Secondo il Data Breach Investigation Report 2020 pubblicato da Verizon Business, gli attacchi alla cybersecurity delle applicazioni web sono raddoppiati negli ultimi sei mesi rispetto ai valori raggiunti in tutto il 2019. Un dato questo che sottolinea come l’avvento del Covid-19 abbia consentito al cyber crime di essere ancora più performante nella sua attività. Se da una parte, infatti, la pandemia che stiamo vivendo ha stravolto la nostra vita quotidiana e professionale, oltre ai consueti flussi operativi delle imprese, dall’altra è vero anche che questa stessa situazione ha aperto le frontiere di nuove modalità di attacco da parte dei criminali informatici che hanno spostato così la loro attenzione dagli uffici alle abitazioni dei lavoratori, allargando il loro raggio d’azione e rendendolo ancora più capillare ed espansivo.
Avvocato Mele, con l’avvento del Covid-19 il tasso di attacchi alle reti domestiche e ai dispositivi connessi è aumentato a dismisura, raggiungendo livelli mai visti prima. Lo smart working e la permanenza nelle abitazioni ha portato i criminali informatici a spostare la propria attenzione dagli uffici alle case dei professionisti. Come sarà possibile riuscire ad arginare questa nuova situazione di rischio in un’epoca nella quale il digitale sta prendendo il sopravvento su qualunque attività quotidiana?
“Sicuramente ci sono alcuni consigli che possono aiutare a colmare il gap che società private e pubblica amministrazione si sono trovate ad affrontare con l’emergenza Covid-19. Nessuno era preparato, infatti, a gestire una migrazione di massa di tutti i propri dipendenti né sul piano tecnologico, né sotto il profilo delle policy e tanto meno dal punto di vista dei processi di security. Ci si è quindi dovuti adattare e chi non l’ha ancora fatto dovrà farlo adesso con grande urgenza, perché il pericolo purtroppo non è ancora finito. È un dato di fatto che, durante il lockdown, la quasi totalità delle aziende e delle pubbliche amministrazioni si sono trovate di fronte alla necessità di dover costruire, con estrema urgenza e praticamente da zero o quasi, la loro capacità di consentire a ogni singolo dipendente di fruire dei servizi lavorativi dal proprio appartamento. In quel periodo, che purtroppo perdura, c’è stato innanzitutto un tema di messa a disposizione delle tecnologie nei confronti dei dipendenti e di allineamento di questi strumenti sotto il punto di vista dei processi di cybersecurity, con regole molto stringenti e soprattutto omogenee, al fine di evitare di avere tante minacce alla rete aziendale quanti sono i dipendenti connessi. Oltre a ciò, poi, c’è il discorso delle policy, ovvero della formalizzazione delle regole che ogni utente/dipendente dovrà seguire, in modo che esso comprenda molto bene il processo straordinario di trasformazione imposto dall’emergenza e le regole che dovrà seguire. Regole che, inevitabilmente, devono tener conto delle ormai numerose normative che producono effetti nel settore della sicurezza cibernetica, dall’ormai celeberrimo GDPR, fino al nuovo Perimetro di Sicurezza Nazionale Cibernetica, passando per norme europee fondamentali come la Direttiva NIS e il Cybersecurity Act”.
Secondo i dati di numerose ricerche, da quando è in atto la Pandemia, gli obiettivi preferiti dei criminali informatici oltre alle email, sono diventati anche siti di eCommerce e applicazioni mobile, soprattutto di video streaming. Con una scuola che riprende in formato ibrido, un commercio che non riparte se non attraverso portali di vendita online e un utilizzo dello smartphone sempre più massivo, anche per accorciare il distanziamento sociale imposto dal lockdown, quali saranno o dovranno essere le precauzioni e gli asset principali da considerare per gestire la sicurezza delle persone?
“In realtà, l’asset principale su cui puntare e da tenere in considerazione per proteggere le persone sono proprio le persone stesse. Non possiamo continuare a rincorrere le attività e ogni nuova modalità di attacco della criminalità informatica, perché altrimenti – com’è sotto gli occhi di tutti – siamo e saremo sempre più di un passo indietro e quindi inevitabilmente sconfitti. In questo contesto, a mio avviso, potrebbe essere molto più interessante un approccio strategico che veda la formazione dell’utente/dipendente sui temi della security, del GDPR e della cyber security come un requisito fondamentale per operare in un’organizzazione, sia essa pubblica o privata, aiutando così a creare quell’indispensabile base di anticorpi necessari per far sì che attacchi banali come, ad esempio, il phishing, così come le nuove e più sofisticate azioni malevole contro siti di eCommerce, app e IoT di casa non vengano “rincorse” a seguito dei loro effetti, ma comprese o anche solo intuite in anticipo grazie a un set di comportamenti che sono alla base del patrimonio culturale di ciascun cittadino. Dobbiamo, quindi, creare una base culturale forte, oggi completamente assente, e dobbiamo farlo fin dalle scuole primarie. Così come, tempo fa, tra le materie dell’istruzione esisteva sin dalle scuole elementari l’educazione civica, allo stesso modo noi oggi dobbiamo creare e insegnare la materia dell’educazione civica digitale. Ciò potrà senz’altro aiutare i giovani a sviluppare una forte base culturale sulle principali questioni tecnologiche e di cyber security, contribuendo anche all’accrescimento di una forte consapevolezza anche su temi sociali particolarmente rilevanti come il cyber bullismo o la pedopornografia online. È questa la ragione per cui da tempo affermo che l’essere umano è l’asset più importante su cui investire e di cui prendersi cura, essendo esso l’elemento cardine di interazione con l’ambiente digitale attuale e futuro, oltre che il classico anello più debole della catena della sicurezza. Senza delle solide e profonde fondamenta culturali su questi temi la nostra società sarà sempre sconfitta dal prossimo attacco cibernetico o dalla prossima ondata di interessi criminali”.
