Cybersecurity e valore dei dati con Perri dell’Università degli studi di Milano
27/04/2022
Cybersecurity Pierluigi Perri secsolutionforum22

Si parlerà anche di cybersecurity e attacchi informatici a Secsolutionforum 2022, evento che si tiene in digitale dal 26 al 29 aprile dedicato all’industria della sicurezza. Oggi l’espansione dell’universo digitale, la rapida evoluzione delle tecnologie e la crescente consapevolezza del valore sia insito nei dati porta a un’escalation degli attacchi cibernetici. Molti sono gli interrogativi che sorgono sulle conseguenze, e cresce l’urgenza disporre di nuove normative e regolamentazioni, non sempre al passo con i tempi. Pierluigi Perri, avvocato e professore associato di ‘Sicurezza informatica, privacy e protezione dei dati sensibili’ dell’Università degli Studi di Milano, tra i relatori di Secsolutionforum 2022, traccia un’analisi approfondita sull’attuale scenario negli ambiti cybersicurezza e privacy.

“I quotidiani oramai riportano costantemente notizie riguardo gli attacchi verso infrastrutture, dati sottratti, blocco dei servizi. Purtroppo questo è il tratto distintivo del mondo digitale che, come in un’ipotetica guerra fra guardie e ladri, vede sempre più figure interessate a carpire dati e altre impegnate a proteggerli – dice Perri -. Quello in cui stiamo vivendo è un mondo sempre più digitale spinto ancora di più dalla pandemia che negli ultimi anni ha connotato un’ambiente nuovo dove si sono riversate tutte le attività, aumentando quella che in gergo si chiama superficie di attacco. La tendenza di crescita degli attacchi non può purtroppo essere interrotta, perché è strettamente legata al progressivo trasferimento di tutte le attività, comprese quelle economiche, nel cosiddetto cyberspazio”.

In tale quadro, oggi le politiche dell’Unione Europea sono tutte improntate sul dato e sulla realizzazione del cosiddetto digital single market, che vorrebbe arrivare a creare un mercato unico digitale, analogo al mercato unico dei beni e servizi fisici già esistente. In questo contesto, la sicurezza è la precondizione affinché un ambiente digitale sia affidabile, favorendo un sentimento di fiducia.

“Proprio la fiducia è la condizione per la quale le persone possono svolgere i loro affari all’interno di un ambiente virtuale – afferma quindi Perri -. Le proiezioni fornite dall’Unione Europea illustrano quanto beneficio possiamo ricavare in termini di PIL da un mercato basato sui dati, pertanto l’unica cosa che possiamo fare è affrontare il mondo digitale attuale con consapevolezza dei rischi e dei benefici, considerando che la consapevolezza è il primo requisito di un qualsiasi piano di sicurezza”.

La cybersicurezza fa quindi oramai parte dei processi nella maggior parte delle aziende e organizzazioni, le quali hanno aumentato gli investimenti, ben consapevoli delle situazioni di rischio a cui sono esposte. Nonostante ciò, l’aumento dei cyberattacchi è proporzionale al progresso nelle tecnologie di cybersicurezza e sembra destinato a divenire una costante.

“Purtroppo il trend è destinato ad aumentare, d’altronde ‘il ladro è sempre un passo avanti’ – rimarca il professore -. Ad ogni modo possiamo comunque trarre insegnamenti importanti dalle modalità di attacco e dalle possibili forme di prevenzione o di controllo del danno rispetto a minacce informatiche. Per questo motivo, l’Unione Europea attraverso le normative offre diversi stimoli riguardo la cybersecurity dalla quale emergono diversi aspetti e in particolare due parole chiave: proattività e resilienza. Queste parole indicano proprio la capacità che deve avere un sistema informatico: essere in grado di assorbire un attacco e garantire l’erogazione continua dei servizi, anche se molto probabilmente rallentati, non efficienti, ma mai interrotti. Resilienza significa logicamente realizzare un sistema che abbia la capacità di rispondere all’attacco, pertanto in questa continua lotta fra attaccanti e attaccati si prova ad essere sempre pronti cercando il miglior modo per identificare il vettore d’attacco, mitigando o ponendo un freno ai conseguenti danni”.

