agenda pubblica nazionale e internazionale.
Courtney Nemroff – Ambasciata Americana
Riflessione condivisa da Courtney Nemroff, Minister Counselor for Economic Affairs dell’Ambasciata americana, che ha illustrato l’indirizzo del governo statunitense e le sfide che in un’ottica di armonizzazione degli standard e della normativa su scala globale la questione della sicurezza cibernetica pone ai singoli Stati e a istituzioni sovranazionali come l’Unione Europea.
Pelle Aardewerk – HP Wolf Security EMEA
“Il tempo è finito. È ora di agire”. Il monito di Pelle Aardewerk, Head of Vertical Solutions, HP Wolf Security, EMEA è arrivato chiaro. Dalla prospettiva di un’azienda che si occupa di componenti hardware che rappresentano la baseline per la cyber security – a maggior ragione in una fase storica in cui il lavoro ibrido e gli attacchi cibernetici sono sempre più frequenti – non è più possibile sprecare risorse e tempo prezioso.
“Quello dei crimini informatici è un vero e proprio business strutturato e va contrastato in maniera decisa”, ha aggiunto, indicando alcune possibili aree di intervento che, come HP, stanno portando avanti. Il tutto in un contesto come quello europeo, che nei prossimi mesi dovrà fare i conti con l’applicazione della direttiva NIS2. Normativa che prevede che gli Stati Membri debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”
Gianluca Ignani – Agenzia per la cybersicurezza nazionale
In tal senso la sicurezza cibernetica rappresenta un presupposto imprescindibile per la trasformazione digitale del Paese, anche nell’ottica di conseguire l’autonomia strategica nel settore. “Allo stesso tempo, dobbiamo considerare la resilienza cibernetica come un tema trasversale e fondamentale per il nostro futuro, che ha bisogno del contributo di tutti se vogliamo raggiungere risultati tangibili”. Questa la posizione espressa da Gianluca Ignagni, Capo di Gabinetto dell’Agenzia per la cybersicurezza nazionale. “È proprio in questo contesto che l’ACN è chiamata ad operare, nella ‘nuova’ architettura cyber nazionale, svolgendo un ruolo di coordinamento e sinergia con tutte le Amministrazioni competenti, promuovendo al tempo stesso l’essenziale collaborazione tra pubblico e privato”. Altro elemento di rilievo è il necessario connubio tra un’azione normativa adeguata e investimenti in ricerca e sviluppo.
“L’Italia ha una elevata sensibilità istituzionale sul tema cyber, dimostrata anche dall’unanimità con cui il Parlamento ha approvato provvedimenti importanti come quello che ha istituito il perimetro di sicurezza nazionale cibernetica e l’Agenzia stessa” ha proseguito Ignagni. Il capo di Gabinetto ha inoltre menzionato i principali rischi con cui dover fare i conti: “il primo è tecnologico. In questo, giocheranno un ruolo preminente la certificazione e l’introduzione di obblighi di sicurezza by design. Il secondo riguarda il fattore umano: occorre investire in awareness e formazione, attraverso, da un lato, campagne informative ed eventi di confronto tra istituzioni, mercato e cittadini, dall’altro, introduzione della sicurezza cibernetica in tutti i programmi di studio fin dalle scuole elementari”.
Ivano Gabrielli – Polizia Postale
Quello delle competenze è stato un punto chiave anche nella riflessione di Ivano Gabrielli, Direttore Specialità Polizia Postale e delle Comunicazioni. “Forze dell’ordine, ACN, Difesa e mondo dell’intelligence sono i quattro pilastri su cui si regge l’architettura nazionale di sicurezza cibernetica”, ha ricordato. “È una dottrina ormai internazionale che sancisce come di fronte ad un evento cibernetico non può che aversi un approccio multidisciplinare, in termini di prevenzione e di contrasto. Da qui il ruolo delle competenze e delle figure che devono essere espresse sul territorio nel momento in cui si verifica un evento critico o si agisce in ottica preventiva”. Gabrielli ha rimarcato come l’Italia abbia optato per un assetto organizzativo delle Forze dell’ordine su base territoriale. Una scelta peculiare del nostro Paese per garantire una maggiore vicinanza e rapidità di risposta alle infrastrutture critiche della Pubblica Amministrazione e delle imprese. “In dieci anni, quindi dal 2013 – ha proseguito – siamo passati dal dover fronteggiare circa 200 attacchi significativi all’anno, a oltre 14mila nel 2023”. Un servizio centrale governa in Italia 18 centri operativi per la cybersicurezza. Sul fronte della formazione degli operatori deputati al contrasto dei crimini informatici, l’Italia ha voluto puntare su una figura unica che riunisca competenze investigative e skill tecniche come nel modello statunitense dell’Fbi. “Terzo asset su cui abbiamo investito è quello delle partnership pubblico-private. Oggi contiamo all’incirca 300 convenzioni a livello territoriale che esprimono una capacità operativa di immediato ingaggio nell’ottica di poter diffondere, in termini di prevenzione, le informazioni di sicurezza generate da un apparato di polizia”.
