Ogni anno, migliaia di sistemi informatici vengono compromessi. Un dato che dovrebbe far riflettere è il fatto che la maggior parte delle vittime subisce attacchi che potrebbero essere facilmente evitati e che sono condotti con software liberamente reperibili su Internet. Si tratta di uno scenario abbastanza diffuso e comune in tutte le Nazioni. Eurispes, nel Rapporto Italia 2015, ha affrontato la tematica con un approfondimento dal titolo “L’Italia e il Cyberspazio”.
A essere maggiormente colpite dagli attacchi informatici sono le Piccole e Medie Imprese (PMI), le quali spesso non affrontano adeguatamente il problema della sicurezza informatica sia per una storica assenza di cultura e sensibilità da parte dei vertici aziendali verso tale problema (il che si riflette in inadeguate dinamiche interne) sia per i ridotti budget a disposizione che scoraggiano investimenti nel settore.
Per questi motivi, le PMI diventano appetibili prede dello spionaggio industriale da parte di competitor stranieri e di gruppi criminali che compiono attacchi informatici al fine di danneggiare l’azienda, tramite estorsioni di denaro o furto di brevetti proprietari (con conseguenti ingenti danni alle imprese che si vedono saccheggiate, talvolta anche a loro insaputa, del cuore del loro business).
Se riflettiamo sul fatto che in Italia le PMI rappresentano oltre il 90% dell’industria nazionale e che esse sono a loro volte fornitrici di grandi imprese le quali, tutte, operano per lo Stato, allora iniziamo a comprendere come la tematica di garantire la sicurezza e, in definitiva, la sopravvivenza stessa di queste PMI diventa un vero e proprio interesse nazionale.
Negli ultimi tre anni il nostro Paese ha intrapreso un percorso volto a individuare prima una Strategia Nazionale per la Cyber Security e, successivamente, un vero e proprio Piano Operativo che permetta di raggiungere gli Obiettivi Strategici fissati. Sono stati quindi compiuti passi avanti rispetto al passato, ma c’è ancora molto da fare. Uno dei prossimi passi sarà quello di produrre una dottrina di Cyber Security.
Prima di proseguire, vorrei fare una riflessione sul linguaggio: la Cyber Security. Personalmente preferisco il termine generico di Sicurezza Informatica. Atteso che, per gli addetti ai lavori, la scelta di una determinata traduzione non cambia la sostanza, c’è anche da dire che, soprattutto nella nostra realtà italiana, nel parlare di Cyber Security o Sicurezza Cibernetica si rischia, in alcuni casi, di dipingere il problema come un qualcosa di lontano, futuristico, difficilmente gestibile o comprensibile, facendoci dimenticare che spesso, invece, le minacce di cui si parla e gli attacchi che si subiscono hanno a che fare con le regole più basilari e i più comuni accorgimenti volti a garantire la Sicurezza delle Informazioni, in un’epoca dove tali informazioni sono quasi interamente digitali.
Parlare di Sicurezza Informatica potrebbe aiutare quindi a inquadrare il problema (da parte dei non addetti ai lavori) con un approccio mentale più aperto e più accessibile a tutti. La Sicurezza Cibernetica, in ultima istanza, non è altro che la Sicurezza delle Informazioni, informazioni che nella nostra epoca si muovono in reti geografiche nazionali e internazionali, o che sono contenute in dispositivi digitali, in Data Center che spesso non sono posizionati e gestiti all’interno dei confini fisici nazionali, bensì sono installati in Stati stranieri e controllati da Società estere. Dispositivi digitali e reti che stanno aumentando in quantità e dimensione ad un ritmo così frenetico da essere diventati totalmente pervasivi e quasi indispensabili in ogni gesto del nostro vivere quotidiano.