Il futuro della cyber ecurity dipenderà dunque dall’introduzione nelle scuole di un’educazione civica digitale?
“Credo che per il futuro del digitale sarà fondamentale porre delle norme di comportamento sul convivere online. Lo scenario tecnologico è sempre più caratterizzato da una comunicazione one-to-all ed è su questo elemento che dobbiamo porre grande attenzione. È altrettanto chiaro, a mio avviso, quanto questo sia un settore nuovo e complicato da comprendere, ma è un segmento ancora oggi caratterizzato purtroppo, soprattutto a livello psicologico, dal problema del filtro del monitor e della tastiera, del non guardare in faccia il nostro interlocutore, del non capire gli effetti che hanno i nostri comportamenti sbagliati. Tutto questo, inevitabilmente, agevola questi comportamenti sbagliati e la loro reiterazione”.
La difficoltà, ora, però, è riuscire a trasmettere queste regole educative alle differenti generazioni…
“Si, è uno dei problemi principali. A questo si aggiunge anche che viviamo in un’era in cui la tecnologia evolve più velocemente rispetto alla capacità del nostro cervello di imparare e adattarsi ai nuovi strumenti. Vi è un disallineamento tra la capacità della nostra mente di imparare e la costante evoluzione tecnologica. A mio avviso, quindi, è sia un tema di ricambio generazionale, che di rincorsa alle novità tecnologiche, le quali hanno spesso bisogno di un differente approccio all’utilizzo, così come alle regole di sicurezza. Per questo, secondo me, occorre far sì che le regole base non cambino, ma varino solo le metodologie attraverso cui si applicano queste regole. Metodologie che devono essere completamente trasparenti all’utente, ovvero l’utente non se ne deve preoccupare. Mi spiego meglio: così come abbiamo imparato a pretendere che un’automobile abbia di default il maggior numero di sistemi di sicurezza possibile e anche che per utilizzarli non si debba essere degli esperti e men che mai dei laureati in ingegneria, perché tutto funzioni automaticamente e senza bisogno dell’intervento umano, allo stesso modo dobbiamo arrivare a un livello culturale tale per cui sia il mercato a pretendere dai produttori un alto livello di cybersecurity in tutti i nostri dispositivi, chiedendo altresì che questi agiscano efficacemente senza bisogno dell’intervento umano. Finora questi aspetti sono stati completamente ignorati dagli utenti e di conseguenza dalla maggior parte dei produttori, che hanno così massimizzato i profitti (non dovendosi preoccupare più di tanto di investire in sicurezza). Il mercato, pertanto, si è sviluppato lungo delle direttrici che hanno portato oggi a un vero e proprio disastro sul piano della sicurezza informatica e delle informazioni. In questo senso, le preoccupazioni dovrebbero aumentare, dato che siamo all’alba di una nuova era tecnologica dove le parole Internet of Things (IoT) e intelligenza artificiale spalancheranno le porte a una vera rivoluzione in ogni settore della nostra società”.
In questo senso, l’impegno delle istituzioni nella creazione di valide normative regolatorie offrirà un aiuto concreto e in questo senso dalla gestione dei dati sensibili alla creazione di un perimetro di sicurezza cibernetica, l’Europa e lo stato italiano hanno cercato di porre le basi di una difesa complessa da sostenere e organizzare senza per questo imbrigliare gli utenti in una morsa fatale. Come giudica lei i provvedimenti presi dal governo italiano in questo senso e, a poche settimane dall’attuazione di quei provvedimenti, su cosa bisognerà concentrare l’attenzione per evitare di fare errori che potrebbero essere difficili da recuperare?
