La Cyber Security in Italia

La Cyber Security in Italia

Indice dell'articolo: 

  • Italia e Cyber Security: qual è lo stato attuale e come si comportano i nostri vicini (Germania e Francia)
  • Scopriamo quali sono stati gli attacchi più importanti nel mondo, in Italia e nelle Marche
  • I veri parametri della Cyber Security
  • Cosa accade nelle aziende
  • Quali sono le attività di Cyber Defense e quali sono gli ambiti aziendali coinvolti
  • Quali sono gli ambiti di protezione per l’azienda o per la PA
  • La Cyber Security nel GDPR
    • Accountability
    • Privacy by Default e By Design
    • Awareness
  • Conclusioni

Italia e Cyber Security, qual è lo stato attuale

Un po' di storia lato Governo Stato Italia.

La Germania già nel 1991 aveva capito l’importanza di tenere al sicuro le proprie informazioni digitali, per questo ha fondato l’Agenzia per la Cyber Sicurezza Nazionale, mentre la Francia la costituì nel 2009. L’Italia la istituisce solo nel 2021, di certo troppo tardi. Mi permetto di dire questo perché l’era digitale che viviamo e il grado della sofisticazione degli attacchi ai quali siamo stati i principali obbiettivi negli ultimi 10 anni hanno una levatura molta alta. Guardiamo il lato positivo, è stata fatta. Come se non bastasse ad oggi gli italiani, professionisti, legali e aziende, non hanno una buona cultura di Cyber Security in linea trasversale, ansi possiamo dire che è bassa la cultura del digitale in senso generale, ma soprattutto, la nostra nazione si ritrova ad avere più del 90% della PA “INsicura” notizia riportata dal Min. Colao.

Il motivo di questo ritardo è da individuare su un errore perpetrato per quasi un decennio dove si è voluto utilizzare le stesse agenzie già presenti, come la difesa, l’intelligence e le forze di Polizie. Poi ci si è messo RENZI con la sua idea dello ZAR della sicurezza informatica, una sorte di agenzia esterna affidata ad un suo amico d’infanzia. Poi venne CONTE che voleva istituire una “Fondazione” incardinata nel perimetro del dipartimento per le informazioni e la sicurezza.

Quindi, mentre l’Europa ci chiedeva a gran voce un unico interlocutore ben preciso e autoritario, l’Italia rispondeva con 23 soggetti, anziché uno. E mentre Germania e Francia introducevano più di mille persone per la Cyber Security noi ne introducevamo solo una cinquantina. Poi qualcuno ne promise altri 70 di ingegneri professionisti della Cyber Security, ma che non arrivarono mai.  

Abbiamo assistito ad una “superficialità” nell’affrontare l’argomento Cyber Sicurezza devastante.

Ciò che accadeva nelle istituzioni, in modo più amplificato accadeva nelle aziende e ancora oggi si possiamo assistere ad una bassa percezione del rischio e della comprensione reale dei meccanismi del digitale, dell’informatica legata al digitale e soprattutto alla sicurezza dei dati. Quello che spesso noto è la difficoltà, per l’imprenditore, il libero professionista, il mondo legale, fino ad arrivare al mondo scuola e famiglia, di percepire i veri pro e contro delle tecnologie che volontariamente introduciamo nelle nostre vite.  La scarsa conoscenza di quelle tecnologie sempre più spesso pervasive, immersive e che sempre di più alterano la nostra vita reale e il nostro business, ci condurranno inevitabilmente in problematiche ben più gravi, sia in azienda che nel personale, se non riusciamo a “GOVERNARLE” con intelligenza e conoscenza.

Scopriamo quali sono stati gli attacchi più importanti nel mondo, in Italia e nelle Marche

Anche grazie al lockdown e allo Smart working, a partire da marzo 2020 ad oggi si è registrato un aumento di più del 400% di attacchi grazie a configurazioni errate e bassa percezione del rischio.