Tornando alla questione della sicurezza informatica delle PMI, nell’impegno condotto per trovare una soluzione condivisa, spesso il miglior approccio è anche il più umile, ossia quello di guardarsi intorno e vedere se e come altri Stati hanno affrontato o stanno affrontando il medesimo problema, e quali soluzioni hanno individuato e deciso di adottare.
Propongo una breve sintesi di quanto ha fatto il Governo Britannico nel cercare di aiutare le PMI a contrastare le moderne minacce informatiche. Ritengo che il modello britannico sia un ottimo strumento per diffondere la consapevolezza del problema e suggerire un approccio scientifico e strutturato, che includa quindi un metodo.
Uno degli obiettivi primari dichiarati nella Strategia Nazionale di Cyber Security del Governo Britannico è quello di “rendere il Regno Unito un luogo più sicuro per condurre business online”. Un messaggio così potente nella sua semplicità, che sintetizza il doppio beneficio offerto dalla sicurezza informatica per le Imprese: se da un lato viene garantita la protezione delle proprie informazioni, dall’altro diventa un elemento discriminante per poter condurre affari con successo, diventa cioè una vera e propria opportunità di business.
Determinare i benefici della sicurezza informatica e sapere da dove cominciare è però una sfida significativa per molte organizzazioni: per questo motivo, nel 2012 il Governo Britannico ha presentato prima la guida “I 10 Passi per la Sicurezza Informatica” e, successivamente, la guida “Le Piccole Imprese: quello che c’è da sapere sulla sicurezza informatica”, il tutto al fine di incoraggiare le organizzazioni a riflettere se stessero davvero gestendo i loro rischi informatici.
In questi due documenti il Governo ha sottolineato la necessità per i dirigenti e i vertici delle aziende di prendersi carico di questi rischi e renderli parte integrante dei processi di gestione del rischio all’interno della strategia globale dell’azienda. Queste iniziative hanno ottenuto successo e guadagnato consensi ma, pur essendo state pubblicate le guide, è stato possibile riscontrare che un certo numero di controlli di sicurezza non erano comunque stati attuati, lasciando quindi le organizzazioni vulnerabili anche a potenziali attaccanti in possesso di bassi livelli di capacità tecnica.
Il Governo del Regno Unito ha ritenuto di adottare quindi uno standard organizzativo per la sicurezza informatica, come forma di tappa successiva alla citata guida “I 10 Passi per la Sicurezza Informatica”.
È nato così lo Schema che è stato denominato Cyber Essentials. Tale schema ha fatto seguito a una call for evidence, effettuata dal Governo Britannico insieme all’Industria, volta ad individuare uno standard organizzativo nella sicurezza informatica, che si è conclusa nel mese di Novembre 2013. Informazioni su questa call for evidence, incluso il documento finale, possono essere trovate al seguente link.
Lo studio condotto tra Governo ed Industria ha permesso di realizzare che nessuno degli standard organizzativi già esistenti per la sicurezza informatica soddisfaceva le esigenze dei due attori, ma è emerso anche che l’Industria era entusiasta di aiutare a sviluppare qualcosa di nuovo. Il Governo ha quindi lavorato con l’Industria per sviluppare questi nuovi requisiti, ricevendo collaborazione anche da altre organizzazioni, ordini professionali, istituzioni varie.
Il modello che è stato individuato permette alle organizzazioni, ai loro clienti e ai loro partner, di acquisire maggiore fiducia nell’esprimere delle capacità, misurabili in maniera oggettiva da terze parti, che permettano di ridurre il rischio posto dalle minacce di attacchi informatici operati da soggetti che abbiano bassi livelli di competenze tecniche. Lo schema offre un meccanismo affinché le organizzazioni possano dimostrare a clienti, investitori, assicuratori e a chiunque altro, di aver adottato queste precauzioni ritenute, appunto, essenziali.
