La cyberwar è l’ultima frontiera del rischio, mettersi al riparo è questione di conoscenza

La cyberwar è l’ultima frontiera del rischio, mettersi al riparo è questione di conoscenza
Cybersecurity

L’aeroporto che si ferma o l’ospedale incapace di gestire l’operatività. A rischio i dati dei cittadini e delle aziende ma anche - è successo nel 2015 - l’auto che da remoto viene hackerata e mandata fuori strada: per fortuna si è trattato di un esperimento di alcuni ricercatori Usa che hanno però dimostrato che il rischio di rimanere vittima di un cyber attacco è più che concreto.
I motivi stanno in un sistema Paese che non è pronto, ma anche in fenomeni non governabili dal singolo come i rischi di un conflitto che si combatte alle porte di casa con le armi del nuovo millennio, per alcuni versi le stesse del secolo scorso, ma anche attraverso un nuovo concetto di scontro: la guerra ibrida. Succederà sempre più spesso. Ilaria Matteucci questi fenomeni li studia perché è ricercatrice all’istituto di Informatica e telematica del Consiglio nazionale ricerche, nella sede di Pisa, unità di “Trust security and privacy”.

FONDI DEL PNRR

Cybersecurity

Professoressa, a che punto siamo? «Siamo indietro, e a testimonianza di questo vi è la costituzione dell’Agenzia nazionale per la cybersecurity che risale solo a pochi mesi fa, e grazie alla lungimiranza di accademici del calibro di Roberto Baldoni si è riusciti a tracciare rapidamente il perimetro di sicurezza nazionale su questo tema, che però non è nuovo: il primo attacco informatico ad uno Stato è avvenuto ai danni dell’Estonia, nel 2007».

La sicurezza informatica è ormai la nuova frontiera dei conflitti, basti pensare alla chiamata alle armi - poi raccolta dal collettivo Anonymus - all’indomani dell’aggressione della Russia all’Ucraina. Un «arruolamento telematico» con messaggio da parte dell’esecutivo ucraino veicolato su Telegram e raccolto in maniera molto seria dagli hacker di tutto il mondo. Di fronte a questi scenari quali sono le priorità del sistema Italia? «La prima mossa riguarda quel grande buco nero rappresentato dalla pubblica amministrazione: tempo fa girava una vignetta che recitava la frase “meno male che siamo ancora al cartaceo”. Una battuta che tuttavia ben descrive tutti i rischi del momento. Su questo tema una spinta è rappresentata dai fondi del Pnrr. Oggi il vero faro a cui tutti guardano è il lavoro dell’Agenzia per la cybersecurity, che sta operando sia un sistema di raccordo interministeriale, per far dialogare gli enti su questo tema, sia una attiva politica di reclutamento di personale specializzato attraverso bandi».

Il Governo sta lavorando per proteggere il Paese ma la miglior medicina, anche in questo campo, è rappresentata dalla conoscenza, e dall’atteggiamento culturale non solo sul piano della domanda, ma anche dell’offerta di beni e servizi.

Ma un’azienda, magari una Pmi, oggi, cosa deve fare? Che atteggiamento tenere di fronte a un pianeta per molti ancora ignoto, incomprensibile? «La strategia è pensata per le pubbliche amministrazioni, ma ci si può attenere a regole che sono linee guida del piano nazionale per proteggersi, e garantirsi la sicurezza in casa. Primo: occorre consapevolezza del rischio. La piccola azienda si sente protetta dall’essere troppo analogica, o dal chiedersi chi possa colpirla, poiché non rappresenta una fonte di interessi: un errore grave. Poi occorre investire, e appare ancora difficile perché troppo spesso, in processi organizzativi e di sviluppo, il tema della sicurezza è vista come un elemento dispendioso in termini di “effort” e prezzo, e la figura aziendale che si occupa di questi temi non sempre è reperibile sul mercato».

MANCA LA SENSIBILITÀ

Cybersecurity

«Poi esiste un problema culturale di fondo. Nel corso di questi anni in cui abbiamo fatto simulazioni di attacchi, ogni volta che parlavamo con stakeholders ci veniva fatto notare che per esempio in un contesto commerciale di vendita al pubblico mancano le rispettive sensibilità al problema della sicurezza informatica, e se il cliente di una concessionaria deve scegliere se spendere mille euro in più, spesso lo fa preferendo il colore metallizzato piuttosto che ragionare su di un sistema che renda più sicura l’auto mentre la si guida. Eppure è stato dimostrato che questo può accadere. È dunque necessario puntare a strumenti normativi che impongono maggiore sicurezza, ma anche valutare il concetto di “security by design“: progettare in modo da avere un livello di sicurezza integrata già al momento della produzione».

Il vero investimento, come sempre, sta nella scuola. «La sicurezza informatica dovrebbe costituire materia di studio, una sorta di educazione civica che consenta di diffondere questa cultura sui banchi, per formare i cittadini di oggi, e quelli di domani».