international analysis and commentary

Cybersecurity: tra sfida legislativa e promozione dell’igiene digitale

964

La guerra russo-ucraina ha dato il suo contributo decisivo a un trend già in essere nell’era post-pandemica: l’acutizzarsi del rischio legato agli attacchi informatici. A distanza di quasi un anno dall’invasione russa, è evidente quanto il conflitto abbia modellato il panorama delle minacce cyber, in crescente aumento: solo gli attacchi di phishing (tecnicamente piuttosto elementari) di matrice russa contro indirizzi e-mail di aziende europee e statunitensi sono aumentati di 8 volte. Molti Paesi europei, tra cui l’Italia, si sono ritrovati al centro del mirino del crimine informatico, sempre più centralizzato e sofisticato, alimentato dal cosiddetto “hacktivismo” ovvero l’intrusione in un sistema informatico, per scopi politici o sociali.

 

Il massivo attacco hacker di inizio febbraio che ha compromesso migliaia di sistemi informatici in tutto il mondo – al momento la Francia risulta il Paese più colpito, seguono Italia, Finlandia, Stati Uniti e Canada – con la sua notevole risonanza mediatica, fa emergere non solo la mancanza di una consapevolezza comune, ma anche quanto il fattore umano sia ancora l’anello debole ed elemento di rischio della catena. L’attacco, volto alla distribuzione di un ransomware (riscatto), ha infatti preso di mira i server VMware ESXi, sfruttando una vulnerabilità già nota e risolta nel febbraio 2021 da VMware: le organizzazioni che nel corso degli ultimi due anni non hanno corretto tale vulnerabilità hanno così lasciato i propri sistemi indifesi, restandone bloccati fuori.

L’unico strumento in mano alle istituzioni per ottenere la mitigazione sistematica di tali minacce è l’emanazione di normative in tema di cybersecurity volte all’imposizione alle aziende di nuovi standard di sicurezza informatica.

Nel 2022, il Parlamento Europeo ha dato il via libera all’entrata in vigore della nuova legislazione, ad integrazione e modifica del quadro europeo già esistente: lo scorso il 27 Dicembre 2022 nella Gazzetta Ufficiale dell’UE venivano pubblicati la Direttiva NIS 2, il Regolamento DORA, e la direttiva CER. L’obiettivo è quello di incrementare le misure di resilienza e della sicurezza a protezione delle infrastrutture critiche e garantire “un livello comune elevato di cybersecurity in tutta l’Unione, per migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti sia del settore pubblico che di quello privato e dell’UE nel suo insieme”. Secondo il Global Cybersecurity Outlook 2023 pubblicato a margine del World Economic Forum, i dirigenti privati del settore informatico sono molto più orientati, rispetto allo scorso anno, alla concezione delle normative in ambito di data privacy cybersecurity come fattore abilitante alla resilienza informatica.

Se la legislazione va nella direzione corretta, il panorama aziendale accoglie favorevolmente le norma ed è pronto al rispetto ed allineamento ai nuovi requisiti e standard normativi, si deve però porre un quesito centrale: perché il quadro teorico della cybersecurity risulta tutt’altro che concluso e non sufficiente rispetto alla forma mutevole delle minacce cyber?

 

Leggi anche: L’Europa in ritardo sull’AI: politica industriale e diritti

 

Prendendo un caso di studio, a preoccupare i dirigenti di sicurezza sono soprattutto gli attacchi alla “supply chain” aziendale, ovvero la catena di approvvigionamento, noti anche come attacchi alle terze parti fornitrici o violazioni della backdoor: negli ultimi tre anni è stato registrato un aumento del 742% con una forte tendenza in crescita prevista per il 2023. Le grandi aziende – concentrando le proprie risorse nei processi chiave in ottica di miglioramento della qualità del loro business – tendono a esternalizzare il più possibile le attività secondarie a piccole o medie aziende conosciute come terze parti. L’esternalizzazione dei processi aziendali alle terze parti aumenta considerevolmente la superficie di attacco: qualora esse siano affette da un incidente che rende indisponibili i sistemi informatici, l’intero ecosistema digitale ne risente negativamente. In termini pratici, se un fornitore subisce una violazione, l’attore della minaccia ha accesso ai dati condivisi, i quali risulterebbero ormai compromessi; inoltre, se il fornitore è abilitato all’accesso della rete aziendale, l’attore malevolo può sfruttare l’occasione per infiltrarsi nella stessa.

