La centralità assunta dall’ecosistema digitale nel corso degli ultimi anni ha aperto un mondo di nuove opportunità per cittadini e imprese, portandosi dietro anche nuove tipologie di rischi. Il cybercrime, in particolare, appare sempre più pervasivo e minaccioso per gli utenti meno dotati di competenze digitali e per le Pmi (oltre che per gli enti che fanno capo alla PA).
Poiché il volume dei flussi monetari che transitano attraverso i canali digitali presenta trend in continua crescita, l’impegno che i criminal hacker impiegano nella creazione di software malevoli sta diventando direttamente proporzionale a tale incremento, trovando spesso terreno fertile nella moltitudine di device che gli utenti utilizzano ogni giorno e nella loro impreparazione rispetto a strategie di ingegneria sociale sempre più sofisticate e finalizzate a carpire dati personali e di accesso.
Un utile approfondimento sul fenomeno è rappresentato dall’ultima versione del Rapporto annuale sulla Cibersicurezza realizzato dall’Istituto per la Competitività (I-Com), che analizza i temi chiave e le questioni aperte relative alla sicurezza informatica a livello italiano ed europeo.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Minacce alla sicurezza informatica in Italia e nel mondo
A livello internazionale, gli attacchi gravi presentano trend in continua crescita. Parametrando i dati forniti da Clusit sull’ultimo quinquennio (aggiornati al primo semestre del 2022), emerge come l’andamento delle azioni malevole gravi mostri un incremento di oltre il 50%, essendo passato da circa 130 attacchi/mese rilevati nel 2018 ai 190/mese registrati nel 2022.
Media mensile degli attacchi informatici gravi a livello globale (fonte: Clusit – Rapporto sulla Sicurezza ICT in Italia, ottobre 2022).
A livello geografico l’Europa è la seconda area più colpita dietro le Americhe. Per quanto concerne i settori, fatti salvi gli attacchi multipli (che vedono coinvolte contemporaneamente aziende di diversi comparti), l’analisi delle vittime mostra la preponderanza del settore sanitario, seguito da Governo e difesa e ICT.
Anche l’Italia figura tra i Paesi più bersagliati: secondo Comparitech (settembre 2022), circa il 3,3% dei dispositivi mobili e del 10,7% dei pc fissi utilizzati nella penisola sono stati infettati da malware, un dato notevolmente superiore da quello fatto registrare da Germania (1,6% di infezioni sul mobile e 4,9% da PC) e Francia (2,6% mobile e 6,7% PC).
Percentuale di devices che hanno subito attacchi informatici per area geografica nel 2022 (fonte: Comparitech).
D’altro canto, le ultime previsioni di mercato diffuse da Statista indicano un notevole aumento dei ricavi del comparto della sicurezza informatica in Italia nei prossimi anni, che dovrebbero arrivare a quota 2,18 miliardi di euro nel 2026, in crescita del +25% rispetto al giro d’affari stimato per il 2022, che ammonta a 1,75 miliardi di euro.
La consapevolezza di cittadini e imprese
Sfortunatamente gran parte dei cittadini italiani, così come dei lavoratori delle PMI, risulta ancora ampiamente impreparata ad affrontare problematiche di sicurezza informatica.
Sempre più persone senza alcun rudimento riguardo il funzionamento delle nuove tecnologie si affacciano ai canali digitali, esponendosi (ed esponendo le organizzazioni di cui fanno parte) a nuove minacce.
Secondo i dati Censis appena il 24,3% degli italiani dichiara di avere una buona conoscenza di cosa si intende per cibersicurezza, laddove il 58,6% risulta averne ha un’idea approssimata ed il restante 17,1% è completamente a digiuno.
D’altra parte, più della metà degli stessi si è imbattuto in una o più minacce informatiche nel corso della propria vita: circa 2 su 3 (64,6%) è stato bersaglio di phishing (ricezione di mail ingannevoli volte a truffare i malcapitati inducendoli a rivelare informazioni personali sensibili) e quasi la metà (44,9%) ha visto il proprio PC infettato da un virus informatico.
Le problematiche appena descritte generano spesso gravi conseguenze: il 17,2% degli intervistati ha scoperto pagamenti fatti a proprio nome e a proprio carico e il 14,3% degli stessi si è visto clonare la carta di credito o il bancomat.
La mancanza di consapevolezza riguardo la sicurezza informatica risulta piuttosto diffusa anche presso le imprese e forse presenta dei profili che destano ancora maggior preoccupazione.
Secondo i dati Censis, infatti, solo il 39,7% dei lavoratori ha ricevuto una formazione specifica in materia, percentuale che scende al 23,5% per quanto riguarda operai ed esecutivi.