Alessandro Livrea – Akamai Technologies
Sul fronte aziendale, Alessandro Livrea, Vice President & Site Leader di Akamai Technologies ha portato all’attenzione la prospettiva di un fornitore di servizi di CDN, ovvero una rete per la distribuzione dei contenuti. Attraverso la propria piattaforma distribuita edge, Akamai garantisce il 30% della sicurezza dei click sul web a livello globale. Livrea ha fatto notare come la spinta verso la trasformazione digitale e in generale all’innovazione, apra inesorabilmente anche alle vulnerabilità. “L’incremento degli attacchi da parte di vere e proprie organizzazioni criminali – ha spiegato – ha colpito in particolare il settore manifatturiero, che è quello che sta sperimentando maggiormente l’Internet of Things, e quello medicale. Questo perché le apparecchiature utilizzate spesso non sono state concepite secondo standard di cyber sicurezza”. Il vice presidente di Akamai ha citato inoltre uno studio secondo cui nell’82% dei casi, aziende e Pubblica Amministrazione, si sono trovate a lanciare dei servizi prima che tutti i controlli per la sicurezza fossero stati vagliati. “Questo – ha aggiunto – ha comportato nel 50% dei casi una perdita di informazioni”.
Giampiero Savorelli – HP Italy
“Il pc non è più una commodity: è uno strumento critico”. È partendo da questa considerazione che Giampiero Savorelli, CEO & Managing Director di HP Italy ha evidenziato come durante la pandemia con il ricorso al lavoro ibrido gli attacchi hacker siano aumentati esponenzialmente e questo perché i computer si trovavano ad operare attraverso reti non sicure. “Il 91% dei decision maker tra cui i Chief Innovation Officer di aziende e Pubblica Amministrazione – ha dichiarato – posiziona la cyber security degli endpoint a livello paritetico se non superiore all’infrastruttura della rete. Questo perché spesso gli attacchi accedono alla rete tramite componenti hardware come computer e stampanti”. E l’impatto economico di queste azioni criminali è altissimo. “Nel 2022 ci sono stati a livello mondiale 2000 attacchi gravi, di cui il 7% in Italia. Aldilà dei ransomware spesso con richiesta di riscatto, queste compromissioni bloccano le attività anche per mesi. Le statistiche parlano di un impatto sul Pil globale di tre mila miliardi di dollari”. Ecco allora quanto la tecnologia sia fondamentale per realizzare una “security by design”. “Come HP da anni stiamo implementando soluzioni innovative che proteggano pc e stampanti a tutti i livelli, non solo hardware. Grande attenzione inoltre deve essere prestata, in un’epoca di hybrid workplace, alla protezione dei dati contenuti nei dispositivi. Da qui l’elaborazione di una tecnologia che permetta di localizzare un qualsiasi device, anche se non connesso alla rete e spento, e di cancellare i dati”. Tra le raccomandazioni di Savorelli la necessità che anche le aziende più piccole – e il tessuto imprenditoriale italiano è composto al 90% di Pmi – adottino politiche di sicurezza cibernetica attraverso soluzioni di security by design.
Carlo Baffè – SUSE
Dall’hardware al software. Carlo Baffè, Director Channel & Alliances, South EMEA di SUSE ha fornito il punto di vista di una software house open source che opera da oltre 30 anni nel mercato, già nota come Linux. E proprio perché “open” è oggetto di una maggiore osservazione. Lavorando con la Pubblica Amministrazione e quindi con infrastrutture critiche, la richiesta di standard di sicurezza elevati è infatti inevitabile. Ancor più dopo l’approvazione di una direttiva europea come la già citata NIS2. “Questa normativa – ha spiegato Baffe’ – prevede che qualsiasi azienda che opera in particolari settori deve poter certificare la sua catena di approvvigionamento del sistema operativo. Un compito tutt’altro che facile per una qualunque organizzazione. La buona notizia è che l’utilizzatore può fare appello a un ente certificatore
o al fornitore. Ad oggi l’unico software compliant con quanto chiede la NIS2 è il nostro. E per raggiungere questo livello è stato necessario un lavoro di due anni e importanti investimenti”. Per quanto concerne le competenze in ambito cyber, Baffe’ ha invitato ad allargare il perimetro all’accademia e all’università per una formazione che non sia demandata solo alle imprese. Sicuramente occorre una maggiore educazione e consapevolezza dei rischi, affinché si scongiurino e – nel caso avvengano – si sappiano gestire adeguatamente gli attacchi.