I rischi connessi alle terze parti sono già oggetto di disciplina del succitato Digital Operational Resilience Act (DORA) introdotto dal Parlamento Europeo. Il regolamento, che prevede l’introduzione di obblighi in materia di cybersecurity per aziende del settore finanziario e dedica il Capitolo V alla gestione delle Terze Parti, fu presentato dalla Commissione Europea il 24 settembre del 2020 e approvato il 10 novembre 2022 dal Parlamento Europeo. DORA è entrato ufficialmente in vigore il 17 gennaio 2023 e con potere vincolante dal 17 Gennaio 2025. Le minacce cyber sono in continua evoluzione, un incidente informatico può avvenire in pochi secondi e dev’essere gestito in pochissimo tempo per limitarne i danni, ma l’approvazione e la successiva entrata in vigore di un regolamento di tale importanza può arrivare, come appunto in questo caso, a coprire un arco temporale della durata di 5 anni.

Si identificano così due problemi principali, paralleli ma anche conseguenti:

  • La mancate tempestività della legislazione: il sistema in cui le normative in materia di cybersecurity sono costruite è fortemente centralizzato. I regolamenti risultano sicuramente validi, ma i processi burocratici dietro lo sviluppo e la standardizzazione della legislazione richiedono un tempo troppo lungo rispetto alle minacce da affrontare. Nella storia dell’uomo, ogni grande crisi conduce a grandi innovazioni: la crisi da Covid-19 ha portato un’accelerazione nella trasformazione digitale senza precedenti, ma la velocità di implementazione delle nuove tecnologie supera spesso la capacità di costruire misure di sicurezza intorno ad esse.
  • La difficoltà delle piccole e medie imprese: come emerge dal caso studio, i vettori di attacco cyber risultano spesso le aziende di dimensione limitata, le quali devono far fronte alla difficoltà di mantenersi competitive nell’erogazione dei loro servizi e superare adeguatamente le sfide poste dal panorama delle minacce. Ciò si traduce in ingenti investimenti divisi (dunque in qualche modo dispersi) tra il miglioramento del proprio business e la gestione del rischio cyber.

Le aziende e le organizzazioni, per essere resilienti ed avere un livello di sicurezza informatica adeguato al panorama delle minacce, devono necessariamente andare oltre la semplice conformità ai nuovi requisiti normativi: il solo adeguamento agli standard non è sufficiente al raggiungimento di un elevato livello di sicurezza. Tuttavia, leggi e regolamenti europei e nazionali possono essere un buon punto di partenza per prestabilire gli obiettivi minimi di cybersecurity di un’azienda, come un quadro della gestione dei rischi o un buon piano di accrescimento e sensibilizzazione della conoscenza sui temi in questione.

 

Leggi anche: L’elemento cyber nella guerra russo-ucraina

 

Ulteriore soluzione alla questione normativa potrebbe risiedere in ciò che molti esperti a metà tra il mondo digitale e quello legale discutono da tempo: rendere la cybersecurity un diritto fondamentale della persona fisica e giuridica, sul modello del diritto alla protezione dei dati introdotto in Europa dal GDPR. La legislazione europea ha iniziato a prendere questa direzione già nel 2019 con l’EU Cyber Security Act, esprimendosi così nell’ottavo considerando “La cibersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche una in cui il comportamento umano è di pari importanza. Di conseguenza, è opportuno promuovere energicamente l’«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.”

L’equiparazione della cybersecurity a diritto fondamentale comporta l’istituzione di un modello onnicomprensivo, nella quale le organizzazioni devono allinearsi agli obblighi in materia di sicurezza e gli individui devono adottare le cosiddette pratiche di “cyber-igiene” volte alla protezione del loro diritto. Tali pratiche collettive, paragonabili ai normali accorgimenti adottati nel mondo reale volti alla protezione della nostra incolumità e dei nostri beni, diventerebbero così azioni ordinarie, come inserire l’allarme alla porta di casa o chiudere a chiave gli armadietti.

In conclusione, sebbene lo studio di Armis (azienda specialista del settore di cybersecurity per dispositivi Internet of Things e industriali) provi che un terzo (33%) delle organizzazioni globali non prenda sul serio i rischi connessi alla minaccia di guerra cibernetica, la spesa per i servizi di difesa, resilienza e protezione cibernetica continua ad aumentare. Le normative in materia di cybersecurity, nonostante siano vittime di una macchina burocratica farraginosa, stanno andando nella giusta direzione e buona parte delle imprese sono pronte a fare di più per aumentare la loro resilienza, migliorando l’alfabetizzazione informatica e la condivisione delle informazioni.

Sebbene le minacce informatiche aumentino in portata e sofisticatezza di anno in anno, la resilienza globale sta migliorando, ma, per citare il Global Risks Report del World Economic Forum per il 2023 “non in modo sufficientemente rapido da permettere alla maggior parte delle organizzazioni e delle imprese di essere sicure di essere attrezzate per affrontare un evento informatico di grande portata. La resilienza e la preparazione dovrebbero essere al centro della strategia aziendale”.