La parola d’ordine europea per attuare la cyber sicurezza è resilienza, ovvero la capacità di saper restare operativi nel proprio business pur se si verifica un attacco informatico nell’organizzazione.
Per realizzare entità pubbliche o private di tipo resiliente l’Europa ha perseguito una strategia di politiche, norme, regolamenti ed un copioso stanziamento di fondi finalizzati alla progettualità.
Nel mondo privato progressivamente le entità più strutturate e i loro CISO hanno avviato programmi e piani di aumento delle loro capacità di resilienza intervenendo su diversi fronti e definendo priorità in funzione del proprio livello di rischio.
Indice degli argomenti
Le politiche Ue per la Cyber security e la resilienza
L’Europa nell’ambito della sua strategia digitale finalizzata a plasmare il futuro digitale dell’Europa, ha sviluppato con supporto dell’agenzia europea per la sicurezza, l’ENISA, un corpus normativo dedicato alla strategia per la cybersicurezza dell’UE che mira a rafforzare la sicurezza informatica collettiva e la risposta agli attacchi informatici. Il fine ultimo dell’EU è “costruire un’internet globale stabile e sicura in cui lo Stato di diritto, i diritti umani e i valori democratici siano tutelati”.
Per questo motivo il corpus normativo ha “tre aree di azione: resilienza, sovranità tecnica e leadership; capacità operativa di prevenzione, deterrenza e risposta; cooperazione per far avanzare il cyberspazio globale e aperto” (fonte: EU).
La normazione partita da novembre 2023 segue un disegno architetturale fondato su quattro pilastri: prevenzione, individuazione, risposta e deterrenza. Per ciascuno l’Unione Europea ha emesso delle direttive che mirano a concretizzare l’azione e le capacità da sviluppare. Nella figura è riportata la panoramica di tale disegno.
Fra le normative dedicate alla prevenzione e alla costruzione di entità resilienti, capaci cioè di sopravvivere ad un attacco informatico, oltre alla nota NIS2, alla Digital Operational Resilience Act (DORA – specificamente dedicata alla istituzioni finanziarie), si può citare anche il Cyber resilience ACT.
Cyber Resilience Act
Se la NIS2 mira a irrobustire le organizzazioni durante la loro trasformazione digitale affinché siano capaci di sopravvivere ad un attacco informatico, il Cyber Resilience Act (CRA) mira a tutelare i consumatori e le aziende che acquistano o utilizzano prodotti o software che includono una componente digitale.
La legge punta all’introduzione di requisiti obbligatori di sicurezza informatica per produttori e rivenditori di tali prodotti con una protezione che deve essere estesa a tutto il ciclo di vita del prodotto sia per la produzione e dopo la vendita, per l’aggiornamento dei requisiti di sicurezza e la loro corretta configurazione.
Il regolamento è in vigore all’inizio del 2024. I produttori hanno 36 mesi per applicare le norme dalla loro entrata in vigore. Dopo tale periodo ogni software e prodotto connesso a Internet recherà la marcatura CE per indicare la conformità ai nuovi standard.
La Commissione riesaminerà quindi periodicamente la legge e riferirà sul suo funzionamento mentre lato consumatori, i clienti e le imprese potranno fare scelte più informate, avendo evidenza delle credenziali di sicurezza informatica dei prodotti con marchio CE.
Contrastare la Cyber Inequity
Aziende pubbliche e private, grandi medie e piccole, sono chiamate a seguire e perseguire le raccomandazioni europee poiché il recepimento delle diverse direttive, in forma di leggi nazionali, comporterà obblighi ed eventualmente sanzioni se non correttamente applicato.
Ecco allora che la resilienza come misura preventiva da realizzare non è più un invito, bensì una capacità non improvvisabile e per la quale sono suggerite alcune buone prassi.
L’ammiraglio Giancarlo Galasso, oggi Capo del Servizio Operazioni / CSIRT Italia Agenzia per la Cybersicurezza Nazionale, intervenuto al Cybersecurity summit 2024 del TIG ha parlato della presenza di una forbice di Cyber inequity in Italia, ovvero ha fatto notare che “la distanza tra le organizzazioni che sono abbastanza resilienti dal punto di vista informatico tanto da poter prosperare e coloro che lottano per sopravvivere si sta allargando in modo allarmante”.
La sua ricetta di intervento si basa su “investimenti corretti cercando fondi dedicati, introduzione di misure per aumentare la consapevolezza sui rischi e azioni di governance e gestione del rischio che sono la chiave per la prevenzione, preparazione, risposta e ripristino ed eventi cibernetici”.
L’invito agli esperti Cyber è quello di porsi come ‘mediatori culturali’ per il management e il board aiutando e supportando la comprensione dei fenomeni Cyber e del rischio correlato, come elemento di rischio di livello aziendale.