Solo nei primi 6 mesi del 2021 ci sono state più di 135.837 truffe e frodi informatiche contro le 113.162 del 2020 e le 106.276 del 2019

Tra gli attacchi più clamorosi vediamo:

Gruppo San Carlo: Attacco Ransomware, crittografati dati ed esfiltrazione di dati per ricatto GDPR (Scansioni di alta qualità) 

Regione Lazio

SIAEE: Data Breach – Esfiltrazione di 28000 file contenenti dati molto sensibili

Noto sito di incontri: svela 2 milioni di utenti, nome utenti, password e carte di credito

Industria 4.0: Robot hackerati. Un pericolo per i processi di lavorazione e per la sicurezza dei dipendenti. 

ROMA: 30.000 avvocati hanno subito il furto delle loro PEC, anche Virginia Raggi. Dati personali, PEC e molte carte d’identità in corso di validità scaricabili gratuitamente.

Luxottica bloccata da Ransomware

HO MOBILE: quasi sicuramente 2.5 milioni di utenti hanno i loro documenti in vendita nel Dark Web

UBISOFT: Sottratto un gioco On-Line

Twitter: Nel 2018, a 330.000.000 di utenti è stato consigliato di cambiare la password, per una problematica di sicurezza.

Credetemi, questi sono solo una piccolissima parte. 

In Italia abbiamo assistito a violazioni che hanno riguardato molte PA, come prefetture, aziende idriche, comuni. Province e molto altri. 

Personalmente negli ultimi 5 anni ho supportato un’ottantina di aziende marchigiane e 2 PA nel recuperare dati post attacco Ransomware e attacchi di tipo Business Email Compromised. Ho gestione l’emergenza, valutato i danni ed effettuato l’analisi della/e falle che avevano causato il data breach. Come se tutto questo non bastasse, dal 2020 ad oggi ho assistito ad un notevole incremento di casi di monitoraggio remoto, cioè di persone che hanno il proprio computer o Smartphone sotto controllo. In quest’ultimo caso i soggetti coinvolti sono privati, soprattutto donne, ma questo potrebbe avere ripercussioni gravi anche per l’azienda dove tali soggetti lavorano. 

Altra forma di ricatto l’ho constatata nelle segnalazioni di utenti che venivano dapprima adescati sui vari social come Facebook, portati d’avanti ad un Webcam con la scusa di fare sesso virtuale, ma mentre lo facevano venivano registrati. Successivamente venivano ricattati. Tutti i casi sono stati registrati nella provincia di Macerata.

I veri parametri della Cyber Security

I parametri di Sicurezza non si misurano elencando genericamente i sistemi adottati come Antivirus, Backup etc etc, ma si dovrebbero misurare su 3 macro categorie:

  • la pericolosità 
  • l’esposizione   
  • la vulnerabilità

La pericolosità, se ci pensiamo bene, in termini di Cyber Security, non la diminuiremo mai, ansi, nel tempo ci troveremo a dover combattere, sempre in difesa e raramente in attacco. Basta considerare che ad oggi, le potenzialità economiche in BTC, di gruppi di Hacker’s.  Tali potenzialità economiche sono state ottenute proprio grazie ai riscatti provenienti dal furto di dati di aziende poco sensibili alla sicurezza, o di software house, elettricisti o impiantisti senza la cultura della Cyber Security, che per soddisfare un’esigenza, come ad esempio una video sorveglianza, l’intera azienda ha subito ingenti danni. 

L’esposizione anche questo aspetto, sarà destinato ad aumentare, basti pensare che entro il 2030, si prevede circa un trilione di dispositivi connessi, tra PC, Server, Smartphone, device IoT, Industria 4.0 etc. Senza considerare le nuove tecnologie come l’intelligenza artificiale, realtà aumentata, anche nel campo medicale, e  le opportunità di telecontrollo offerte dal 5G, benedizione da una parte e maledizione, per alcuni, dall’altra. A differenza di molti miei colleghi, che dicono che su questo non possiamo in nessun modo influire positivamente, sono dell’idea che, anche se per una percentuale bassa, qualcosa si possa fare.