Perri ricorda quindi che la condivisione delle conoscenze rappresenta un’importante arma di difesa a nostra disposizione. Solo attraverso la condivisione delle esperienze, anche negative, in ambito di information security si può infatti arrivare molto più rapidamente all’identificazione e prevenzione di un problema, come ad esempio nei casi di attacchi informatici alle strutture sanitarie, che si sono moltiplicati in misura esponenziale durante la pandemia. A questo punto riuscendo a individuare rapidamente una minaccia, grazie alle condivisioni, è possibile risolvere in un tempo più breve il determinato problema,  garantendo la resilienza all’intero settore.

“Tornando a parlare di normative e approcci, l’Unione Europea ci spinge a riflettere su come in realtà, per quanto il business sia una pratica individuale, a livello digitale siamo tutti connessi. In tal senso, bisogna considerare da un punto di vista più ampio cosa possa rappresentare il cosiddetto fattore perturbativo: una filiera è composta da tanti attori e il problema di sicurezza di uno qualsiasi di questi soggetti è in grado di creare un effetto sconvolgente su tutta la filiera. L’economia odierna si basa molto sullo scambio di dati, quindi tutti gli attacchi creano conseguenze che sommate vanno ad impattare negativamente sull’obiettivo generale economico”.

Detto ciò, secondo Perri è possibile dividere gli aspetti di sicurezza in tre livelli:

  1. Primo livello: richiamando considerazioni sulla cybersecurity di carattere nazionale ma anche europeo, è possibile dire che la protezione di tutte le strutture che erogano servizi essenziali per la popolazione come telecomunicazioni, finanziario, PA ecc., devono rientrare dentro specifici accorgimenti di sicurezza che vengono ricompresi nel perimetro nazionale di cybersecurity. Le normative europee ragionano in questo modo: ogni nazione individua gli attori che devono rientrare nel perimetro di sicurezza e si impone loro l’adozione di misure speciali. A questo punto la sommatoria di questi attori che erogano servizi, porta ad ottenere un ipotetico insieme di perimetri. Essendo i perimetri nazionali frutto di una direttiva, tutti i paesi dell’Unione Europea avranno il loro perimetro totale; la somma di tutti questi perimetri stabilirà il perimetro di sicurezza cibernetico europeo.
  2. Secondo livello: la tipologia di sicurezza commerciale dove è possibile identificare, giuridicamente parlando, tutte le pratiche che possono essere classificate come delitti informatici e concorrenza sleale. Ad esempio, competitor che vogliono impadronirsi dell’elenco clienti di un concorrente, segreti industriali, brevetti, informazioni riservate relative a un prodotto, informazioni su fusioni e acquisizioni tra aziende, e anche sottrarre o alterare i dati relativi alle attività di profilazione dei consumatori. Quelle citate potrebbero rientrare tutte in pratiche concorrenziali sleali.
  3. Terzo livello: la sicurezza personale, ossia come proteggere i propri dati. Anche qui si possono fornire esempi su come evitare di essere truffato, inserito o catalogato in determinate ‘bolle filtro‘ dove i sistemi collocano la persona in base alle proprie preferenze. Queste ‘bolle filtro’ purtroppo non sono trasparenti poiché, dal momento in cui si viene inseriti nelle bolle, non si viene informati e non c’è modo di uscirne perché è possibile vedere solo una parte delle informazioni che vengono fornite. Quindi per avere un web libero e sicuro evitando il cosiddetto social sorting, la sicurezza delle informazioni e la trasparenza delle operazioni sono un presupposto fondamentale.

Infine, in tema di privacy, vi sono alcune sfide particolarmente attuali e alcune zone ancora scoperte che la normativa dovrebbe tutelare. “Esistono diversi problemi dettati dalla parte giuridica che ahimè non viaggia alla stessa velocità della tecnologia – spiega il professore -. L’avanzamento tecnologico è studiato per essere più repentino rispetto a quelle che possono essere le discussioni legislative. Ad ogni modo possiamo fare sempre riferimento a come si sta muovendo l’Europa e tengo a precisare che anche il nostro Paese ha le sue eccellenze in ambito digitale. Ciononostante, il problema è quello di avere due velocità differenti che non consentono al settore giuridico di andare di pari passo con la tecnologia, perché le sfide sono tante e il diritto si troverà sempre, per certi versi, ad inseguire la tecnica. Ad ogni modo, le normative che vengono pubblicate cercano di adottare delle formule abbastanza ampie da comprendere quelli che si prevede saranno i nuovi scenari tecnologici”.

