La cyber security è un domino sempre più complesso: da un lato, gli attacchi crescono in numero, gravità e sofisticazione; dall’altro, gli ambienti IT, eterogenei e distribuiti, diventano difficili da gestire e proteggere.
La standardizzazione e la certificazione dei prodotti per la sicurezza informatica possono contribuire a disegnare una linea di difesa integrata, che migliora la protezione delle risorse IT all’interno dell’azienda e lungo la supply chain.
In un’intervista esclusiva, Danilo Bruschi, Full Professor, Università degli Studi di Milano, spiega come sta cambiando il panorama della cyber security e quali strategie andrebbero messe in atto a livello sistemico per migliorare la postura di sicurezza delle organizzazioni.
Indice degli argomenti
Come cambia lo scenario della cyber security
«Attualmente – racconta Bruschi – Il più grande fattore di cambiamento nel panorama della cyber security è la consapevolezza delle aziende circa la criticità delle minacce. Fino a qualche anno fa, tra gli attaccanti c’erano tanti lupi solitari, mentre oggi il crimine organizzato avanza prepotentemente. Di conseguenza, cambia la scala degli incidenti e le grandi organizzazioni iniziano realmente a preoccuparsi. Anche la classe politica sta considerando il problema più seriamente».
Un altro segnale di cambiamento è dettato, secondo Bruschi, dalla parcellizzazioni delle professioni. Se prima esisteva una sola figura preposta alla sicurezza informatica, oggigiorno, visti i contorni sempre più complessi del tema, esistono una pluralità di esperti su aree di competenza specifiche: ad esempio, firewall, Intrusion Detection System, Siem (Security Information and Event Management) e così via. «Addirittura – aggiunge il professore – all’interno di ogni componente, ci sono specializzazioni su tecnologie e vendor differenti. Certo, è più facile formare professionisti con competenze circoscritte, ma così vengono a mancare le figure più ad ampio spettro, con una visione a 360 gradi. D’altronde, gli attacchi stanno diventando sempre più sofisticati e difficilmente una persona sola è in grado di risolvere il problema. Microsoft, ad esempio, ha calcolato che per preparare l’attacco SolarWinds (scoperto nel dicembre 2020 e perpetrato a danno di enti governativi e grandi aziende statunitensi, ndr) siano stati necessari mille anni uomo. Inutile dire che si tratta di minacce estremamente complesse, che richiedono organizzazione e capacità di analisi elevate».
Come dichiara Bruschi, inoltre, si va verso un’esasperazione del tecnicismo: un attacco informatico si svolge mediamente in sette o addirittura otto fasi, che richiedono ciascuna tecniche e competenze diverse; così, per rispondere alla minaccia, occorrono specialisti e sotto-specialisti in ogni singolo stadio.
Ad aggravare la situazione, figure così specifiche non sono facilmente reperibili. «Nella mia esperienza – dice Bruschi – formare un professionista in grado di analizzare effettivamente un attacco, richiede almeno cinque anni di esperienza dopo la laurea e i quattro anni di dottorato. Senza considerare che le tecnologie cambiano radicalmente in pochi mesi e serve un aggiornamento continuo. La trasformazione repentina è la grande sfida che il digitale pone alla razza umana, anche in relazione alla cyber security, che è una disciplina in costante evoluzione».
Il valore della standardizzazione e delle certificazioni
In questo panorama poco rassicurante, la standardizzazione delle soluzioni di sicurezza può rappresentare la chiave di volta per costruire una strategia di difesa strutturata, coerente e completa.
Tuttavia, come fa notare Bruschi, se la richiesta di standardizzazione e interoperabilità arriva forte dall’utenza, anche per scongiurare il rischio di lock-in, il mercato non risponde con piena adesione. «In informatica – chiarisce Bruschi – gli standard lasciano comunque spazio alle personalizzazioni tecnologiche e non sempre i prodotti dichiarati compliant sono perfettamente compatibili tra loro».
Si auspica quindi uno sforzo collettivo più deciso da parte dell’offerta, anche se molti fornitori hanno già dichiarato una presa di posizione netta e sono molte le iniziative congiunte attivate a favore della standardizzazione.
Le certificazioni sono un altro strumento utile per migliorare la postura di sicurezza all’interno dell’azienda e lungo la supply chain. «Attualmente – puntualizza Bruschi – esistono certificazioni di processo come la ISO 27001, che verificano la conformità delle procedure a determinati standard di riferimento in ambito sicurezza».
Nel caso specifico della sicurezza cibernetica, l’UE ha rafforzato l’impegno, introducendo con il Cybersecurity Act del 2019, un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.