La vulnerabilità è l’unico vero punto, dove tutti siamo d’accordo che si può e si deve fare molto di più.

 Purtroppo anche questo “parametro” tenderà a crescere nel tempo, ma se attuassimo già le basi della Cyber Security, un buon 30/40% degli attacchi riusciremmo a bloccarli. 

Quindi possiamo dire che nonostante gli sforzi che ogni Stato farà, qualsiasi decisione che verrà portata avanti, lo scenario sopra rappresentato non cambierà, è così e basta. 

E coloro che ancora oggi pensano in modo “vintage” fermandosi alle sole terminologie come; backup, antivirus, firewall e poco altro, se non sono stati violati, lo saranno. È solo una questione di tempo. 

Cosa accade nelle aziende

Spesso rifletto dopo aver parlato con imprenditori dove a pappardella mi riportano parole non loro come,

 “ho il Backup, ho un buon sistema antivirus abbiamo il firewall…” e così via. 

Capisco che utilizzano termini e nomi di dispositivi senza una reale conoscenza, un po’ come se qualcuno glie le avesse dette per rassicurarlo. Ma in realtà non hanno una reale percezione di sicurezza perché mai nessuno si è preso la briga di farli sentire sicuri realmente, con un progetto o con una reale attività di analisi. Nessuno ha mai lasciato loro “carta” su cui riflettere e basare future strategie. Molto spesso il titolare dell’azienda, non conosce una grossa parte della sua azienda digitale, cosa che invece sarebbe meglio se lo facesse.

Poi quando vengo chiamato in quelle aziende dove hanno subito un attacco e tutti i dati sono stati crittografati e/o rubati, le parole che mi sento dire sono:

“Ma sapevo che avevo il backup, l’antivirus, il firewall, ma come può essere successo? “

Da quel momento diventano sensibili alla tematica Cyber Security.

Quali le attività di Cyber Defense e quali ambiti aziendali tengono conto

Le attività di consulenza e di programmazione che svolgo vanno nella direzione opposta a quella rappresentata e alla filosofia di molti professionisti che indicano prodotti software o dispositivi di sicurezza solo per una questione commerciale. 

Avendo una formazione, in continuo aggiornamento, trasversale in Cyber Security e Cyber Defence e Digital Forensics, mi occupo di comprendere dapprima il reale stato dell’azienda per poi ridurne le “vulnerabilità”. 

Partendo dal concetto che la Cyber Security si costruisce a strati, un po' come quella fisica, gli ambiti presi in esame sono: 

  • La parte fisica dei dispositivi e degli ambienti 
  • La reale Business Continuity necessaria
  • La gestione della conoscenza degli operatori 
  • La parte software/gestionale/dispositivi di rete/server/workstation/VPN-interconnessioni 
  • TLC
  • Fornitori e clienti

Nella quasi totalità dei casi, questi punti sopra descritti, purtroppo non vengono mai gestiti centralmente e quindi prima o poi, o per causa di un attaccante interno o esterno (Insider – Outsider), in uno di questi, si aprirà una falla, andando a influire negativamente anche sugli altri. 

Il mio lavoro è quello di creare un trait d’union tra sicurezza informatica, stabilità e funzionalità dei sistemi, business continuity e protezione legale (digitale).  Far comprendere al titolare d’impresa il reale stato della sua infrastruttura digitale, valutarne la “Resistenza” andando a scoprire i punti deboli per poi correggerli nel tempo e in tempo, prima che queste vengano sfruttate da qualcuno di ostile. I due percorsi che faccio intraprendere subito ad un’azienda, normalmente sono:

  • Gap Analisys 
  • Valutazione dei rischi 

 Tutto ciò permette una protezione di gran lunga più elevata, che non si limita alla sola componente tecnica informatica, ma arriva a tutelare:

