Forse è ora di dirla chiaramente: se non c’è sicurezza, né fisica né cyber, la colpa è di ciascuno di noi. Serve consapevolezza dal basso e pianificazione dall’alto. Invece di giocare con i cellulari, i genitori devono consigliare al figlio il corso di studi in cybersecurity. La cybersecurity deve uscire dalla stanza dei bottoni ed entrare nella società: è la base del mondo digitale, dal pin del bancomat al social network, dall’azienda anche piccola al blocco della centrale elettrica.

Di questo e molto altro si è parlato nella presentazione del rapporto semestrale Clusit sulla sicurezza ICT in Italia, all’interno del Security Summit – Streaming Edition di novembre 2022.

I dati del rapporto, aggiornati al 30 giugno 2022, sono stati presentati da Alessio Pennasilico e Andrea Zapparoli Manzoni del Clusit. In estrema sintesi, i tre punti centrali emersi dai dati del rapporto sono stati competence gap, cambio di mentalità e trasparenza europea.

Gli attacchi informatici, diciamolo subito, aumentano incessantemente: in 4 anni il numero di attacchi è raddoppiato. Oltre al numero, è aumentata anche la loro gravità, valutata con il severity index, cresciuto di oltre il 50% solo nell’ultimo anno.

Evitiamo l’ignorance by design

Parlando del competence gap, partiamo da una consapevolezza più generale: il digitale richiede che la formazione, anche quella digitale, debba essere rivoltata rispetto al passato anche recente. Sappiamo che non bisogna insegnare a progettare un circuito (o un software) per poi cercare di irrobustirlo applicandogli uno strato con funzionalità di sicurezza. Fin dalla fase di ideazione, il progetto deve automaticamente scegliere ciò che è “sicuro by design”. Lo stesso si può dire delle sue caratteristiche di sostenibilità energetica.

Questo pensiero generale è stato ribadito dal Clusit in vari momenti della presentazione e in varie forme, anche più tecniche, sia parlando di devops e secdevops, sia affrontando l’annoso problema delle figure in organigramma. E anche tra i fornitori, si comincia a comprendere che l’evangelizzazione è necessaria, anche se può ridurre il fatturato nell’immediato.

E’ opportuno spendere due parole sullo sforzo di analisi tassonomica fatto dal Clusit. Il lavoro svolto dal gruppo non va ritenuto semplice o leggero: quest’anno, in particolare, è stato amplificato dalla necessità di modernizzare i criteri di valutazione, per aggiornare i dati disponibili e migliorare le capacità di analisi dei fenomeni.

La guerra cambia le regole

Com’era prevedibile, le nuove minacce informatiche di quest’anno girano intorno alla mutata importanza del cyberwarfare. Il conflitto generato dalla Russia ha mutato la situazione del cybercrime, ancor di più viste le diverse caratteristiche imposte alla situazione generale dalla pandemia, che aveva plasmato il fenomeno nei due anni precedenti.

Due i macro-trend del 2022: il ritorno dell’hacktivism, che sembrava sulla via della scomparsa; la cyberwarfare, magari integrata con lo spionaggio (dal quale è difficile distinguerlo).

Gli attacchi sono sempre più forti e più strutturati. L’indice specifico indica che su 4 livelli di severity ,il 78% classifica gli attacchi come alti o critici. Inoltre l’attacco si rivolge molto più di prima a realtà che operano su geografie multiple, quindi su un numero limitato di categorie delle vittime, e molto più in Europa (che sale ora al 26% degli attacchi rilevati globalmente). Parte di questo aumento è dovuto anche alla trasparenza, poiché cambiano legislazioni e atteggiamenti sulla comunicazione pubblica dei dati di attacco, che il Vecchio Mondo aveva finora nascosto rispetto alla maggior sincerità degli Stati Uniti.

Le aziende si difendono male

La situazione generale è quindi di profonda inadeguatezza del sistema, sia mondiale sia europeo, e italiano in particolare. Le stime mostrano sì un costante aumento di spesa per cybersecurity, ma al contempo gli incidenti aumentano. Al netto della rispondenza dei nuovi sforzi rispetto alla crescita degli attacchi, anche le aziende hanno una forte colpa: spendono male. La gran parte della sicurezza è fatiscente, improvvisata, e con spesa che affastella software sempre nuovi, male usati e poco integrati con il resto del patrimonio aziendale.

E all’orizzonte si avvicinano rapidamente IoT, infrastrutture, sistemi medicali… Tutte voci che, uscendo dall’immaterialità della telematica per entrare nella realtà fisica, spiegano che la trasformazione digitale porta la sicurezza dei dati direttamente dentro le vite umane.