Cybersecurity: la necessità di una formazione adeguata e il futuro che ci aspetta

“I computer sono inutili. Ti sanno dare solo risposte”

Pablo Picasso

“Big Brother is watching you” George Orwell “1984”

Siamo immersi in una rivoluzione tecnologica profonda: dall’intelligenza artificiale alle blockchain¹ si tratta di rivoluzioni ingegneristiche (non più di laboratorio) che trasformeranno sempre più la nostra vita. Le principali problematiche, oltre ad un’evidente e preoccupante manipolazione dei nostri comportamenti e dell’ingerenza nel campo relazionale umano, sono in gran parte connesse alla privacy.

Al contempo, disquisire di sicurezza cibernetica e di tutela della propria privacy in un mondo così connesso può sembrare improprio e privo di senso poiché la spinta alla relazione con il prossimo è un bisogno umano primario e nettamente superiore alla difesa della propria riservatezza. Ma proviamoci: ad oggi, su Facebook sono iscritte oltre tre miliardi di persone, su Instagram oltre 2 miliardi e così via per altre piattaforme. Ogni giorno miliardi di persone condividono con altri i loro interessi, la loro vita privata, lavorativa e pubblica; politici, imprenditori, artisti, sportivi, gente comune. Dall’ordinario allo straordinario, quotidianamente o in alcuni periodi, gli utenti di queste piattaforme sentono l’esigenza di compiere un click che potrebbe compromettere la propria privacy. Eppure, lo fanno. Senza indugio.

Dal 2020 qualcosa, però, è cambiato.

Come affermato da Paul J. Tortora, direttore del Center for Cyber Security Studies della United States Naval Academy: “Dopo la pandemia Covid-19, il panorama della sicurezza informatica e del cyberspazio ha subito significativi cambiamenti, soprattutto per quanto riguarda l’utilizzo tecnologico da parte delle persone. Basti pensare al lavoro a distanza, che ha portato a un aumento significativo dei problemi legati alla sicurezza informatica a tutti i livelli, agli attacchi correlati al Covid-19 come phishing, malware e ransomware, e all’accentuazione dell’importanza della sicurezza degli endpoint e del modello zero trust”.

Quando pensiamo alla sicurezza informatica solitamente ci soffermiamo sulla sicurezza dei dati personali, a come proteggere i nostri dispositivi, a quale antivirus acquistare e quali impostazioni attivare sui nostri device² per evitare attacchi dall’esterno. Tuttavia, c’è un altro modo di intendere la sicurezza informatica: quella relativa alle implicazioni nel mondo aziendale, in cui, per stabilire il confine tra la sicurezza informatica e la cybersecurity, bisogna partire dal tipo di dati che dovranno essere protetti.

In un primo approccio alla materia si può affermare che la cybersecurity si occupa della protezione dei dati da accessi non autorizzati mentre la sicurezza informatica, si occupa di proteggere i dati più in generale e dunque anche da accessi legali e autorizzati.

Ora, per le aziende queste due forme di sicurezza, informatica e cybersecurity, sono egualmente importanti poiché circa un terzo e di tutte le dimensioni hanno subito violazioni negli ultimi anni.

Se la tecnologia può aiutare a proteggere contro molte minacce, l’elemento umano rimane un fattore critico. Ne dà evidenza il Proofpoint Inc. (al sito: https://www.proofpoint.com/us), tra le primarie realtà a livello mondiale nel settore della cybersecurity e della compliance, nel suo report annuale Voice of the CISO³ che analizza sfide, aspettative e priorità principali riportate dai Chief Information Security Officer (Ciso)⁴ di tutto il mondo.

Leggendolo si comprende come ci sono diversi tipi di errori umani che possono esporre un’azienda al cybercrime, tra cui:

• Password: l’utilizzo di password deboli o condivisione di password tra gli utenti rappresenta un rischio per la sicurezza dei sistemi. Anche la mancanza di aggiornamento regolare e l’assenza dell’autenticazione a due fattori indeboliscono la sicurezza;

• Phishing: gli utenti che aprono e-mail di phishing possono fornire informazioni personali o di accesso a siti web fraudolenti;

• Link dannosi: gli utenti che cliccano su link dannosi in e-mail o sui social media possono scaricare malware sui loro dispositivi;

• Utilizzo di dispositivi non protetti: servirsi di dispositivi privati per lavoro, senza protezione adeguata, può esporre l’azienda a minacce informatiche;

• Mancanza di formazione del personale: il personale non competente su questioni di sicurezza informatica può portare a errori di sicurezza;

• Protezione dei dati insufficiente: la mancanza di misure di sicurezza appropriate può rendere i dati sensibili vulnerabili alla violazione;

• Gestione degli accessi e monitoraggio delle attività non adeguati: controlli di sicurezza non efficaci possono rendere l’azienda vulnerabile agli attacchi informatici.

Si può discutere molto sulle varie soluzioni a queste problematiche ma certamente un’adeguata formazione dei dipendenti in tal senso è la prima strada da percorrere. Per prevenire gli errori umani, infatti, è fondamentale che le aziende investano in programmi continui e regolari di formazione e sensibilizzazione sulla sicurezza informatica per i loro dipendenti su come riconoscere le minacce comuni come il phishing e come rispondere in caso di sospetti attacchi.