“L’Italia è stata tra gli stati capofila dell’attuazione della Direttiva NIS, ovvero la direttiva europea che richiede a tutti gli Stati membri di innalzare i livelli di cyber security anzitutto nei confronti delle società che forniscono servizi essenziali e servizi digitali per i cittadini. Il nostro Paese, quindi, è stato tra i due o tre stati dell’Unione Europea che hanno portato ad attuazione questa normativa prima degli altri. Detto ciò, il perimetro di sicurezza nazionale cibernetica è una normativa molto intelligente e lungimirante, perché con essa il legislatore italiano comprende che non solo gli operatori privati che erogano i servizi essenziali sono importanti per la sicurezza nazionale dell’Italia, ma anche la pubblica amministrazione con, ad esempio, gli ospedali pubblici e i Ministeri, così come numerose altre società private, spesso piccole e medie imprese operanti sul territorio nazionale. In funzione di ciò, quindi, si è giustamente pensato di creare un “perimetro” che ricomprendesse anche questi soggetti”.
Proprio in questi giorni l’UE ha deciso di aprire l’attività di revisione della Direttiva NIS, la normativa europea sulla sicurezza informatica. Quale sarà secondo lei l’aspetto più importante da modificare per fare tornare la norma al passo con i tempi?
“Il problema che possiamo sottolineare con maggiore evidenza è la non omogeneità delle misure di sicurezza all’interno degli Stati membri dell’UE. L’Unione Europea, infatti, ha imposto un obiettivo di sicurezza e ha indicato come raggiungerlo. Tuttavia, per il principio di sussidiarietà, l’UE non ha potuto legiferare anche in maniera specifica in relazione alle misure di sicurezza richieste a tutti gli operatori di servizi essenziali e ai fornitori di servizi digitali presenti all’interno dei confini europei, lasciando spazio al legislatore nazionale di ogni singolo Stato membro. Ciò, com’è facile immaginare, ha creato numerosi problemi soprattutto per le società multinazionali o per gli operatori che svolgono la propria attività in più Paesi dell’Europa a causa dell’ovvio disallineamento tra Stati in relazione alle misure di sicurezza da applicare. Lo sforzo richiesto, pertanto, è sicuramente sproporzionato e, quindi, immagino che questo sarà senz’altro il primo tema da valutare in fase di aggiornamento”.
Il problema della compattezza nella visione delle cose è da sempre il problema europeo nei confronti di USA e Cina. Dove dovrebbe puntare secondo lei il vecchio continente per poter superare questo problema nel campo della cyber security?
“Credo che l’Unione Europea sia efficace solo se unita e se ha la capacità di agire unita. Purtroppo, siamo ancora lontani da questo obiettivo. Tuttavia, anche per il settore della cyber security, creare strategie comuni e ad ampio respiro, imporre normative cogenti allineate alle esigenze di tutti i Paesi membri, sforzarsi di creare un mercato tecnologico e digitale unico, creare una certificazione europea in materia di sicurezza cibernetica dei prodotti e servizi e tanto altro, significa porsi sul sentiero giusto. In tal senso, la strategia di essere “equivicini” nella partita economica tra Stati Uniti e Cina è assolutamente perdente. Infatti, se è giusto tessere delle relazioni commerciali con qualsiasi Paese si ritenga opportuno, ivi compresa la Cina, tutt’altra cosa è stringere accordi politici di ampia visione. La partnership commerciale è un conto, un’alleanza politico-strategica è, invece, qualcosa che deve avere dei connotati molto più profondi, basati, ad esempio, sull’identità di valori, sulle garanzie di libertà e sui diritti, su una visione comune prospettica del mondo. Se questa è la base, non ci sono dubbi che in questa partita l’alleanza con gli Stati Uniti non dovrebbe essere messa neanche per un secondo in discussione. L’Italia non può che svolgere il proprio ruolo primario all’interno dell’Unione Europea, della NATO e del blocco occidentale insieme agli Stati Uniti”.
Quindi bisognerebbe espandere il perimetro di sicurezza a tutto il territorio europeo?
“Si, l’idea potrebbe essere proprio questa: creare un Perimetro di Sicurezza Nazionale Cibernetica Europea, partendo dall’esempio italiano e dal grande lavoro fatto dalla Direttiva NIS e dal Cyber security Act, normativa, quest’ultima, incredibilmente ancora troppo poco analizzata e dibattuta. Un’occasione, questa, anche per ricomprendere le piccole e medie imprese, ad oggi il vero motore economico dell’Italia e dell’intera Unione europea. Ovviamente, si dovrà pensare ad una soluzione per garantire i medesimi livelli alti di sicurezza cibernetica richiesti dal legislatore europeo anche per queste aziende che purtroppo non hanno la capacità economica di spendere decine di milioni di euro all’anno su questo tema. In tal senso, guardo con estremo interesse al progetto “Gaia-X”, purché venga davvero realizzato come un consorzio tra tutti gli Stati membri e non come il volere di pochi, forti, Stati europei ad esclusivo vantaggio delle loro economie. Siamo, insomma, all’alba di una prova di maturità dell’Europa nel settore tecnologico e della cyber security”.