Lo stato avanzato della minaccia di cyber security nel mondo ha causato un innalzamento del livello di attenzione delle istituzioni governative in molti paesi e nelle grandi organizzazioni pubbliche e private (anche se nelle PMI e specialmente in Italia si osserva una reazione più lenta al rischio di sicurezza informatica). In particolare, a livello di singolo paese, come l’Italia, sono state avviate agende per lo sviluppo digitale e per il dispiegamento di difese adeguate, responsabili e ponderate che rispondano efficacemente alla criminalità informatica e per il rafforzamento della resilienza informatica.
Questa stessa attenzione e prioritizzazione è richiesta a tutte le organizzazioni mondiali che lavorano a livello internazionale per lo sviluppo dei paesi del terzo mondo, perché sono chiamate a integrare la cyber security e la cyber resilience in tutti i rispettivi progetti di sviluppo economico, sociale e digitale. Questi enti promuovono lo sviluppo digitale e l’uso delle ICTs nei paesi del terzo mondo, ma fino ad oggi l’aggiunta della componente di cyber security, cyber resilience e Cyber Capacity Building non è stata considerata una priorità nei progetti, causando una debolezza intrinseca e nativa alle minacce cyber in quei paesi già duramente provati da difficili condizioni sociali, economiche e politiche. Le organizzazioni di questo tipo sono banche per lo sviluppo come ad esempio World Bank, AIB, ministeri degli affari esteri e agenzie nazionali per lo sviluppo, fondazioni quali ad esempio Gates Foundation, Rockefeller Foundation e altre organizzazioni internazionali come l’ITU, UNDP, UNDCO e a tutte è richiesta l’aggiunta della componente della cyber security nell’agenda internazionale per lo sviluppo.
Ma cosa si intende esattamente per “Cyber Capacity Building” a livello di una nazione? Il report Integrating Cyber Capacity into the Digital Development Agenda del Global Forum on Cyber Expertise (GFCE), scritto da Melissa Hathaway e Francesca Spidalieri, identifica le modalità per collegare le comunità che si occupano di sviluppo con gli esperti di Cyber Capacity Building affinché possano cooperare efficacemente e sviluppare obiettivi omnicomprensivi.
Abbiamo intervistato Francesca Spidalieri, Cybersecurity Consultant presso Hathaway Global Strategies LLC, World Bank, and ITU, Adj. Professor of Cyber Policy presso SalveReginaUniversity e Sr. Fellow for Cyber Leadership presso il PellCenter, per approfondire l’importanza del Cyber Capacity Building attraverso la pianificazione e la predisposizione di accorgimenti a livello paese per garantire uno sviluppo ed una crescita industriale, economica e sociale veramente sicura.
Perimetro di sicurezza nazionale, una delicata questione legislativa
Indice degli argomenti
Esigenza di contrastare la minaccia cyber
Perchè a livello di un singolo Paese è necessario sviluppare una piena capacità di contrasto alle minacce di cyber security?
È importante sottolineare come oggi tutto sia digitale: servizi bancari, finanziari, elettrici, industriali (basati su sistemi Industrial Control Systems – ICS) e lentamente la pervasività digitale aumenta. Quindi, se vogliamo continuare a vivere e operare, è prioritario prevenire quante più minacce possibili in tutti questi ambiti.
Proteggere significa anche saper rispondere agli incidenti e questo implica aver predisposto dei piani di risposta e di mitigazione, anche in caso di eventi a diffusione mondiale, non solo attacchi veri e propri, ma anche incidenti che provochino interruzioni estese di servizi, che possano quindi impattare direttamente o indirettamente il perimetro di interesse.
In America tra il 2020 e 2021 ci sono stati incidenti con disservizi enormi e con impatti impressionanti per i sistemi e le aziende coinvolte (Google, Zoom, Equinix, Microsoft azure, Akamay per citare alcune delle maggiori – Fonte CRN). Durante questi disservizi ci si è resi conto di quanti governi e organizzazioni pubbliche e private utilizzino AWS o Google services o Azure non solo per comunicare, ma anche per business o per attività a supporto del business: pubblicità, meeting, organizzazione. Nell’ultimo anno tutti i governi si sono resi conto degli effetti degli “outages” e delle perdite economiche correlate. È per tutti questi motivi che esiste l’esigenza del Cyber Capacity Building.
