Approfittiamo dei fondi EU per sanare il ritardo italiano nella cybersecurity
La pandemia ha aumentato drasticamente la dipendenza delle aziende dai servizi digitali e reso più complessa la loro infrastruttura. Banalmente, l’incremento delle reti domestiche a banda larga e la maggiore adozione della fibra ottica utilizzate per il lavoro da remoto hanno ampliato la superficie d’attacco. Pur essendo a parole in cima alla lista delle priorità, la cybersecurity ha purtroppo viaggiato fino ad ora ad una velocità inferiore rispetto ai cambiamenti introdotti dalla pandemia. La mancata analisi da parte delle aziende dei fattori di rischio e degli asset da proteggere ha fatto sì che la risposta a tali attacchi, aumentati sia in numero, sia in qualità, fosse poco tempestiva.
Durante la tavola rotonda organizzata da Trend Micro lo scorso venerdì, si è parlato proprio di questo. Investire sulla sicurezza informatica è fondamentale e per farlo gli strumenti non mancano: tra gli altri, il Next Generation EU, Gaia-X e il Recovery Fund. In ognuno di essi si mette l’accento sull’importanza della digitalizzazione e la conseguente prevenzione ai cyber attacchi.
Siamo partiti in ritardo, ma la strada è quella giusta
“Sulla ricerca e competenza digitale si deve fondare tutto il futuro legislativo” hanno affermato i deputati Vincenza Bruno Bossio (PD), Commissione Trasporti e Telecomunicazioni e Angelo Tofalo (M5S), Commissione Difesa. Entrambi hanno sottolineato come l’idea di creare una barriera informatica per difendere dati sensibili delle istituzioni e di tutte le aziende italiane era presente già nel 2013 in un DPCM del governo Monti “con il quale – dicono – si è usciti dalla dipendenza digitale da USA e Cina”. Tardi, certo, ma la strada si è rivelata quella giusta. Ora, però, è importante accelerare per raggiungere il resto d’Europa e del mondo.
Di passi in avanti se ne faranno, o perlomeno questo è il proposito. I 43,6 miliardi della prima Missione del Piano Nazionale di Ripresa e Resilienza (PNRR) incentrata sull’innovazione e digitalizzazione si sommano ai 9,63 miliardi di euro compresi nei fondi destinati alla Sanità, e più in particolare all’innovazione, ricerca e digitalizzazione del Servizio Sanitario Nazionale.
Per proteggere l’Italia intera, però, è fondamentale anche colmare il Digital Divide tra Nord e Sud e per questo, ai fondi destinati al Recovery Fund si dovrebbe associare un piano con procedure e linee guida chiare. Non possiamo più limitarci a parlare di “stato d’emergenza informatico”: c’è bisogno di qualcosa di strutturato, come un’Agenzia nazionale per la cybersecurity fuori dall’intelligence per dare vita a un vero e proprio ecosistema nazionale di risposta alle minacce che continuano a imperversare.
Educazione digitale
Tra gli argomenti più discussi della tavola rotonda c’è stata anche l’educazione della cittadinanza sull’importanza della sicurezza informatica. “Pensiamo che il 46% degli attacchi sia stato possibile a causa di incuria, mancanza di formazione o negligenza. Talvolta non si ha nemmeno la percezione della gravità dell’attacco” ha dichiarato Francesco Taverna, Direttore Tecnico Capo della Polizia Di Stato.
È importante educare tutto il Sistema Paese – come l’ha definito l’On. Tofalo – che è formato da tre livelli: il singolo cittadino, l’azienda – pubblica o privata che sia – e le istituzioni. Anche il semplice avviso di può avere un ruolo importante nel ricordare di proteggere eventuali dati sensibili. Questa protezione deve riguardare tutte le applicazioni e i terminali: non solo i database delle multinazionali, ma anche lo smartphone personale.
In questo la legislazione ha un ruolo fondamentale. Il GDPR, ad esempio, prevede un limite massimo di 72 ore dal momento dell’attacco informatico per notificare la violazione al Garante per la protezione dei dati personali. “L’ideale sarebbe arrivare ad un intervallo di tempo di un’ora – afferma Ezio Ricca, Associate Partner Security Reply – e per farlo sono necessari più strumenti e competenze in grado di individuare e rispondere rapidamente”.
Gli obblighi normativi non bastano, bisogna cambiare mentalità. La cybersecurity non è un obbligo o un costo, è un investimento senza il quale sarà praticamente impossibile andare avanti. La sicurezza deve essere vista come un bene comune, e per farlo bisogna iniziare al più presto a formare – e far rimanere in Italia – personale con competenze specifiche.