La resilienza nelle organizzazioni
Nelle aziende maggiormente strutturate in cui sono presenti funzioni di CISO (chief Information Security Officer) o o CSO (Chief Security Officer) la roadmap di Cyber security è avviata, non senza inconvenienti ma sempre con la consapevolezza della sua necessità.
Nadia Bertone, Deputy IT Director – Technology Area e CISO di BRT Spa, intervenuta al Cybersecurity summit 2024, ha spiegato come l’approccio in BRT sia organizzato in un piano triennale cyber con quattro pilastri completato da policy, processi e procedure, senza dimenticare azioni mirate ad eliminare l’obsolescenza delle tecnologie e alla continua valutazione e rivalutazione della postura cyber, perché tutto concorre alla governance con il fine ultimo di una maggiore resilienza.
Nella stessa occasione, ma nel roundtable dedicato alla cyber resilienza, Matteo Corsi, Global IT Security Manager, Bomi Group, ha spiegato che “è difficile dare priorità alle attività di Cyber security ma comunque è opportuno parallelizzare le cose da fare in termini di analisi di rischio per poi intervenire. Occorre un approccio multidisciplinare composto da tecnologie, persone, processi (anche se possono apparire difficili) e infine ma non ultimo se l’azienda è internazionale è importante anche la localizzazione delle iniziative nei diversi paesi declinandole secondo leggi e culture”.
Proprio la cultura cyber è al centro del pensiero di Alberto Borgonovo, CISO Sisal, che nella stessa roundtable ha sottolineato come “il primo obiettivo di un CISO sia proprio la diffusione della cultura cyber a tutte le funzioni; ma il termine ‘cultura’ non è da intendersi solo in termini di consapevolezza, bensì ‘cultura’ sul rischio Cyber per far capire e percepire che sebbene possa essere ridotto, il rischio della minaccia esiste sempre e non ci sono scudi totali. La resilienza si ottiene quando un attacco non generare impatti sul business, ma per arrivarci è necessario anche intervenire sulla mancanza di competenze facilitando la retention delle persone ,mediante la creazione di percorsi professionali per la loro crescita”, dunque un intervento di tipo culturale.
Marcello Fausti, Responsabile Cyber security Italiaonline, ritiene sia necessaria una maggiore attenzione alla protezione dei dati che circolano ancora in modo incontrollato senza la piena comprensione delle implicazioni reali su quei dati.
Suggerisce di applicare tecnologie di Data Loss Protection (DLP) e di etichettatura per identificare la proprietà di quei dati e la loro classificazione senza eccedere e senza ingessare azienda, ma definendo policy che permettono di tracciarne il movimento senza permettere deviazioni ed eventualmente in quei casi, almeno allertare il SOC. La costruzione di un data catalog è a suo parere una misura necessaria che può arrivare a circa otto mesi di durata per la sua attuazione.
Infine, Andrea Licciardi, Senior Cybersecurity Manager di Tecnimont, Co-Founder CISOs4AI, ha sottolineato “la relazione fra la Cyber sicurezza e l’AI, a metà tra sfida e opportunità, sia per la data protection che per la Privacy.” Il suo invito è “cambiare l’approccio con cui le AI sono portate sul mercato perché siano intrinsecamente sicure e prive di bias e allucinazioni” (sono dette allucinazioni ma si tratta di errori dei sistemi di AI, n.d.r).
I fondi europei dedicati al digitale
Le iniziative regolatorie dell’Unione sono state portate avanti unitamente a mezzi di finanziamento per fornire concretezza a qualsiasi progettualità pubblica o privata.
Nel quadro finanziario pluriennale 2021-2027 europeo esistono diversi fondi europei disponibili e orientate allo sviluppo e a favorire l’innovazione, la sicurezza e la resilienza delle infrastrutture digitali: i fondi europei strutturali, i fondi del programma HORIZON per la ricerca e innovazione, quelli dedicati alle infrastrutture digitali (Connecting Europe Facility for digital infrastructure) e i fondi per la ripresa e resilienza noti in Italia con il Piano Nazionale Ripresa e Resilienza (PNRR).
Recentemente in relazione alle strategie europee votate alla digitalizzazione alla sicurezza informatica e alla sostenibilità è stato inaugurato il programma Digital Europe come fondo di finanziamento (pari a 7,5 miliardi di euro) per portare la tecnologia digitale alle imprese, ai cittadini e alle pubbliche amministrazioni, attraverso il supporto in cinque settori chiave di capacità: supercalcolo, intelligenza artificiale, sicurezza informatica, competenze digitali avanzate e garantire così un ampio utilizzo delle tecnologie digitali nell’economia e nella società, anche attraverso i poli dell’innovazione digitale.