Tuttavia, le certificazioni possono essere un’arma a doppio taglio. «L’eterogeneità delle tecnologie – sostiene Bruschi – non permette di disegnare un quadro normativo molto specifico per conseguire le certificazioni, ma piuttosto vengono dettate regole più generali e ad alto livello, quindi meno puntuali. Il rischio è che le aziende, una volta ottenuta la certificazione, si sentano sufficientemente protette e abbassino la guardia, esponendosi maggiormente al rischio di attacco. Le minacce invece mutano molto rapidamente e le organizzazioni dovrebbero adeguarsi di continuo».
Un ostacolo all’aggiornamento costante è rappresentato anche dall’onerosità del processo di certificazione: Bruschi menziona i Common Criteria, un insieme di standard per la certificazione della sicurezza informatica che, entrando nello specifico dei prodotti, si rivela particolarmente efficace, ma richiede costi gravosi e mesi di lavoro. «Poiché riferita al prodotto specifico – puntualizza il professore – la certificazione ottenuta con i Common Criteria è da considerarsi valida fino all’update successivo e poi andrebbe riseguita».
Secondo il professore, quindi, il vero valore delle certificazioni risiede non nel garantire l’assoluta protezione degli oggetti, ma piuttosto nel sensibilizzare, nell’educare le aziende verso un approccio metodologico ragionato alla sicurezza, contribuendo alla risoluzione del problema. «La certificazione – afferma Bruschi – è un processo che va affrontato necessariamente, perché offre un aiuto concreto nella messa in sicurezza dei sistemi, permettendo di “forgiare muscoli e mentalità”. Tuttavia bisogna essere consapevoli che essere certificati non significa essere inattaccabili e invulnerabili. Il rischio viene attenuato, ma mai debellato completamente».
Ruolo degli enti governativi e cultura aziendale per la sicurezza IT
Secondo Bruschi, un ruolo importante nel contenere i rischi delle minacce cibernetiche può essere giocato dagli enti governativi. Nell’Unione Europea, la Direttiva NIS (Network and Information Security) del 2016 , che promuove l’adozione di misure comuni per la sicurezza delle reti e dei sistemi informatici, ha avuto il merito di accendere i riflettori sul problema. «L’Europa – argomenta il professore – è sempre stata terreno di conquista sulle tematiche digitali e così in materia di cyber security. Non abbiamo la cultura né grosse realtà in grado di imporre scelte a livello internazionale. Impariamo dalle esperienze degli altri e le adattiamo al nostro contesto. La direttiva NIS sta smuovendo le acque nell’ottica della sensibilizzazione, ma la cyber security è una disciplina decisamente complessa e l’Europa soffre considerevolmente di skill shortage. Ecco perché i governi nazionali dovrebbero incentivare maggiormente la formazione di professionisti nell’ambito della cyber security».
Bruschi lamenta il ritardo italiano: «Storicamente, la cyber security nasce nel 1980, ma nel nostro Paese non sono mai stati stanziati progetti o fondi particolari. Qualcosa dovrebbe muoversi adesso con il Piano Nazionale di Ripresa e Resilienza (PNRR), ma sono passati ormai 40 anni e bisogna recuperare un gap di know-how non indifferente».
Il freno all’azione deriva anche da un retaggio culturale. «Gli investimenti in cyber security – prosegue il professore – non offrono ritorni tangibili. Semplicemente, evitano di subire danni economici a causa degli attacchi. Se non si viene attaccati, quindi non si ottiene nessun vantaggio e la sicurezza viene catalogata come mero centro di costo. Andrebbe fatta un’analisi del rischio, ma gli italiani per mentalità sono poco propensi alla prevenzione; preferiscono rischiare ed eventualmente gestire l’emergenza».
Oggi tuttavia, a fronte di clamorosi attacchi informatici, le aziende italiane, soprattutto di medio-grandi dimensioni, iniziano a maturare una consapevolezza maggiore sull’importanza della security strategy. «Tuttavia – ribadisce Bruschi – mancano cultura e competenze, a partire dalla classe dirigente e politica. Andrebbero modificati i piani di studio dei corsi di laurea, attribuendo maggiore spazio e peso all’informatica. L’incapacità del nostro sistema Paese di essere competitivo deriva anche dal gap digitale». Come riporta il professore, il Digital Economy and Society Index (Desi) posiziona l’Italia al ventiquattresimo posto su 27 Stati Europei rispetto alla capacità di sviluppo di tecnologie digitali. «Dovremmo sfruttare il nostro ritardo – conclude Bruschi – per fare tesoro delle esperienze altrui e introdurre in Italia innovazioni ormai sicure e consolidate. Prima colmiamo il delta informatico, poi potremo parlare anche di cyber security».
