Cybersecurity. Non solo compliance, ma leva di crescita delle imprese

scritto da il 12 Maggio 2021

Post di Paolo Dal Cin, Accenture Security Lead per l’Europa – 

Come è oramai ben noto, la tecnologia ha rappresentato il pilastro più solido che ha permesso alla struttura socioeconomica globale di non cedere sotto le pesanti pressioni degli effetti della pandemia e dei vari lockdown che caratterizzano la nostra esistenza dallo scorso 2020. Gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (DSP), infatti, si sono rivelati fondamentali per garantire l’erogazione continua e stabile dei servizi e in questo contesto anche le aziende, comprese quelle fino a quel momento scarsamente digitalizzate, hanno realizzato che per sopravvivere sarebbe stato necessario cambiare rapidamente non solo il proprio approccio al lavoro, ma l’intera struttura del proprio business. Questa evoluzione, però, oltre agli indiscutibili benefici, ha portato con sé anche un’inevitabile esposizione alle cyber minacce in una misura mai riscontrata finora, soprattutto per quelle organizzazioni che non hanno avuto modo di pianificare con attenzione questo improvviso salto tecnologico e culturale.

Per comprendere meglio la complessità e i nuovi contorni che la tematica della sicurezza sta assumendo attualmente, ritengo sia utile fare riferimento a quanto emerso dall’ultima edizione del Threat Landscape Report redatto dall’ENISA (European Union Agency for Cybersecurity), dal quale si evince chiaramente come la superficie di attacco continui ad espandersi e si registrino minacce mirate e persistente a dati di alto valore che vengono pianificate ed eseguite meticolosamente da attori molto spesso collegati a “strutture governative”. Attacchi sempre più distribuiti, di breve durata ed ampio impatto con finalità multiple, ma con alla base una motivazione tipicamente finanziaria.

Entrando nel dettaglio delle evidenze del report possiamo citare l’esempio dei ransomware, attacchi ampiamente diffusi che oltre il 70% delle aziende ha fronteggiato con conseguenze costose e limitazione alla capacità di erogazione dei propri servizi o, ancora, della violazione dei dati, tipologia di minaccia che già nel 2019 aveva registrato un incremento del 54% e con l’avvento della pandemia è prevedibilmente esplosa. Parlando di quest’ultimo genere di attacco, si stima che per le aziende di grandi dimensioni, ovvero con più di 25.000 dipendenti, il costo delle violazioni sia di circa 173 euro per dipendente, ma il quadro si aggrava quando parliamo di aziende di dimensioni più ridotte (500-1.000 dipendenti) dove lo stesso valore sale a circa 3.000 euro. A rendere la situazione ancora più allarmante, l’evidenza che molti incidenti passino inosservati, il tempo medio di rilevazione di un data breach, ad esempio, è superiore ai 6 mesi, determinando così che un terzo dei costi siano sostenuti per più di 1 anno dopo l’incidente. Più in dettaglio, circa il 22% di questi costi sono sostenuti nel secondo anno, mentre l’11% dei costi sono contabilizzati più di 2 anni dopo l’incidente iniziale. Questi tassi risultano poi più alti per le organizzazioni altamente regolamentate, come quelle dei servizi finanziari e della sanità.

Con queste premesse, è chiaro come la dipendenza tecnologica, che è oramai diventata il leitmotiv della nostra quotidianità, abbia reso necessaria la definizione di un chiaro quadro normativo per innalzare il livello di sicurezza delle reti e dei sistemi informativi Europei. Ed è così che, sul finire del 2020, è stato ufficialmente proposto l’ampliamento ed il rafforzamento della direttiva NIS (Network and Information Security), emanata nel 2019 a protezione degli operatori di servizi essenziali a livello europeo e che dovrebbe entrare in vigore entro due anni. All’interno della nuova direttiva, un elemento che le aziende dovranno prendere in considerazione con grande attenzione riguarda il nuovo elenco di requisiti di sicurezza di base che includeranno, fra gli altri, la risposta agli incidenti e la gestione delle crisi, la gestione e la divulgazione delle vulnerabilità, i test di sicurezza e l’uso efficace della crittografia, oltre che la governance della supply chain per le principali tecnologie dell’informazione e della comunicazione

La proposta di direttiva NIS 2.0 richiederà un ulteriore adeguamento alle nuove misure previste ed estenderà gli obblighi ad una platea ancora più ampia di aziende ritenute “essenziali” ed “importanti” che oggi, in Italia, secondo la NIS sono nell’ordine di oltre 500 unità.

Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.

È importante notare come sul piano nazionale gli interventi previsti a livello Europeo sono stati in parte anticipati dall’impianto normativo “Perimetro di Sicurezza Nazionale Cibernetica” che, proprio a fine gennaio, è entrato nella sua fase operativa con l’approvazione dei decreti attuativi e le prime comunicazioni alle organizzazioni identificate di “iscrizione in perimetro”, una lista riservata delle circa 150 aziende pubbliche e private ritenute importanti e critiche per la sicurezza nazionale. La normativa prevede anche tempi di segnalazione molto più restrittivi rispetto a quelli richiesti a livello europeo indicando un obbligo di denuncia dell’incidente informatico entro un’ora nei casi più gravi ed entro sei ore in quelli meno gravi.

Quanto previsto dal Perimetro di Sicurezza Nazionale Cibernetica rivela quindi una chiara sensibilità e lungimiranza del nostro paese che, tuttavia, comporta alle organizzazioni in perimetro ulteriori sforzi di adeguamento spesso in sovrapposizione con altre normative come, ad esempio, la stessa direttiva NIS. Sovrapposizione sia in termini di misure di sicurezza applicabili per ambito e maturità sia in processi e capacità di identificazione e risposta agli incidenti di sicurezza. Le aziende non potranno farsi cogliere impreparate e dovranno da un lato comprendere l’impatto della normativa sulla loro attività e dall’altra dotarsi per tempo delle competenze, delle infrastrutture e delle tecnologie necessarie per adeguarsi.

Per le aziende è dunque importante comprendere che, nonostante gli enormi sforzi che le normative in evoluzione richiederanno, la cybersecurity non è più un tema puramente tecnologico o limitato alla compliance normativa, ma un requisito fondamentale per la tutela dell’economia, della sicurezza e della salute pubblica. Il concetto di security-by-design non può più rimanere una prerogativa degli addetti ai lavori, ma deve diventare parte integrante del DNA aziendale, governando le logiche dei processi interni e della definizione dei prodotti, per rendere tutti gli elementi sicuri fin dalle fondamenta e garantire una riconfigurazione delle realtà aziendali e non che sia realmente end-to-end.

Tutti dovranno dunque fare la loro parte, sia i soggetti che realizzano le infrastrutture, sia le compagnie di telecomunicazioni che offrono la connettività, sia le organizzazioni che forniscono prodotti e servizi ad aziende e consumatori. Serve sia una forte collaborazione all’interno delle aziende e tra organizzazioni pubbliche e private per definire e implementare strategie, standard e best practice efficaci, sia un’accelerazione degli investimenti nelle nuove competenze e nelle tecnologie più appropriate. Questo al fine non solo di assicurare la necessaria protezione per le aziende e per la società, ma anche garantire le opportunità di crescita e la competitività di cui le nostre aziende hanno più bisogno che mai.

Twitter @Paolo_DalCin

Fonte dati: ENISA