Significato di Cyber Capacity Building
Cosa si intende per Cyber Capacity Building?
Cyber Capacity Building è il nuovo termine “sexy”. Inizialmente la cyber security è stato un termine associato alla “sicurezza nazionale”, all’“intelligence” o alla “difesa militare”, ma nel tempo si è reso necessario sviluppare una nuova narrativa, più generale per rifrasare la sicurezza informatica in termini di safety, resilienza, trust, risk mitigation. Il termine Cyber Capacity Building ha quindi iniziato ad essere utilizzato nei contesti internazionali (agenzie di sviluppo, worl bank ecc.), però all’interno della “comunità at large”, non esiste una unica definizione ed esistono diverse interpretazioni, che spesso portano a non capirsi su cosa si intenda esattamente.
Il problema che vedo e osservo dal mio punto di vista è che alcuni lo identificano come “un corpo nazionale”, “una autorità competente”, altri come la formulazione di un framework nazionale per proteggere dati e organizzazioni, o come una capacità operativa (tipo un CERT nazionale), altri infine identificano il termine esclusivamente come attività di training e solo pochi lo vedono come l’insieme di tutte queste cose, come dovrebbe essere.
Nel Cyber Capacity Building sono inclusi gli aspetti istituzionali, di governance, tecnici, legali, operativi, con una definizione più estesa, che una nazione deve sviluppare per essere davvero cyber ready, ovvero preparata ai rischi di sicurezza e per essere resiliente.
Si sta cercando di portare avanti una definizione più ampia, però a volte le organizzazioni, nella messa a terra di una Cyber Capacity Building, sono limitate dal loro mandato, dalle leggi locali e quindi possono lavorare a livello strategico, di leggi e di policy, ma non sempre possono coprire tutti gli ambiti di cui abbiamo parlato. Si deve partire da un assessment per identificare i gap e poi si identifica l’aspetto della Cyber Capacity Building che deve essere sviluppato a livello istituzionale, governativo, tecnico operativo, normativo a seconda del Paese, ma dobbiamo essere chiari sugli aspetti che effettivamente si rendono necessari a seconda del caso in esame .
L’importanza dell’integrazione della cyber security nelle agende dello sviluppo
Perché oggi assolutamente necessario che gli Enti e le organizzazioni che lavorano a livello internazionale promuovendo lo sviluppo digitale e l’uso delle ICTs nei paesi del terzo mondo, integrino la cyber security?
Non solo le agenzie internazionali, ma anche le agenzie nazionali promuovono progetti di digitalizzazione, nei paesi in via di sviluppo. Se sia per sponsorship o per prestiti o per dare fondi, nell’implementare i progetti, la promessa è sempre che con la digitalizzazione e la tecnologia si supporta lo sviluppo e il raggiungimento di obiettivi di quella nazione. Per esempio, per diversi paesi è cruciale raggiungere gli obiettivi delle nazioni unite per lo sviluppo sostenibile (Agenda 2030 ONU legata a dei 17 goal entro il 2030 n.d.r.) e andando a vederli in dettaglio, ognuno di questi comporta aspetti digitali: sanità, educazione, sviluppo economico. Le tecnologie ICT possono aiutare nella accelerazione dello sviluppo, ma i progetti di digitalizzazione senza tenere conto della cyber security.