Cyber Essentials offre solidi accorgimenti di base che qualsiasi genere di organizzazione può implementare e potenzialmente costruire. L’attuazione di queste misure può ridurre significativamente la vulnerabilità di un’organizzazione. Tuttavia, tali precauzioni non offrono la cosiddetta “pallottola d’argento” per rimuovere tutti i rischi informatici: per esempio, lo Schema non è stato progettato per affrontare gli attacchi più sofisticati, pertanto le organizzazioni che affrontano questo genere di minacce dovranno essere consapevoli di dover attuare misure aggiuntive come parte della loro strategia di sicurezza. Ciò che però fa lo Schema Cyber Essentials è quello di definire una serie precisa di controlli che garantiscono una sicurezza informatica di base e costo/efficace a favore di organizzazioni di tutte le dimensioni; un insieme di controlli che, se correttamente implementati, forniscono una protezione di base dalle forme più diffuse di minacce provenienti da Internet. Il modello, essendo stato progettato in consultazione proprio con le PMI, oltre ad essere efficace è anche realizzabile ad un basso costo.
Il processo di certificazione può condurre a due livelli di certificazione: Cyber Essentials e Cyber Essentials Plus. Le due opzioni offrono alle aziende una scelta circa il livello di sicurezza che desiderano ottenere e il costo per farlo.
È importante inoltre prendere atto che la certificazione fornisce solo un’istantanea delle pratiche di sicurezza informatica dell’organizzazione al momento della valutazione, mentre il mantenere una solida posizione di sicurezza informatica richiede misure aggiuntive come un approccio più profondo nella gestione del rischio, così come aggiornamenti costanti allo schema, come ad esempio può essere la costante installazione di patch ai bug di volta in volta individuati nei vari sistemi. Pur con questi limiti, lo Schema offre un giusto equilibrio nel poter misurare l’impegno di un’organizzazione nell’implementare dei protocolli di sicurezza informatica, grazie ad un meccanismo semplice e che richiede bassi costi.
Cyber Essentials, in poco tempo, è diventato uno dei requisiti minimi richiesti per tutti coloro che vogliono essere fornitori in contratti che prevedano la trattazione di determinate informazioni ritenute sensibili o in contratti stipulati con Enti Governativi. Dall’Ottobre 2014, nel Regno Unito, il possedere la certificazione Cyber Essentials è diventato un obbligo di legge per questo genere di fornitori.
Dovremmo quindi poter adottare un modello analogo anche noi in Italia. Quale sarebbe la soluzione più semplice e veloce? È anche la più banale: tradurre tali documenti, che sono pubblici, adattandoli in qualche modo (se proprio necessario) alla nostra realtà italiana, operare opportune modifiche normative che regolino il modello e infine applicare il tutto sostenendo questa innovazione con una adeguata campagna di informazione che rafforzi anche la consapevolezza del problema.
Non sarebbe questa la panacea delle soluzioni, ma sarebbe comunque un inizio: costituirebbe un approccio per costruire un modello che risulti essere anche scalabile, un modello che sia soprattutto efficace. In tal senso, si dovrebbe gestire al meglio la creazione e il monitoraggio degli Enti che dovrebbero poi essere gli unici autorizzati a rilasciare le certificazioni Cyber Essentials “italiane”. Per monitoraggio si intende fare in modo di evitare che si crei un semplice meccanismo di certificazione fine a se stesso, ma piuttosto un meccanismo davvero virtuoso e concretamente utile. Nel modello UK, anche il processo di accreditamento degli Enti certificatori è stato normato.
Sono convinto che in Italia saremmo capaci di produrre modelli di certificazioni analoghi e che non abbiano nulla da invidiare a quelli dei nostri amici britannici.
Per chi, nel frattempo, voglia approfondire lo studio della documentazione, consiglio innanzitutto la lettura delle due guide sopra citate (consultabili cliccando sul loto titolo).
Infine, il sito web dove è scaricabile tutta la documentazione che regola in generale lo Schema Cyber Essentials è il seguente: www.cyberessentials.org.uk