Se si considera che gran parte delle azioni malevole subìte dalle imprese è frutto di errori umani compiuti da soggetti che, inconsapevolmente, offrono un punto d’accesso ai cybercriminali nelle reti aziendali, si comprende quanto sia importante che tutti i dipendenti che si interfacciano con i sistemi informatici aziendali ricevano un adeguata formazione in cibersicurezza.
Lavoratori che hanno ricevuto una formazione specifica sulla cybersecurity, per ruolo svolto in azienda nel 2022 (fonte: Indagine Censis, 2022).
Al contrario, le aziende sembrano davvero poco preoccupate delle minacce informatiche, con il 48% di esse che reputa la cyber security poco importante o non rilevante.
Dati che stridono fortemente con quelli relativi ai danni ricevuti: il 19,5% dei lavoratori ha dichiarato che la propria azienda è stata vittima di un attacco informatico e il 14,7% dei dipendenti ha affermato che, a seguito di un attacco subìto, si è verificata una perdita di dati.
Rilevanza della formazione digitale per le imprese nel 2022 (fonte: ISTAT).
L’importanza della formazione
La formazione in ambito cibersicurezza presenta un duplice ordine di vantaggi: da un lato forma i ragazzi con competenze che consentiranno loro di trovare rapidamente lavori ben retribuiti, dall’altro queste nuove leve rafforzeranno il tessuto di imprese ed enti della PA che al momento risultano in larga parte sguarnite rispetto a tali abilità informatiche.
A tal proposito, il monitoraggio condotto da I-Com sulle attività di formazione sulla cibersicurezza in ambito universitario ha evidenziato un interesse decisamente crescente per queste tematiche da parte del mondo accademico.
A gennaio 2023 erano 234 tra corsi e insegnamenti relativi alla cibersicurezza, in netta crescita rispetto ai 79 individuati a gennaio 2022. Nel dettaglio, l’analisi ha individuato 112 insegnamenti singoli all’interno di corsi di laurea magistrale, 56 insegnamenti singoli in lauree triennali e 13 corsi singoli all’interno di dottorati di ricerca, a fronte di 4 lauree triennali, 22 lauree magistrali, 7 dottorati e 18 master (di primo e di secondo livello) interamente incentrate sulla cyber security.
Offerta formativa specializzata e non specializzata in materia di cybersecurity per tipo per l’a.a. 2022-23. Note: *include corsi generici sulla cybersecurity che possono essere seguiti per ottenere crediti formativi, nonché singoli corsi all’interno di Master. (Fonte: I-Com, gennaio 2023).
Pertanto, il totale delle lauree specifiche (triennali e magistrali) sul tema della cibersicurezza ammonta a 26, ben 13 in più rispetto al 2022. La formazione post-laurea presenta numeri piuttosto simili: tra dottorati e master di primo e secondo livello sono stati conteggiati 25 corsi “specializzati”.
Nel complesso, la formazione specializzata in materia di cibersicurezza in Italia ha raggiunto quota 51 corsi di studio interamente dedicati.
Per quanto riguarda la distribuzione regionale della complessiva offerta formativa, questa appare piuttosto disomogenea con una forte concentrazione nel Lazio (45 tra corsi e singoli insegnamenti), Piemonte (32), Campania (25) e Lombardia (21).
Tuttavia, se si considerano i dati normalizzati per il numero di università presenti sul territorio regionale, la classifica varia mostrando in prima posizione il Piemonte con 8 corsi per università, seguito da Liguria (4) e Sicilia (2,8).
Le regioni che, invece, non presentano alcun corso formativo sulla cibersicurezza (anche a causa della scarsa offerta di livello universitario) sono la Basilicata e la Valle d’Aosta.
In relazione alla distribuzione regionale della offerta formativa “specializzata” (lauree triennali, magistrali, master e dottorati di ricerca), il Lazio si conferma la regione più interessata con 15 corsi complessivi, catalizzando gran parte dell’offerta sia in termini di lauree dedicate (magistrali e triennali), sia per quanto concerne la specializzazione post-laurea (9 master e 1 dottorato).
L’elevato numero di master specifici sui temi della cibersicurezza (18) sembra inoltre suggerire una elevata domanda di approfondimento post-laurea su questi temi.
Nell’ottica di estendere il più possibile la formazione specialistica in cibersicurezza, potrebbe rivelarsi fondamentale la riforma degli Istituti Tecnici Superiori, i quali potrebbero essere l’anello di congiunzione tra la realtà scolastica e quella lavorativa.
