I nuovi trend dell’innovazione digitale come cloud, big data, internet of thing, mobile e social richiedono risposte non più rimandabili a determinati temi strategici e uno di questi è la cyber sicurezza di infrastrutture, enti pubblici, imprese e cittasdini. Il nuovo Regolamento europeo sulla Protezione dei Dati Personali crea alcuni dei presupposti necessari per giungere a un quadro di riferimento, che deve essere compreso ed attuato. Il percorso di gestione dell’Information Security & Privacy chiede alle aziende “di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione”.
Il cybercrime, dal 2011 ad oggi, non ha conosciuto battute d’arresto, mentre sono in crescita anche le azioni di spionaggio informatico e di cyber war. Il progressivo incremento, quantitativo e qualitativo, di attacchi informatici con le finalità più disparate, sta mettendo in agitazione i Governi come le imprese, le banche e i singoli cittadini. Sono tanti i motivi di preoccupazione, dalle frodi alle estorsioni online, dai furti di identità a quelli di dati sensibili, dallo spionaggio al sabotaggio.
Pubblica Amministrazione, Governi, corporations, istituti bancari e finanziari, sono diversi i soggetti diventati target dei cyber criminali. Tra le imprese, ovviamente, non ci sono solamente le multinazionali e le grandi industrie, ma sempre più spesso le piccole e medie imprese (Pmi), quelle stesse aziende che sono la spina dorsale dell’economia italiana.
Secondo i dati dell’Osservatorio dell’Industria Italiana dell’Automazione, Anie Automazione, proprio le Pmi appaiono le più vulnerabili e per loro le conseguenze negative sono in proporzione ancora maggiori, a causa delle ridotte risorse organizzative ed economiche di cui dispongono. È quindi indispensabile che gli interventi di regolamentazione volti a tutelare le vittime degli attacchi informatici tengano conto delle diverse caratteristiche dei destinatari.
Il mercato mondiale della cybersecurity
A livello mondiale, l’industria della sicurezza informatica vale oltre 75 miliardi di dollari e per il 2020 se ne prevede il raddoppio. La domanda mondiale di posti di lavoro in questo campo sarà di 6 milioni di unità entro il 2019, con un deficit previsto di 1,5 milioni di posti.
Lloyd’s Assicurazioni ha stimato i danni causati da attacchi informatici in circa 450 miliardi di dollari all’anno, somma che include sia i crash di sistema che i costi di ripristino. La Juniper Networks valuta che entro il 2019 il costo mondiale per la perdita di dati sensibili di aziende e cittadini si attesterà su una cifra pari a 1,2 trilioni di dollari.
L’estensione della tecnologia e dei sistemi informativi ad oggetti fisici differenti per natura e ambito applicativo amplia le possibilità e le modalità di intrusione e di attacco, coinvolgendo potenzialmente infrastrutture critiche (come ad esempio le smart grid) o oggetti che possono influenzare il benessere e la sicurezza delle persone (si pensi ai dispositivi nell’ambito dell’eHealth, alla connected car o ai sistemi di controllo nella smart home).
Le Pmi italiane e la cybersecurity
Le piccole e medie imprese, evidenzia ancora lo studio, iniziano a spendere per la cyber security ma spesso sottovalutano la crescita della consapevolezza dei rischi tra i propri dipendenti e pochissime hanno specifici programmi di formazione.
L’analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela, infatti, che il 93% delle PMI ha dedicato un budget nel 2016. Le principali motivazioni agli investimenti sono l’adeguamento normativo e gli attacchi subiti in passato, ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche o di business.
Un’organizzazione su quattro si fa guidare dal buon senso, senza un approccio tecnologico definito. L’approccio alla sicurezza nelle Pmi è orientato prevalentemente all’identificazione e alla protezione, molto meno alla rilevazione e alla risposta.
Una recente analisi di SANS (“SANS 2016, State of ICS Security Survey”) sullo stato della security dei sistemi di controllo industriale indica che il 42% delle minacce ai sistemi arrivano dall’interno delle organizzazioni. In questa cifra rientrano quelle intenzionali (i sabotaggi) che rappresentano oltre il 10% del totale; quelle non volute (errori degli operatori dovuti a scarsa competenza oppure a sistemi di interfacciamento non chiari) che pesano per oltre il 15%; i problemi derivanti da malfunzionamenti o da non accurata integrazione IT/ OT (circa il 10%).
Cybersecurity e Piano Nazionale Industria 4.0
La trasformazione digitale che sta travolgendo l’industria ruota attorno ai temi della business continuity, del disaster recovery e della protezione dei dati, ma anche una nuova consapevolezza legata al fatto che la sicurezza informatica non riguarda solo la protezione dell’hardware o del software: “L’informatizzazione della società, culminata nel digitale, allarga le maglie della sicurezza ICT, includendo persone e cose”.
“È necessario che le aziende colgano rapidamente l’impatto della trasformazione digitale sulla gestione di infrastrutture, dati e applicazioni, impostando una sicurezza bimodale che, tra tecnologia e compliance, riesca a gestire una configurazione sempre più complessa per la governance, armonizzando le soluzioni tattiche con sistemi fondanti strategici”, suggerisce l’Osservatorio, “Internet of Thing, smart city, industria 4.0 non potranno essere realizzati senza un sufficiente livello di cyber security”.
Analizzando in dettaglio le tecnologie abilitanti Industria 4.0 descritte nel Piano annunciato lo scorso anno dal Ministro dello Sviluppo Economico, Carlo Calenda, emerge chiaramente come la cyber security sia parte integrante di qualsiasi scelta, sistema o soluzione.