Luigi Della Monica – Crowdstrike
Ed è proprio in ottica di prevenzione e assistenza in caso di compromissioni che intervengono realtà come Crowdstrike, azienda che si occupa di soluzioni di cybersecurity, attraverso una piattaforma solo in cloud. Luigi Della Monica, Sales Director Italy di Crowdstrike ha citato alcuni dati presenti all’interno del loro Global Threat Report 2023, dal titolo emblematico: “Da avversari implacabili a imprese resilienti”. “Lo
scorso anno abbiamo mappato oltre 200 avversari. Stiamo parlando di organizzazioni criminali che si stanno muovendo sempre più velocemente. Il cloud è un abilitatore che ci aiuta a collezionare informazioni, quindi una potenza di fuoco e una conoscenza scalabile. Noi gestiamo settimanalmente circa cinque trilioni di dati che ci consentono di conoscere meglio i nostri avversari. A questo si aggiunge l’applicazione di intelligenza artificiale e machine learning, dunque algoritmi che aiutano a identificare o ad anticipare possibili attacchi attraverso l’analisi comportamentale”. Altro tema chiave è quello della consapevolezza, che deve essere condivisa tra i diversi attori. “Quello che oggi viene identificato come un problema, può diventare un’enorme opportunità per il nostro Paese. L’Italia deve però essere in grado di fare sistema tra pubblico e privato e di accelerare l’execution con l’obiettivo di proteggere le infrastrutture critiche”.
Parlamentari
A proporre una sintesi rispetto alle sollecitazioni emerse e a individuare nuove linee di intervento che governo e Parlamento stanno adottando o intendono adottare in materia di cyber resilienza sono stati tre deputati.
Alessandro Cattaneo – Commissione Politiche UE
Alessandro Cattaneo, membro della Commissione Politiche dell’UE ha illustrato come sia all’attivo un ciclo di audizioni sulla politica di cybersicurezza. “L’obiettivo è l’armonizzazione delle norme non solo per l’Italia e l’Europa, ma di tutto il blocco occidentale. Anche perché sui temi di sicurezza informatica si gioca una partita geopolitica cruciale”. Il deputato di Forza Italia ha poi aggiunto: “In questa legislatura stiamo proseguendo un importante lavoro in materia di cyber security, che è stata inclusa anche nel Codice per gli appalti. Inoltre, il Pnrr rappresenta una grande opportunità, puntando molto su trasformazione digitale e innovazione. Credo che l’approccio più sensato sia quello in cui il privato concorre al conseguimento degli obiettivi del Piano”.
Ettore Rosato – Copasir
Ettore Rosato, membro della Commissione Affari Esteri e Comunitari e Segretario del COPASIR è tornato sul tema delle competenze e della mancanza di personale, che al momento il Paese deve fronteggiare, comprese le professionalità da reclutare in materia di sicurezza cibernetica. “Anche per questo – ha aggiunto il Segretario del Copasir – va alimentato il confronto tra pubblico e privato”. Altro aspetto è la necessità di aumentare il livello di resilienza delle piccole e medie aziende italiane, depositarie di un patrimonio straordinario di dati e di proprietà intellettuale che va tutelato. Secondo il deputato di Italia Viva la strada è quella dell’introduzione, come già avviene in materia lavoristica e di privacy, dell’obbligo di rifarsi a un codice sulla cyber security e di una figura professionale dedicata. “Le leggi in Italia non mancano
– ha precisato – ma bisogna arrivare per gradi a questo obiettivo, magari partendo da incentivi, come nel caso di Industria 4.0”. Rosato ha poi rimarcato le implicazioni geopolitiche legate alla sicurezza cyber a partire dall’importazione di moltissima tecnologia da Paesi considerati “non partner” o poco affidabili. “Occorre che Europa e Stati Uniti siano in grado di proporre dispositivi ad alto valore innovativo, ma a prezzi più accessibili, svincolandoci dal ricorso a nazioni di cui non conosciamo le catene di approvvigionamento”.
Andrea Casu – Commissione Trasporti e Telecomunicazioni
“Noi partiamo da una disparità di fondo: per portare avanti un attacco bastano pochi euro, mentre per difendersi da un attacco servono importanti investimenti. Occorre dunque una risposta di sistema e il primo player deputato a ciò è il settore pubblico”. Così Andrea Casu, Membro della Commissione Trasporti e Telecomunicazioni e dell’intergruppo parlamentare sull’innovazione ha esordito nel suo intervento, precisando: “Secondo uno studio del Politecnico di Milano nel 2021-2022 il rapporto tra la spesa in cyber sicurezza dell’Italia e il Pil è cresciuto dallo 0,08% allo 0,10%, ancora troppo poco rispetto ad altri Paesi come UK, Stati Uniti, Giappone e Francia. Quindi un gap di investimenti, ma anche un gap di competenze digitali, già citato. Non è quindi un caso che la percentuale di incremento degli attacchi che colpiscono l’Italia sia più alto”. Secondo il parlamentare del Pd bisogna accrescere l’investimento pubblico e la risposta del sistema, anche attraverso l’obbligatorietà di figure deputate come quella del Chief Security Officer all’interno delle organizzazioni e partendo dalle scuole per creare consapevolezza fin da piccoli su come difendersi in rete.