L’elenco è lungo e il perimetro vasto: il cyber crime estende il suo raggio di azione in tutti i gangli della vita pubblica e privata. Non sembra esserci nessun luogo sicuro dove riporre i propri dati aziendali o personali, la propria memoria, le proprie scelte politiche o le proprie invenzioni. Tutti i valori, o meglio i dati, ritenuti immateriali sono divenuti merce di scambio, di ricatto, di uso improprio e illegittimo. Le imprese, le istituzioni, come rispondono?
La scorsa settimana si è svolta a Roma presso l’Università La Sapienza, la presentazione del dell’Italian CyberSecurity Report 2016, realizzato dal CIS-Sapienza e dal Laboratorio Nazionale di Cyber Security, dove è stato fatto il punto della situazione sulla sicurezza informatica del Paese. Anzitutto le notizie sugli ultimi 60 giorni: l’anno in corso inizia con la vicenda Piramid Eye, con le indagini tuttora in corso, e evidenzia l’uso, ormai consolidato, di malware finalizzati all’intrusione nelle mail e nei server di noti personaggi della politica e dell’economia. Pochi giorni dopo, l’autorevole quotidiano inglese The Guardian, rivela che le mail del Ministro degli Esteri italiano è stato sotto attacco per almeno quattro mesi nel 2016.
A metà febbraio l’Authority tedesca per le Tlc decide di ritirare dal commercio una bambola perché ritenuta pericolosa per la privacy, sollevando, di fatto, il coperchio della fragilità dell’Internet della Cose (IOT). Sempre a metà febbraio, il Governo italiano aggiorna il DpCm sulla Sicurezza Informatica del Paese, cercando di razionalizzare e aggiornare il precedente Decreto Monti sulle operatività delle strutture istituzionali predisposte alla vigilanza sul Cyber Crime. Il nuovo Decreto, tra l’altro si integra con le recenti disposizioni comunitarie – la Direttiva Network and Information Security – elaborata proprio per rendere più sicuro lo spazio informatico europeo. Il 22 febbraio viene presentato il Rapporto Clusit 2016 a cura dell’Associazione Italiana per la Sicurezza Informatica, dove, tra l’altro, si legge che il nostro Paese è a pieno titolo tra i primi dieci al mondo nella classifica degli obiettivi di Cyber Crime.
Ma la vera notizia, ora emersa con particolare evidenza, è che il terreno di battaglia non è più solo quello delle grandi istituzioni o aziende, quanto invece l’obiettivo è la spina dorsale dell’economia nazionale: le imprese di medie e piccole, o addirittura micro, dimensioni. E proprio in questo ambito che si concentra la maggior parte di aggressioni informatiche illecite, proprio laddove sono più bassi i livelli di consapevolezza del rischio, di capacità di reazione, di aggiornamento e formazione del personale. In sostanza: la cultura sulla sicurezza fisica, logica e organizzativa dei sistemi ICT aziendali nel nostro Paese è sostanzialmente scarsa.
Scarseggiano i dati, anche perché spesso si tratta di aggressioni da valori economici contenuti (la richiesta di riscatto varia in proporzione con l’entità del furto, si parla dalle centinaia o poche migliaia di euro), sopportabili da aziende di piccole dimensioni che, pur di non subire il danno, pagano e tacciono. Mentre fa più rumore mediatico la notizia di un attacco ad una sede istituzionale o una grande azienda. Secondo fonti del Politecnico di Milano,ul fatturato italiano dell’Information Security nel 2016 è cresciuto del 5% rispetto all’anno precedente ma ha riguardato solo il le grandi imprese che sono interessate al 74% dei circa 980 milioni investiti nel settore. I settori più colpiti riguardano la sanità, la grande distribuzione, il settore banche e finanza al terzo posto.
Il meccanismo di attacco più semplice e noto consiste in un ransomware (i più noti sono noti come Cerber e Zeus) che si inserisce nelle memorie e si appropria dei file presenti nei sistemi. Una volta compiuta l’aggressione si criptano le informazioni e si chiede alla vittima un riscatto per tornare in possesso dei propri dati. Spesso viene ritenuto fondato il principio che ritiene l’investimento in Sicurezza è una spesa certa a fronte di una possibilità incerta e, con questo criterio, si lascia aperto l’uscio dove entrano i cyber criminali ben consapevoli che, proprio nelle piccole e medie aziende, nella maggior parte dei casi, si è convinti ancora che un buon antivirus sia sufficiente a scongiurare l’attacco. Secondo Kaspersky Lab, azienda impegnata sul fronte CyberSec, questo fenomeno proprio nel 2016 ha avuto una rilevante impennata sul fronte dei cellulari dove, nei 12 mesi precedenti, il mobile malware ha triplicato il suo raggio di azione, in conseguenza anche del mancato aggiornamento dei sistemi operativi.
Per tornare all’incontro della scorsa settimana alla Sapienza di Roma, il Report del Cis ha proposto una sorta di memorandum di sicurezza informatica rivolto proprio a quelle aziende che ancora non hanno sviluppato un sufficiente grado di attenzione sul tema. Si tratta di 15 controlli essenziali di CyberSecurity in grado di attivare tutte le procedure necessarie alla tutela dei propri dati, della propria immagine economica e identità. Ma, come ha sostenuto Roberto Baldoni che ha presentato il report, questa griglia è efficace quanto più è chiara la consapevolezza da parte delle imprese di essere un target di attività informatiche aggressive.
Infine, nel corso dello stesso appuntamento, è stata data una notizia di particolare rilievo e significato: l’Università di Roma La Sapienza, ha attivato il primo corso di laurea magistrale in Cybersecurity di questo genere presente in Italia. Si tratta, come ha dichiarato il Prof. Luigi Mancini, della prima risposta accademica interdisciplinare in grado di formare personale di elevato livello in grado di affrontare efficacemente le sfide della cyber sicurezza. Secondo la rivista Forbes, se nel 2016 gli addetti al settore sono stati oltre un milione, per i prossimi tre anni è previsto un incremento fino a sei milioni, tanto per confermare che lo spazio informatico è divenuto sempre più un vantaggio competitivo per i paesi che sono in grado di rendere sicuro il proprio patrimonio di dati e informazioni sensibili.