Certamente, un grande passo in avanti è stato fatto con l’introduzione della legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, che, dopo essere stata approvata in Senato in via definitiva il 20 giugno 2024, con 80 voti a favore, 3 contrari e 17 astenuti, arriva in Gazzetta Ufficiale in Serie Generale n. 153 del 2-7-2024. I punti salienti di seguito riassunti:

• Inasprimento delle pene: il DDL raddoppia le pene per l’accesso abusivo ai sistemi informatici, passando da 1-5 a 2-10 anni di reclusione, e prevede fino a 2 anni di reclusione e multe per chi detiene o distribuisce software dannoso.

• Obbligo di notifica degli incidenti: le Pubbliche Amministrazioni saranno ora obbligate a segnalare gli attacchi informatici all’ACN entro 24 ore dall’accaduto.

• Nomina di un referente per la cybersecurity: gli Enti Pubblici dovranno nominare un referente per la cybersecurity, responsabile della gestione e del governo delle tematiche relative alla sicurezza informatica, in linea con la Direttiva NIS2 europea.

• Rafforzamento del ruolo dell’ACN: l’Agenzia per la Cybersicurezza Nazionale avrà maggiori responsabilità nella prevenzione degli attacchi e nel coordinamento con l’autorità giudiziaria

• Introduzione di nuove figure di reato: Il DDL configura reati specifici, come l’estorsione cibernetica, e migliora gli strumenti di indagine e accertamento dei reati.

Pur rappresentando un passo significativo nella lotta contro il cybercrime in Italia, tuttavia, la prevenzione rimane un aspetto cruciale e ancora parzialmente inesplorato. Mentre il disegno di legge si concentra principalmente sulla risposta e sulle sanzioni relative agli attacchi informatici, un’attenzione maggiore dovrebbe essere rivolta alla prevenzione di tali attacchi. Questo implica non solo miglioramenti a livello legislativo e di policy e governance, ma anche, come già accennato, un impegno costante nella formazione e nell’aggiornamento delle competenze del personale, nonché nell’adozione di tecnologie avanzate per la sicurezza informatica. Solo un approccio “olistico”, che combini educazione, regolamentazione, collaborazione, rafforzamento della resilienza, innovazione e cooperazione internazionale, può permettere alle società aperte di gestire il rischio cyber e proteggere cittadini, imprese e infrastrutture critiche in un mondo digitale sempre più interconnesso.

Anche perché la probabilità di un grande evento informatico aumenta quindi è importante essere preparati incorporando nella struttura ed organizzazione aziendale una cultura di consapevolezza informatica. Ciò richiede istruzione e formazione che dovrebbe essere aggiornata regolarmente per riflettere le minacce che tutte le organizzazioni devono affrontare da attori malintenzionati, compresi gli stati nazionali.

La strada è ancora lunga e il suddetto disegno di legge, pur se da considerarsi positivo, dimostra quanto ancora ci sia da fare in termini di sicurezza informatica e di legislazione applicata alle nuove tecnologie⁵.

Sempre Paul J. Tortora: “Le organizzazioni e i professionisti della cybersecurity dovranno rimanere vigili, adattivi e proattivi nel navigare le complessità del cyberspazio nei prossimi anni. Sarà fondamentale il crescente ruolo dell’intelligenza artificiale e del machine learning, l’attenzione dei governi alla privacy degli utenti e all’uso etico delle tecnologie, nonché il potenziale rivoluzionario delle tecnologie di calcolo quantistico, che richiederanno nuove soluzioni crittografiche”.

¹ La tecnologia blockchain è un meccanismo di database avanzato che permette la condivisione trasparente di informazioni all’interno di una rete aziendale. Un database blockchain archivia i dati in blocchi collegati tra loro in una catena. I dati sono cronologicamente coerenti perché non è possibile eliminare o modificare la catena senza il consenso della rete. Di conseguenza, è possibile utilizzare la tecnologia blockchain per creare un libro mastro inalterabile o immutabile per tracciare gli ordini, i pagamenti, gli account e altre transazioni.

² Nel linguaggio dell’informatica, dispositivo elettronico.

³ Link di collegamento: https://www.proofpoint.com/it/resources/white-papers/voice-of-the-ciso-report

⁴ Il Chief Information Security Officer (CISO) ha il compito di definire le strategie di sicurezza informatica da implementare per proteggere i dati aziendali e allo stesso tempo si occupa di valutare i rischi all’interno dell’organizzazione per rafforzarne le difese informatiche. Progettare un programma di sicurezza efficace, creare piani di disaster recovery, e fornire formazione ad utenti, dirigenti, amministratori, e titolari sulle migliori pratiche di sicurezza informatica da adottare, costituiscono i principali compiti di un CISO.

⁵ Entro il 2026 l’Agenzia per la Cybersicurezza Nazionale (ACN) prevede il raggiungimento di 82 misure, utili per tutelare settori specifici come quello finanziario, sanitario ed energetico.