  • Il Know How aziendale e quindi il Business - 
  • Questioni legali e contrattuali con partner, clienti e dipendenti
  • L’immagine aziendale
  • La Business Continuity aziendale 
  • Il GDPR
  • E tutte le questioni tecniche di cui nessuno mai si vorrebbe occupare

La Cyber Security nel GDPR

Nel GDPR esistono i principi 

  • Accountability, che in estrema sintesi la possiamo così descrivere
    • “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”. 
  • Privacy by default, sempre in estrema sintesi 
    • Il principio di privacy by default (protezione per impostazione predefinita) prevede, appunto, che per impostazione predefinita le aziende dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini e con gli strumenti adeguati valutati durante l’analisi dei rischi
  • Privacy by design 
    • prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l'applicativo deve prevenire il verificarsi dei rischi;

Sempre nel GDPR troviamo un altro principio: '"awareness" o "consapevolezza".

Ecco, per la maggior parte delle volte, nelle aziende non percepisco la reale consapevolezza del rischio dei dati trattati, della loro tipologia, di chi fa cosa o di chi può vedere e fare cosa. Quindi va da se che poi la responsabilità può essere alterata o addirittura sottostimata. 

Possiamo affermare che tale processo di rendere “consapevole” un AD o Resp, in alcuni casi non è semplice in quanto il percorso è di tipo cognitivo. L’errore che spesso si fa è affidarsi alla sola semplice sensazione o dalla percezione stessa, ancora peggio fermarsi ai semplici termini, Backup, Antivirus, Firewall. 

La difficoltà che spesso, personalmente ho, è semplificare le centinaia di processi che ho in testa per rendere consapevole i miei interlocutori. 

Alla fine del colloquio cerco di capire quale sia la percentuale della semplice "percezione sensoriale" relativa al rischio connesso al trattamento, e la reale “consapevolezza”. 

Dalla mia esperienza, per migliorare la Cyber Security in modo “SMART”, basterebbe avere un approccio di tipo Risked Based Thinking, ovvero pensare al rischio del nuovo trattamento dati, quindi porsi nello scenario peggiore…….. quindi post attacco/data breach e pensare ai rischi che la nostra azienda potrebbe correre. 

Per questo motivo che il mio studio si posiziona al centro, proprio per via dell’esigenza di tenere uniti e allineati ogni singolo punto visto fino a qui. 

Penso di avere un ruolo fondamentale e cruciale nel supportare il titolare e avere una comprensione globale in tutte le fasi di progettazione, ideazione, verifica e monitoraggio dei sistemi di Cyber Security, Cyber Defense, e dei contenitori – (Server e Networking) e della loro gestione dei dati, oggetto di trattamento.  

La mia più grande forza è che riesco a trasmettere al titolare le reali conoscenze tecniche e normative applicate alla Cyber Security, Cyber Defense e Digital Forensics.  

Il mio STUDIO non si ferma mai e io con lui. :-D

Concludo dicendo

Ancora oggi, nel 2021 viviamo all’interno di una “Non Cultura dell’informatica” trasversale in tutti ceti e questo sì che è un problema. 

Dobbiamo pensare che già oggi tutti noi siamo chiamati a gestire il digitale e le nostre identità ad esso legate, quotidianamente, o per lavoro, per divertimento o perché la PA c’è l’ho richiede.  

Per non parlare del mondo “Giustizia”, dove non è raro assistere ad errori che possono influenzare interi processi.

Nel mondo aziendale e delle libere professioni assistiamo ad una bassa percentuale di soggetti lungimiranti che aspettano solo che il danno o la violazione avvenga, causando un grave danneggiamento per loro, per il loro lavoro, per i loro clienti, fornitori e partner. 

Basterebbe informarsi e formarsi per iniziare a comprendere i reali rischi, ma soprattutto i vantaggi della Cyber Security.

Non sarà facile portare avanti un cambiamento così verticale, così profondo, ma tutti noi siamo chiamati indirettamente all’interno del “Perimetro Nazionale” così da rafforzare il nostro business, il nostro territorio, la nostra Nazione Italia. 

TORNA SU