Attualmente, la formazione garantita dai 120 ITS attivi sul territorio viene ritenuta non sufficiente da parte delle imprese. Pertanto, una maggiore specializzazione di questo tipo di istituti su tali tematiche potrebbe costituire un ulteriore tassello nella costruzione di un ecosistema della cibersicurezza maggiormente resiliente.
Cruciale sarà innanzitutto l’adozione dei decreti attuativi la cui mancanza rende al momento di fatto ancora non operativa la riforma varata.
È il momento di riequilibrare il Cyberskill gap. Guida ai Master
Il tema degli European Common Criteria
In numerosi paesi UE attualmente esistono schemi nazionali con caratteristiche specifiche modellati sulla base della struttura indicata dai Common Criteria, così da permettere, in attesa di uno standard Comunitario, l’adozione del principio del mutuo riconoscimento a livello europeo.
Con il diffondersi di una sempre maggiore consapevolezza dei potenziali rischi cibernetici derivanti dall’espansione costante del mercato digitale nel suo insieme, l’apprezzamento per i sistemi condivisi di valutazione è cresciuto costantemente negli anni. Infatti, secondo lo studio Jtsec, nel 2021 il numero di certificazioni rilasciate ha raggiunto il valore più alto della storia con 411 certificati rilasciati (+6% sul 2020).
A livello europeo, le istituzioni hanno iniziato a sostenere la creazione di un nuovo sistema di certificazioni sulla sicurezza cibernetica.
Per accompagnare questo percorso, l’ENISA ha istituito un gruppo di lavoro specifico con l’obiettivo di sostenere e promuovere la stesura di Common Criteria Europei, detti EUCC (Common Criteria based European candidate cybersecurity certification scheme), sulla base dei Common Criteria esistenti.
La prima bozza dell’EUCC (la cosiddetta Versione 1.0) ha impostato il nuovo schema comunitario su un modello che riprende gli schemi ISO/IEC 15408 e ISO/IEC 18045, esplicitando come l’intenzione consista nel sostituire gradualmente gli attuali schemi di certificazione nazionali.
Le novità affrontano direttamente le criticità riscontrate, tra cui tempi e costi, ad esempio favorendo il Patch Management ovvero la possibilità di aggiornare, correggere, migliorare un programma, e il “testing once principle”.
Sebbene i lavori stiamo procedendo, gli step da superare sono ancora molteplici, tra cui la c.d. Comitology e la stesura e l’approvazione dell’Implementing Act. Pertanto, le certificazioni effettuate con gli EUCC potranno essere emesse soltanto a partire dal 2024.
Investimenti in sicurezza informatica, il trend è in netta ascesa
I nodi ancora aperti
In un contesto sempre più digitalizzato che vede crescere per frequenza, complessità e gravità gli attacchi informatici rivolti a imprese, cittadini e pubbliche amministrazioni, l’UE, ha inteso reagire dando vita a un articolato e sempre più dettagliato complesso di norme che persegue il fine ultimo di creare un ecosistema digitale sicuro.
L’ultimo atto che va in questa direzione è la “proposta di regolamento sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali” con cui l’UE punta a fissare regole armonizzate per l’immissione sul mercato di prodotti o software con una componente digitale.
Per raggiungere tale obiettivo l’Unione pone obblighi molto stringenti in capo a tutta la supply chain.
Tuttavia, questo scenario normativo impone alle aziende una serie di adempimenti che ben si comprendono nella logica, ma che pongono complessità importanti, questo vale soprattutto per le PMI che spesso non hanno a disposizione risorse e competenze tali da sopperire allo sforzo.
Altro tema cruciale riguarda i lavori in seno all’ENISA per la creazione degli European Common Criteria. Le tempistiche di rilascio – previste non prima del 2024 – richiedono verosimilmente l’analisi di soluzioni ponte per far sì che gli operatori di rete possano garantire sufficienti livelli di sicurezza.
Maggiore attenzione andrebbe posta in relazione alla protezione delle Pmi dalle minacce cibernetiche, sia in termini di consapevolezza, sia rispetto alla predisposizione di adeguate contromisure.
Infine, una nota positivo viene dal versante della formazione specialistica, che presenta un interesse decisamente crescente per queste tematiche.
Ulteriori sforzi potrebbero essere fatti in questa direzione per incentivare una maggiore capillarità a livello territoriale di specializzazione, fattore di cui potrebbe beneficiare l’intero ecosistema sia in termini di crescita professionale delle nuove leve, sia per quanto concerne il rafforzamento delle competenze cyber in seno ad imprese e enti pubblici.
