A margine del suo evento Security Day, Fortinet ha organizzato una tavola rotonda con la stampa per presentare le principali tendenze emerse dal suo Global Threat Landscape Report e approfondire, insieme a due docenti universitari, l’annoso problema della formazione in tema di cybersecurity, specialistica e non.

Il Global Threat Landscape Report di Fortinet, presentato da Massimo Palermo, VP Europe e Country Manager Italia e Malta, dipinge un quadro preoccupante per il nostro Paese. L’Italia risulta particolarmente vulnerabile, subendo attacchi informatici quattro volte superiori alla media mondiale. Le ragioni includono una mancanza di visibilità sulla superficie di attacco, sempre più vasta e multiforme, e una stratificazione tecnologica che complica la difesa contro attacchi sempre più veloci e distruttivi.

Tra le macro tendenze emergenti, si evidenzia un innalzamento del livello degli obiettivi dei criminali informatici, con una maggiore sofisticazione degli attacchi. Tanta attività è motivata da ritorni economici ingenti: il cybercrimine si posiziona come la terza economia mondiale per volume di fatturato. Preoccupa anche l’aumento di attori statali che prendono di mira infrastrutture critiche e l’internazionalizzazione delle organizzazioni criminali.

Un dato allarmante riguarda lo sfruttamento delle vulnerabilità zero-day, aumentato nella seconda metà del 2023 del 43% rispetto al semestre precedente, con un tempo medio di utilizzo da parte dei cyber criminali di soli 4,7 giorni dalla scoperta. Cresce anche la minaccia interna, da parte di dipendenti scontenti o corruttibili. 

Formazione e competenze: nessuna speranza di soluzione in tempi brevi

La professoressa Annita Sciacovelli dell’Università Aldo Moro di Bari e membro dell’advisory board di ENISA, ha sottolineato lo spostamento del focus dall’incident response verso la prevenzione. La nuova direttiva NIS2 pone maggiori responsabilità sul management aziendale, rendendo cruciale la figura del Cyber Risk Manager, formato sul Cyber Security Skill framework.

“Si tratta di una figura, interna o esterna, che deve fare assessment almeno due volte l’anno, considerando la continua evoluzione delle minacce.  Per un dipartimento di cybersecurity completo servono 12 differenti profili, e dobbiamo pensare che non tutti potranno essere laureati. Servirà fare corsi di aggiornamento e formazione per aumentare le competenze cyber nel personale già presente”, ha affermato.

Concorda sulla necessità di avviare una formazione trasversale che includa la cybersecurity in corsi di laurea non specificamente tecnici anche il professor Roberto Setola, direttore del Master in Homeland Security dell’Università Campus Bio-Medico. Professionisti come avvocati, medici e ingegneri, e specialisti nelle diverse discipline dovrebbero ricevere una formazione sui principi di cybersecyurity e i principali rischi per la propria professione.

Ha anche sottolineato l’importanza di investimenti a lungo termine nella formazione, pur riconoscendo la necessità di soluzioni immediate come il reskilling di professionisti provenienti da altri settori.

Sfide normative e approccio europeo

Come evidenziato dalla professoressa Sciacovelli, la direttiva NIS2 impone nuove responsabilità alle aziende, estendendo il suo ambito da un centinaio aziende che erogano servizi essenziali e critici, a migliaia di soggetti, cioè le aziende che forniscono alle prime servizi critici o che possano potenzialmente introdurre in esse un rischio.

Il panorama italiano, composto in gran parte da PMI e piccole PA locali, rende difficile l’implementazione uniforme di misure di sicurezza adeguate, sottolinea Gabriele Faggioli, Presidente del Clusit. Faggioli ha sottolineato l’importanza della normativa, pur mettendo in guardia contro un’eccessiva burocrazia che potrebbe generare costi di certificazione insostenibili.

Faggioli auspica la creazione di un sistema di certificazione unificato e riconosciuto a livello normativo, che possa sgravare le PMI dall’incombenza di effettuare ciascuna un proprio assessment.

“Se abbiamo diecimila aziende che usano Microsoft 365, è assurdo chiedere a ciascuna di esse di dichiarare che Microsoft è sicura – ha affermato, sottolineando che la strada tracciata da Cyber Security Act con la certificazione europea va nella giusta direzione, così come la creazione del Centro di Valutazione e Certificazione Nazionale  di ACN.