Senza che sia curato l’aspetto della cyber resilience si provocano condizioni per le quali questi paesi ancora più vulnerabili alle minacce cyber, con un correlato rischio maggiorato anche per i paesi sviluppati legati al rischio di supply chain. Infatti, si verifica che in questi paesi ci sia scarsa sensibilità e awareness ai rischi di sicurezza, quindi si scelgano tecnologie non sicure, solo perché costano poco, oppure poiché non ci sono sistemi legali e leggi per perseguire i criminali si verificano crimini digitali; infine se mancano attività di security training e awareness si verificano due scenari: nel primo le persone possono scegliere di lavorare per i cyber criminali per guadagnare più facilmente e rapidamente, oppure nel secondo caso le persone preparate se ne vanno all’estero e in quel paese si verifica un problema di forza lavoro mancante e di skill gap.
Quindi i paesi in via di sviluppo possono essere sono supportati con strategia, policy, strutture nazionali, strumenti digitali, ma non deve essere “una tantum”; è infatti, necessario costruire nell’ambito del Cyber Capacity Building un processo di auto-sostentamento mediante un budget dedicato, che i singoli paesi devono progressivamente rinnovare. Il rischio è che da soli non sappiano autosostenere queste le capacità digitali in sicurezza, per aggiornamenti o evoluzioni, impattando anche gli altri paesi nella logica delle minacce che attaccano tutto il cyber spazio.
Chittaro e Cottafavi: “Cybersecurity perno della crescita italiana”
Cosa pianificare e quali best practice adottare
In che modo si dovrebbe procedere?
Anche alcuni paesi sviluppati non hanno capito bene come si procede al loro interno, ma non ci si può aspettare che i cittadini e le organizzazioni private affrontino correttamente la Cybersecurity se lo Stato stesso non fa un primo passo in questo senso. Un governo nazionale deve dare buon esempio e adottare sistemi più sicuri, non far uso ancora di sistemi legacy. Come dire, prima sarebbe necessario “mettersi in regola” adottando best practice basate su standard internazionali, aumentare l’infosharing, migliorare il coordinamento fra enti in modo che i temi e le agende dei diversi ministeri siano coerenti fra loro anche sui temi di sicurezza informatica.
Manca, insomma, una visione di insieme sui temi di ICT e di cyber security per:
- rispondere agli incidenti a livello nazionale con un piano specifico di cyber incident response;
- aggiornare il framework nazionale delle normative e adeguarsi alle norme europee per proteggere i dati, i sistemi;
- rafforzare le capacità delle forze dell’ordine;
- adeguare gli strumenti per la giustizia (la scienza forense); promuovere le capacità di fare ricerca e sviluppo in ogni singolo paese;
- investire nel creare competenze e capacità per ogni paese che solo così può autosostentarsi.
Ogni paese deve capire per sé stesso di cosa ha bisogno. Per farlo si deve generare una forza lavoro e una awareness locale, promuovere la cyberygiene fin dalle scuole elementari, introdurre lo studio della cyber security e delle cyber policy nelle università per ogni materia di studio perché i leader di domani hanno bisogno di basi di conoscenza su queste tematiche e devono capire il contesto digitale per poter sviluppare ogni ambito della società, tenendone conto. Dobbiamo fare come avvenne per le tematiche nucleari a suo tempo; non è necessario conoscere la fissione dell’atomo per intervenire preventivamente evitando un disastro nucleare.
Un elemento che incide è la considerazione delle persone sulla cyber security che per anni è stata messa in relazione agli hacker incappucciati e che oggi è percepita come relegata a chi lavora nella sicurezza nazionale, intelligence, forze di polizia o militari e che solo questi settori sono quelli che devono includere gli esperti di questi temi. Ecco perché è importante cambiare la narrativa della cyber security legandola al concetto di “trust” nel cyberspace, perché le persone possano fidarsi dei sistemi digitali; dobbiamo parlare di sostenibilità, di safety affinché le persone percepiscano questi temi come più legati alle loro vite giornaliere.
È necessario far capire come mutuare esperienze sociali nell’environament digitale, cosa che già accade (servizi bancari, e-commerce) ma di cui non si ha consapevolezza piena. Infine, la pandemia ci ha dato molte analogie con la cyber security e anche questo da momento così difficile, possiamo trarne beneficio imparando ad attuare azioni responsabili di prevenzione.