“Il problema attuale è di carattere implementativo/esecutivo delle norme esistenti all’interno delle quali esistono ancora aree e sensibilità differenti – prosegue Perri -. Vi sono settori e aree geografiche che hanno una certa sensibilità sulla sicurezza e sull’importanza di proteggere i propri dati già molto elevata. Questa sensibilità viaggia di pari passo con la quantità di incidenti che si verificano. Un altro aspetto da considerare è che non è sempre facile assegnare un valore a un’informazione, ad es. un brevetto deve essere protetto da quelle misure di sicurezza proporzionate a proteggerne il valore. Un semplice esempio: avendo un oggetto al quale attribuiamo un elevato valore, per proteggerlo andremo a utilizzare una cassetta di sicurezza o una cassaforte, non di certo lo custodiremmo in un cassetto. Questo ragionamento si è abituati a farlo all’interno del mondo fisico ma molto meno nel mondo digitale, un po’ per mancanza di consapevolezza, un po’ perché si è spesso convinti di non avere dati o informazioni abbastanza interessanti“.

Siamo pertanto davanti a un problema che richiede un approccio culturale: le soluzioni di cybersicurezza esistono ma occorre far comprendere che i dati hanno decisamente un un peso e un valore, sono facilmente scambiabili ed estremamente mutevoli. “Non bisogna illudersi che il valore di quei dati non sia importante – dice Perri – perché è proprio da quello scambio che è possibile trarre valore attraverso elaborazioni di analytics dalle quali derivare la collocazione di un prodotto, la fascia di clientela che può esserne interessata, cosa è attrattivo e cosa no, le possibili migliorie e via dicendo”.

Perri rileva infine come il mondo digitale sia oggi strettamente collegato alla vera moneta del nostro tempo: la reputazione. “Se non siamo in grado di proteggere i dati dei nostri clienti e non generiamo un canale di fiducia, la reputazione del nostro lavoro o del nostro marchio crolla inevitabilmente, e quando crolla non c’è più nulla da fare. Nella rete, i luoghi dove esprimere il malcontento e dove raccogliere soggetti che hanno avuto le stesse esperienze o sensazioni negative sono tantissimi e fanno tanti proseliti. Nel momento in cui si viene a creare un canale di malcontento, non solo il singolo soggetto ma anche la concorrenza può sfruttarlo fomentando con ulteriori commenti negativi; non sarebbe una pratica etica ma è molto realistica”.

“Quelle di cui ho parlato sono le sfide attuali, quelle future passeranno sicuramente attraverso l’intelligenza artificiale e l’uso di sistemi automatizzati – dice in conclusione il professore -. Sotto questo aspetto l’Unione Europea sta predisponendo un pacchetto di leggi che possa regolamentare il fenomeno. Infatti durante la scorsa estate è stata presentata una bozza per regolamentare l’AI ed è tuttora in discussione, mentre è arrivato a conclusione il Data Service Act e ci sono altri testi normativi in discussione. Dal punto di vista regolamentare l’EU, seppur con la lentezza strutturale della produzione legislativa, sta cercando di fornire gli elementi per gestire questo ambiente così complesso. Dal nostro punto di vista di operatori di settore ci viene richiesta la consapevolezza, e altri fondamentali approcci possono essere tratti dalle proposte di legge che in questo momento sono in discussione, in particolare l’approccio ‘by design’ e ‘by default’. Tutti i sistemi, non solo i tool ma anche il piano di utilizzo di determinati dati, di campagne di marketing e quanto altro, devono essere organizzati sin dalle prime fasi di progettazione (by design) e per impostazione predefinita (by default) in maniera tale da garantire la sicurezza e la protezione di tutti i dati. È chiaro che se si parte con un mindset che porta a ragionare in termini di sicurezza e protezione il sistema non può che nascere già robusto. Diverso, e alla fine anche molto più dispendioso, è quando vengono applicati in un secondo momento parametri di sicurezza e riservatezza in un sistema progettato e realizzato senza. Mi sento di dire che non è più il caso di ‘chiudere il server dopo che sono scappati i bit‘ “.

Italia 5.0 è il magazine sull’Industria 5.0: Competenze umane, sostenibilità e automazione avanzata.

BRAND POST
Telmotor

Telmotor, azienda specializzata nell’Industry Automation ed Energy and Lighting Solutions, oggi sceglie di operare secondo un doppio binario: valorizzare le…